Sujet Précédent Sujet Suivant

Online Armor ouvre une dizaine de fenêtres..

Fermé
moulinsart Messages postés 118 Date d'inscription mardi 21 octobre 2008 Statut Membre Dernière intervention 30 janvier 2014 - 6 mai 2010 à 18:13
 Malekal_morte- - 25 mai 2010 à 14:22
Bonjour,
depuis quelques jours mon ordinateur "rame" sur internet. J'ai Online Armor comme parefeu et ,à l'allumage ,il ouvre une dizaine de fenêtres me signalant que :
wpv961273140516.exe
wpv.......................exe (à chaque fois les chiffres changent ) cherche à s'ouvrir. A chaque fois je bloque tout mais je ne suis pas sûre de bien faire:la navigation internet et très lente . De plus , après extinction de l'ordi , quand je le rallume Online ouvre de nouveau tout un tas de fenêtres du même genre.
J'aimerais savoir si quelqu'un peut m'aider,
Merci d'avance

A voir également:

177 réponses

Réponse 1 / 177
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
6 mai 2010 à 18:22
Salut moulinsart


On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse

Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Et fais la même chose avec l'autre rapport C:\rsit\info.txt


@++ :)
0
Réponse 2 / 177
moulinsart Messages postés 118 Date d'inscription mardi 21 octobre 2008 Statut Membre Dernière intervention 30 janvier 2014 9
6 mai 2010 à 18:42
Merci pour cette réponse rapide;


voici les 2 rapports.

https://www.cjoint.com/?fgsKTSZ5zj

https://www.cjoint.com/?fgsODbDFEq
0
Réponse 3 / 177
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
6 mai 2010 à 20:55
Salut moulinsart


Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==

Double clique sur combofix.exe, clique sur OUI et valide par Entrée

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++ :)
0
Réponse 4 / 177
moulinsart Messages postés 118 Date d'inscription mardi 21 octobre 2008 Statut Membre Dernière intervention 30 janvier 2014 9
6 mai 2010 à 21:55
Bonsoir Dédétraqué,
J'ai tenté de suivre tes instructions. Je t'envoie le rapport . Merci d'avance de ta réponse
ComboFix 10-05-05.0D - Famille 06/05/2010 21:32:16.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.266 [GMT 2:00]
Lancé depuis: c:\documents and settings\Famille\Mes documents\Téléchargements\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Online Armor Firewall *disabled* {B797DAA0-7E2E-4711-8BB3-D12744F1922A}
.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll
c:\documents and settings\Famille\Local Settings\Application Data\Windows Server\dkkeka.dll

[i] ADS - svchost.exe: deleted 36352 bytes in 1 streams. /i
[i] ADS - explorer.exe: deleted 55296 bytes in 1 streams. /i

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\Famille\LOCALS~1\Temp\svchost.exe
c:\documents and settings\Famille\Application Data\irvlna.exe
c:\documents and settings\Famille\Application Data\wiaservg.log
c:\documents and settings\Famille\Local Settings\Application Data\Windows Server
c:\documents and settings\Famille\Local Settings\Application Data\Windows Server\dkkeka.dll
c:\documents and settings\Famille\Local Settings\Application Data\Windows Server\dkkeka.dll.vir
c:\documents and settings\Famille\Local Settings\Application Data\Windows Server\flags.ini
c:\documents and settings\Famille\Local Settings\Application Data\Windows Server\uses32.dat
c:\documents and settings\Famille\secupdat.dat
C:\feed.txt
c:\recycler\S-1-5-21-0560522263-9786561162-802124044-8961
c:\recycler\S-1-5-21-1037741201-2841189230-748479159-1682
c:\recycler\S-1-5-21-2407083189-4818624242-395697645-0539
c:\recycler\S-1-5-21-2580759221-8647671346-058042094-5681
c:\recycler\S-1-5-21-5494991494-3711891659-694296645-5372
c:\recycler\S-1-5-21-8382821588-3198864869-485347101-8242
c:\windows\system32\Drivers\kvrtrxmm.sys
c:\windows\system32\drivers\protect.sys
c:\windows\system32\secupdat.dat
c:\windows\system32\userini.exe
c:\windows\system32\wbem\grpconv.exe

c:\windows\system32\grpconv.exe était absent
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\grpconv.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ICF
-------\Legacy_PROTECT
-------\Service_ICF
-------\Service_protect
-------\Legacy_kvrtrxmm
-------\Service_kvrtrxmm


((((((((((((((((((((((((((((( Fichiers créés du 2010-04-06 au 2010-05-06 ))))))))))))))))))))))))))))))))))))
.

2010-05-06 19:36 . 2008-04-14 02:34 39424 -c--a-w- c:\windows\system32\dllcache\grpconv.exe
2010-05-06 19:36 . 2008-04-14 02:34 39424 ----a-w- c:\windows\system32\grpconv.exe
2010-05-06 19:36 . 2010-05-06 19:38 -------- d-----w- c:\documents and settings\Famille\Local Settings\Application Data\Windows Server
2010-05-06 16:29 . 2010-05-06 16:30 -------- d-----w- C:\rsit
2010-05-04 06:08 . 2010-05-04 06:08 16384 ---ha-w- c:\documents and settings\Famille\nvwkc.exe
2010-05-03 17:33 . 2010-05-03 17:36 -------- d---a-w- C:\Navilog1
2010-05-03 17:33 . 2010-05-03 17:36 -------- d-----w- c:\program files\navilog1
2010-05-03 16:11 . 2010-05-03 16:11 16384 ---ha-w- c:\documents and settings\Famille\hhmgur.exe
2010-04-12 22:23 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-06 19:24 . 2009-07-17 13:57 -------- d-----w- c:\documents and settings\Famille\Application Data\OnlineArmor
2010-05-06 16:30 . 2008-10-26 13:49 -------- d-----w- c:\program files\Trend Micro
2010-05-06 15:32 . 2010-05-06 15:32 155648 --sh--r- c:\documents and settings\Famille\Application Data\yxdqln.exe
2010-05-06 15:32 . 2010-05-06 15:32 155648 --sh--r- c:\documents and settings\Famille\Application Data\yxdqln.exe
2010-05-06 15:32 . 2004-08-05 12:00 14336 ----a-w- c:\windows\system32\svchost.exe
2010-05-03 16:54 . 2008-11-27 13:33 -------- d-----w- c:\program files\CCleaner
2010-05-02 13:25 . 2008-09-26 13:52 -------- d-----w- c:\documents and settings\Famille\Application Data\Skype
2010-05-02 13:03 . 2008-09-26 13:56 -------- d-----w- c:\documents and settings\Famille\Application Data\skypePM
2010-05-02 11:22 . 2004-08-05 12:00 1037824 ----a-w- c:\windows\explorer.exe
2010-04-29 16:41 . 2010-04-29 16:42 159744 --sh--r- c:\documents and settings\Famille\Application Data\pard.exe
2010-04-29 16:41 . 2010-04-29 16:42 159744 --sh--r- c:\documents and settings\Famille\Application Data\pard.exe
2010-04-07 20:59 . 2008-12-12 15:17 -------- d-----w- c:\documents and settings\All Users\Application Data\CanonIJPLM
2010-03-26 08:33 . 2010-05-03 16:41 1496064 ----a-w- c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-03-26 08:33 . 2010-05-03 16:41 43008 ----a-w- c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-03-26 08:33 . 2010-05-03 16:41 339456 ----a-w- c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-03-26 08:32 . 2010-05-03 16:41 346112 ----a-w- c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-03-11 12:34 . 2004-08-05 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2010-03-11 12:34 . 2004-08-05 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:34 . 2004-08-05 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2010-03-09 11:10 . 2004-08-05 12:00 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-02-24 13:11 . 2004-08-05 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-18 16:10 . 2007-02-23 14:05 319 ----a-w- c:\windows\system32\CRUNX.BIN
2010-02-17 12:07 . 2004-08-05 12:00 2192000 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:07 . 2004-08-04 00:48 2068864 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 04:34 . 2004-08-05 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-05 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2007-03-23 14:01 . 2007-03-23 14:00 76836 -c--a-w- c:\program files\vp.pdf
.

------- Sigcheck -------

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2008-06-20 . D9F19E78F98834CB411D6AD3C68D181A . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB951748$\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys
[-] 2006-04-20 . B2220C618B42A2212A59D91EBD6FC4B4 . 360576 . . [5.1.2600.2892] . . c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys
[-] 2006-04-20 . 1DBF125862891817F374F407626967F4 . 359808 . . [5.1.2600.2892] . . c:\windows\$NtServicePackUninstall$\tcpip.sys
[7] 2004-08-05 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB917953$\tcpip.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechCameraAssistant"="c:\program files\Logitech\Video\CameraAssistant.exe" [2005-12-07 489472]
"LogitechVideo[inspector]"="c:\program files\Logitech\Video\InstallHelper.exe" [2005-12-07 09:33 73728]
"LogitechCameraService(E)"="c:\windows\system32\ElkCtrl.exe" [2004-11-01 262144]
"CmCardRun"="c:\windows\system32\CmWatch.exe" [2003-09-16 229376]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-09-01 282624]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"D-Link AirPlus XtremeG DWL-G122"="c:\program files\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe" [2008-12-18 1556480]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"OnlineArmor GUI"="c:\program files\Tall Emu\Online Armor\oaui.exe" [2008-03-23 5519424]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

c:\documents and settings\Famille\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2005-10-10 20:49 7286784 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2005-10-10 20:49 86016 ----a-w- c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2006-09-01 13:57 282624 ----a-w- c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2006-08-03 03:12 577536 -c--a-w- c:\windows\soundman.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [17/07/2009 15:56 80072]
R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [17/07/2009 15:56 32456]
R1 OAnet;OAnet;c:\windows\system32\drivers\oanet.sys [17/07/2009 15:56 28872]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [04/08/2009 17:22 108289]
S2 SvcOnlineArmor;Online Armor;c:\program files\Tall Emu\Online Armor\oasrv.exe [17/07/2009 15:56 5414464]
S3 UMSSSTOR;C-Media Storage;c:\windows\system32\drivers\Umss.SYS [13/07/2004 13:40 48512]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mchInjDrv
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr/
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML
FF - ProfilePath - c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr/
FF - component: c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-userini - c:\windows\system32\userini.exe
HKLM-Run-userini - c:\windows\system32\userini.exe
HKLM-Explorer_Run-userini - c:\windows\system32\userini.exe
SafeBoot-kvrtrxmm.sys



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-06 21:40
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\windows\TEMP\mc25.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(5920)
c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\system volume information\Whistler\svchost.exe
c:\system volume information\Whistler\smss.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Canon\IJPLM\IJPLMSVC.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\wanmpsvc.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Internet Explorer\IEXPLORE.EXE
c:\windows\system32\lvcomsx.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Internet Explorer\IEXPLORE.EXE
.
**************************************************************************
.
Heure de fin: 2010-05-06 21:48:10 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-06 19:48

Avant-CF: 4 202 430 464 octets libres
Après-CF: 4 136 222 720 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - A0B28CD8FAE885B8AD63AFDB36CCAEFE
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 177
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
6 mai 2010 à 22:49
Salut moulinsart


Télécharge Gmer et enregistre-le sur ton bureau.
http://www2.gmer.net/download.php

- Déconnecte toi d'internet si possible et ferme tous les programmes, puis lance l'outil.
- Clique sur le bouton "Scan" sur la droite.

- Lorsque le scan est terminé, clic sur "Copy".
- Ouvre le bloc-note et clic sur le Menu Edition / Coller
- Le rapport doit alors apparaître.

- Enregistre le fichier sur ton bureau et copie/colle le contenu ici.


-----


Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook.exe

- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu en gras ci-dessous et colle-le dans la zone texte de SystemLook :

:filefind
svchost.exe
smss.exe

- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse


@++ :)
0
Réponse 6 / 177
moulinsart Messages postés 118 Date d'inscription mardi 21 octobre 2008 Statut Membre Dernière intervention 30 janvier 2014 9
7 mai 2010 à 00:14
Rebonjour,
J'ai téléchargé les 2 fichiers mais je ne parviens pas à les les lancer ni l'un ni l'autre :une fenêtre apparaît qui me dit que "Windows ne parvient pas à accéder au fichier.Vous ne disposez peut-être pas des autorisations appropriées pour avoir accés à l'élément"!!
Je ne sais pas quoi faire.
Merci beaucoup d'essayer de m'aider.
0
Réponse 7 / 177
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
7 mai 2010 à 15:30
Salut moulinsart


Es-tu en mode administrateur? Sinon essai un clique droit et choisir exécuter en tant que et administrateur dans la liste.

Voir également en mode sans échec :

Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis la session Administrateur


@++ :)
0
Réponse 8 / 177
moulinsart Messages postés 118 Date d'inscription mardi 21 octobre 2008 Statut Membre Dernière intervention 30 janvier 2014 9
7 mai 2010 à 16:31
Bonjour,
Hier soir j'ai déjà essayé de cliquer droit et d"exécuter en tant qu'administrateur mais on me demande un mot de passe dont je ne me souviens pas , je pense même ne jamais en avoir eu..
Je tente de redémarrer en mode sans échec et je te raconte tout.
0
Réponse 9 / 177
moulinsart Messages postés 118 Date d'inscription mardi 21 octobre 2008 Statut Membre Dernière intervention 30 janvier 2014 9
7 mai 2010 à 18:47
Merci pour ta patience!
Voici donc le rapport SystemLook:
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 17:12 on 07/05/2010 by Famille (Administrator - Elevation successful)

========== filefind ==========

Searching for "svchost.exe"
C:\WINDOWS\$NtServicePackUninstall$\svchost.exe -----c 14336 bytes [16:44 13/10/2008] [12:00 05/08/2004] 1BD6C2F707A275CB7C16FD99FE0F31CA
C:\WINDOWS\ERDNT\cache\svchost.exe --a--- 14336 bytes [19:46 06/05/2010] [15:32 06/05/2010] E4BDF223CD75478BF44567B4D5C2634D
C:\WINDOWS\ServicePackFiles\i386\svchost.exe -----c 14336 bytes [02:34 14/04/2008] [02:34 14/04/2008] E4BDF223CD75478BF44567B4D5C2634D
C:\WINDOWS\system32\dllcache\svchost.exe --a--c 14336 bytes [12:00 05/08/2004] [15:32 06/05/2010] E4BDF223CD75478BF44567B4D5C2634D
C:\WINDOWS\system32\svchost.exe --a--- 14336 bytes [12:00 05/08/2004] [15:32 06/05/2010] E4BDF223CD75478BF44567B4D5C2634D

Searching for "smss.exe "
C:\cmdcons\SYSTEM32\SMSS.EXE --a--- 195072 bytes [22:55 03/08/2004] [22:55 03/08/2004] 5F1E9A5ADF140D794E4A876E918C245D
C:\WINDOWS\$NtServicePackUninstall$\smss.exe -----c 50688 bytes [16:44 13/10/2008] [12:00 05/08/2004] B4C08D31E8C2EA9D76F892052A6FCAEB
C:\WINDOWS\ServicePackFiles\i386\smss.exe -----c 50688 bytes [02:34 14/04/2008] [02:34 14/04/2008] 48E430297DA757F5CC2793CCFACAD5E7
C:\WINDOWS\system32\smss.exe --a--- 50688 bytes [12:00 05/08/2004] [02:34 14/04/2008] 48E430297DA757F5CC2793CCFACAD5E7

-=End Of File=-

j'ai eu du mal à lancer Gmer puis le scan a été particulièrement long mais voici le résultat
https://www.cjoint.com/?fhsTU0ol22
0
Réponse 10 / 177
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
7 mai 2010 à 19:06
Salut moulinsart


- Clique sur le menu démarrer/Exécuter, tape notepad à l'invite de commande et OK.

- Copie/colle ce qui est en gras ci-dessous dans le Bloc-Notes :

KillAll::

File::
c:\documents and settings\Famille\nvwkc.exe
c:\documents and settings\Famille\hhmgur.exe
c:\documents and settings\Famille\Application Data\yxdqln.exe
c:\documents and settings\Famille\Application Data\yxdqln.exe
c:\documents and settings\Famille\Application Data\pard.exe
c:\documents and settings\Famille\Application Data\pard.exe
c:\system volume information\Whistler\svchost.exe
c:\system volume information\Whistler\smss.exe

Folder::
c:\documents and settings\Famille\Local Settings\Application Data\Windows Server

- Enregistre ce fichier sur le bureau (Impératif)

-Nom du fichier : CFScript.txt
-Type du fichier : tous les fichiers

- Clique sur Enregistrer et quitte le Bloc Notes

Important Désactive ton Antivirus et antispyware avant de faire le glisser/déposer

- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe sur le bureau, comme sur cette capture (l'icône est un lion) :

http://free0.hiboox.com/images/2409/9126d3b136f7db9ab6242ad715b44296.gif

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


@++ :)
0
Réponse 11 / 177
moulinsart Messages postés 118 Date d'inscription mardi 21 octobre 2008 Statut Membre Dernière intervention 30 janvier 2014 9
7 mai 2010 à 19:43
Bonsoir Dédétraqué,
voici le rapport de scan
ComboFix 10-05-05.0D - Famille 07/05/2010 19:24:16.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.165 [GMT 2:00]
Lancé depuis: c:\documents and settings\Famille\Mes documents\Téléchargements\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Famille\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Online Armor Firewall *disabled* {B797DAA0-7E2E-4711-8BB3-D12744F1922A}

FILE ::
"c:\documents and settings\Famille\Application Data\pard.exe"
"c:\documents and settings\Famille\Application Data\yxdqln.exe"
"c:\documents and settings\Famille\hhmgur.exe"
"c:\documents and settings\Famille\nvwkc.exe"
"c:\system volume information\Whistler\smss.exe"
"c:\system volume information\Whistler\svchost.exe"
.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll


(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Famille\Application Data\pard.exe
c:\documents and settings\Famille\Application Data\yxdqln.exe
c:\documents and settings\Famille\hhmgur.exe
c:\documents and settings\Famille\Local Settings\Application Data\Windows Server
c:\documents and settings\Famille\nvwkc.exe
c:\system volume information\Whistler\smss.exe
c:\system volume information\Whistler\svchost.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-07 au 2010-05-07 ))))))))))))))))))))))))))))))))))))
.

2010-05-07 17:16 . 2010-05-07 17:16 -------- d-----w- c:\program files\Conduit
2010-05-07 17:16 . 2010-05-07 17:16 -------- d-----w- c:\documents and settings\Famille\Local Settings\Application Data\Softonic_France
2010-05-07 17:16 . 2010-05-07 17:16 -------- d-----w- c:\documents and settings\Famille\Local Settings\Application Data\Conduit
2010-05-07 17:16 . 2010-05-07 17:16 -------- d-----w- c:\program files\Softonic_France
2010-05-07 14:33 . 2010-05-07 14:34 -------- d-----w- c:\documents and settings\Administrateur
2010-05-06 19:36 . 2008-04-14 02:34 39424 -c--a-w- c:\windows\system32\dllcache\grpconv.exe
2010-05-06 19:36 . 2008-04-14 02:34 39424 ----a-w- c:\windows\system32\grpconv.exe
2010-05-06 16:29 . 2010-05-06 16:30 -------- d-----w- C:\rsit
2010-05-03 17:33 . 2010-05-03 17:36 -------- d---a-w- C:\Navilog1
2010-05-03 17:33 . 2010-05-03 17:36 -------- d-----w- c:\program files\navilog1
2010-04-12 22:23 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-07 17:12 . 2009-07-17 13:57 -------- d-----w- c:\documents and settings\Famille\Application Data\OnlineArmor
2010-05-07 14:48 . 2004-08-05 12:00 80896 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-07 14:48 . 2004-08-05 12:00 501278 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-06 16:30 . 2008-10-26 13:49 -------- d-----w- c:\program files\Trend Micro
2010-05-06 15:32 . 2004-08-05 12:00 14336 ----a-w- c:\windows\system32\svchost.exe
2010-05-03 16:54 . 2008-11-27 13:33 -------- d-----w- c:\program files\CCleaner
2010-05-02 13:25 . 2008-09-26 13:52 -------- d-----w- c:\documents and settings\Famille\Application Data\Skype
2010-05-02 13:03 . 2008-09-26 13:56 -------- d-----w- c:\documents and settings\Famille\Application Data\skypePM
2010-05-02 11:22 . 2004-08-05 12:00 1037824 ----a-w- c:\windows\explorer.exe
2010-04-07 20:59 . 2008-12-12 15:17 -------- d-----w- c:\documents and settings\All Users\Application Data\CanonIJPLM
2010-03-26 08:33 . 2010-05-03 16:41 1496064 ----a-w- c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-03-26 08:33 . 2010-05-03 16:41 43008 ----a-w- c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-03-26 08:33 . 2010-05-03 16:41 339456 ----a-w- c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-03-26 08:32 . 2010-05-03 16:41 346112 ----a-w- c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-03-16 16:11 . 2010-05-07 17:16 52224 ----a-w- c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}\components\FFExternalAlert.dll
2010-03-16 16:11 . 2010-05-07 17:16 101376 ----a-w- c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}\components\RadioWMPCore.dll
2010-03-11 12:34 . 2004-08-05 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2010-03-11 12:34 . 2004-08-05 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:34 . 2004-08-05 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2010-03-09 11:10 . 2004-08-05 12:00 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-02-24 13:11 . 2004-08-05 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-18 16:10 . 2007-02-23 14:05 319 ----a-w- c:\windows\system32\CRUNX.BIN
2010-02-17 12:07 . 2004-08-05 12:00 2192000 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:07 . 2004-08-04 00:48 2068864 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 04:34 . 2004-08-05 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-05 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2007-03-23 14:01 . 2007-03-23 14:00 76836 -c--a-w- c:\program files\vp.pdf
.

------- Sigcheck -------

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2008-06-20 . D9F19E78F98834CB411D6AD3C68D181A . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB951748$\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys
[-] 2006-04-20 . B2220C618B42A2212A59D91EBD6FC4B4 . 360576 . . [5.1.2600.2892] . . c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys
[-] 2006-04-20 . 1DBF125862891817F374F407626967F4 . 359808 . . [5.1.2600.2892] . . c:\windows\$NtServicePackUninstall$\tcpip.sys
[7] 2004-08-05 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB917953$\tcpip.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"= "c:\program files\Softonic_France\tbSoft.dll" [2010-03-17 2355224]

[HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
2010-03-17 13:45 2355224 ----a-w- c:\program files\Softonic_France\tbSoft.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"= "c:\program files\Softonic_France\tbSoft.dll" [2010-03-17 2355224]

[HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechCameraAssistant"="c:\program files\Logitech\Video\CameraAssistant.exe" [2005-12-07 489472]
"LogitechVideo[inspector]"="c:\program files\Logitech\Video\InstallHelper.exe" [2005-12-07 09:33 73728]
"LogitechCameraService(E)"="c:\windows\system32\ElkCtrl.exe" [2004-11-01 262144]
"CmCardRun"="c:\windows\system32\CmWatch.exe" [2003-09-16 229376]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-09-01 282624]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"D-Link AirPlus XtremeG DWL-G122"="c:\program files\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe" [2008-12-18 1556480]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"OnlineArmor GUI"="c:\program files\Tall Emu\Online Armor\oaui.exe" [2008-03-23 5519424]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

c:\documents and settings\Famille\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2005-10-10 20:49 7286784 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2005-10-10 20:49 86016 ----a-w- c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2006-09-01 13:57 282624 ----a-w- c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2006-08-03 03:12 577536 -c--a-w- c:\windows\soundman.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [17/07/2009 15:56 80072]
R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [17/07/2009 15:56 32456]
R1 OAnet;OAnet;c:\windows\system32\drivers\oanet.sys [17/07/2009 15:56 28872]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [04/08/2009 17:22 108289]
S2 SvcOnlineArmor;Online Armor;c:\program files\Tall Emu\Online Armor\oasrv.exe [17/07/2009 15:56 5414464]
S3 UMSSSTOR;C-Media Storage;c:\windows\system32\drivers\Umss.SYS [13/07/2004 13:40 48512]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2542115
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML
FF - ProfilePath - c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr/
FF - component: c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-07 19:32
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(640)
c:\windows\system32\cryptdll.dll

- - - - - - - > 'explorer.exe'(4784)
c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\system volume information\Whistler\svchost.exe
c:\system volume information\Whistler\smss.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Canon\IJPLM\IJPLMSVC.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\wanmpsvc.exe
c:\windows\system32\lvcomsx.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Internet Explorer\IEXPLORE.EXE
.
**************************************************************************
.
Heure de fin: 2010-05-07 19:40:01 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-07 17:39
ComboFix2.txt 2010-05-06 19:48

Avant-CF: 4 023 975 936 octets libres
Après-CF: 4 048 666 624 octets libres

- - End Of File - - 597F229EF5C83406E44942D605489AEE
0
Réponse 12 / 177
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
7 mai 2010 à 20:14
Salut moulinsart


Désactive la restauration système sur tous les lecteurs :

- Clique droit sur le Poste de travail sur le bureau, dans propriété tu cliques sur l'onglet Restauration système

- Coche la case désactiver la restauration et applique

Redémarre l'ordinateur et réactive la restauration système.

Tutoriel XP : http://www.libellules.ch/desactiver_restauration.php


Refais un scan avec RSIT et poste le contenu du rapport log.txt à la fin de l'analyse

Le rapport est dans le dossier ici C:\rsit


@++ :)
0
Réponse 13 / 177
moulinsart Messages postés 118 Date d'inscription mardi 21 octobre 2008 Statut Membre Dernière intervention 30 janvier 2014 9
7 mai 2010 à 21:14
bonsoir Dédétraqué,

https://www.cjoint.com/?fhvl27esym

voici donc le dossier.

Online Armor ne cesse de me signaler que le programme orange.fr veut changer ma "homepage". Dois-je bloquer ou autoriser ? je ne sais plus.
Merci d'avance
0
Réponse 14 / 177
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
7 mai 2010 à 22:06
Salut moulinsart


Faire un scan de ce fichier svchost.exe ici :

https://www.virustotal.com/gui/


Clique sur Parcourir et copie/colle ceci :
C:\System Volume Information\Whistler\svchost.exe
Après tu clique sur Envoyer le fichier et attendre le résultat de l'analyse.

Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.

Poste le résultat au complet

Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

Faire également un scan de ce fichier :
C:\System Volume Information\Whistler\smss.exe


@++ :)
0
Réponse 15 / 177
moulinsart Messages postés 118 Date d'inscription mardi 21 octobre 2008 Statut Membre Dernière intervention 30 janvier 2014 9
7 mai 2010 à 22:48
Salut Dédétraqué,

Visiblement il y a la même réponse pour les 2 fichiers:Virustotal répond qu'ils sont vides!

0 bytes size received / Se ha recibido un archivo vacio

j'ai essayé plusieurs fois mais toujours la même réponse.
A moins que j'aie fait une fausse manoeuvre ?
0
Réponse 16 / 177
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
7 mai 2010 à 23:31
Salut moulinsart


Télécharge de Avenger ici :
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Lance le et dans le cadre, sous input script here , copie/colle le contenu en gras ci dessous et clic sur Execute:

Files to delete:
C:\System Volume Information\Whistler\svchost.exe
C:\System Volume Information\Whistler\smss.exe


Le PC va re-démarrer, l'outil va travailler et créer un fichier log C:\avenger.txt, poste le contenu de ce rapport.


@++ :)
0
Réponse 17 / 177
moulinsart Messages postés 118 Date d'inscription mardi 21 octobre 2008 Statut Membre Dernière intervention 30 janvier 2014 9
7 mai 2010 à 23:52
Bonsoir,
voici donc le dernier rapport:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\System Volume Information\Whistler\svchost.exe" deleted successfully.
File "C:\System Volume Information\Whistler\smss.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
0
Réponse 18 / 177
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
8 mai 2010 à 00:04
Salut moulinsart


Ok cela bon, refais avec RSIT et poste le rapport pour vérification


@++ :)
0
Réponse 19 / 177
moulinsart Messages postés 118 Date d'inscription mardi 21 octobre 2008 Statut Membre Dernière intervention 30 janvier 2014 9
8 mai 2010 à 00:11
Bonsoir Dédétraqué,
et voici
https://www.cjoint.com/?fiaklDfvJL
le dernier rapport obtenu.
0
Réponse 20 / 177
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
8 mai 2010 à 01:22
Salut moulinsart


Télécharge Dr.Web CureIt! sur le Bureau :
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

- Double clique sur l'icône de drweb-cureit.exe sur le bureau et clique sur Commencer le scan.
- Si des infections sont trouvées après ce scan rapide, clique sur le bouton Oui pour Tout.
- Après ce scan rapide, sélectionnez Analyse complète et clique sur la flèche verte à droite.
- Le scan du PC va débuter, le scan peut-être très très long.
- Si une infection sont trouvée, clique sur le bouton Oui pour Tout.
- A la fin du scan, si des infections sont trouvées, clique sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, clique sur Quarantaine.
- Au menu principal de l'outil, en haut à gauche, clique sur le menu Fichier et choisissez Enregistrer le rapport.
- Sauvegarde le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.
- Ferme Dr.Web CureIt!
- Redémarre ton PC (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.


@++ :)
0

Discussions similaires

Problème de clavier, des fenêtre s'ouvrent !!
Lyon691D -
tanteelise -

5 réponses
cigarettes sur tabac-online.eu
mari21 -
Cachou -

11 réponses
Commande non reçue ONLINE STORE
Pat -
Leo -

4 réponses
Fiabilité site chaussures online
Wawa -
Frank -

3 réponses
Outlook s'ouvre tout seul
Mezann -
Mezann -

10 réponses