[virus] Il annule mes setup et ralenti mon pc

Franckyll Messages postés 10 Statut Membre -  
 don vincenzoo -
Salut a tous,
Alors voila, j'ai récemment découvert que mon pc ramait de plus en plus, et j'ai remarqué dans mes processus,un fichier "guard.exe"(qui appartient au logiciel ewido 4.0),était activé et ne pouvait etre arrété, pourtant ewido n'était pas activé du tout sur mon pc ! J'ai envoyé ce fichier sur un multiscanner on line, et la totalité m'a répondu que ce fichier était infecté.

Autre chose,J'étais infecté par un certain virus "W32.virut.A" je crois, et il avait contaminé beacoup d'applications a moi dont , Ewido,Avast,Nero etc... Apres une longue tentative de désinfection,le virus ne semblait plus se manifester. Jusqu'au jour ou je voulais installer un autre anti-virus (AntiVir) mais lors de l'installation j'ai un message d'erreur : "The CRC...(Adresse du dossier temp\RarSFX0\upgrade.exe has been changed ! This could be due to a virus ! Do you want to shut down Setup ?" Et je n'ai que le réponse OK a choisir,donc ça m'annule le setup.

Ce virus est vraiment agaçant, je vous join un rapport Kaspersky et Hijack:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER - RAPPORT
dimanche 9 juillet 2006 13:52:53
Système d'exploitation : Microsoft Windows XP Professional, (Build 2600)
Version de Kaspersky On-line Scanner: 5.0.78.0
Dernière mise à jour de la base antivirus Kaspersky : 9/07/2006
Enregistrements dans la base antivirus Kaspersky : 205937
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: étendue
Analyser les archives: vrai
Analyser les bases de messagerie.: vrai

Cible de l'analyse - Zones critiques:
H:\WINDOWS
H:\DOCUME~1\FR@NCK~1\LOCALS~1\Temp\

Statistiques de l'analyse:
Total d'objets analysés :: 11917
Nombre de virus trouvés: 2
Nombre d'objets infectés: 10
Nombre d'objets suspects: 0
Durée de l'analyse: 00:19:20

Nom de l'objet infecté / Nom du virus / Dernière action
H:\WINDOWS\Installer\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\IconE9F814234.exe Infecté: Virus.Win32.Virut.a ignoré
H:\WINDOWS\Installer\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\IconE9F814236.exe Infecté: Virus.Win32.Virut.a ignoré
H:\WINDOWS\system32\AVASTSS.scr Infecté: Virus.Win32.Virut.a ignoré
H:\WINDOWS\system32\config\systemprofile\Bureau\freeprodtb.exe/data0002 Infecté: not-a-virus:AdWare.Win32.Softomate.q ignoré
H:\WINDOWS\system32\config\systemprofile\Bureau\freeprodtb.exe NSIS: infecté - 1 ignoré
H:\WINDOWS\system32\pxhpinst.exe Infecté: Virus.Win32.Virut.a ignoré
H:\DOCUME~1\FR@NCK~1\LOCALS~1\Temp\AutoRun.exe Infecté: Virus.Win32.Virut.a ignoré
H:\DOCUME~1\FR@NCK~1\LOCALS~1\Temp\eauninstall.exe Infecté: Virus.Win32.Virut.a ignoré
H:\DOCUME~1\FR@NCK~1\LOCALS~1\Temp\Need for Speed Underground 2_uninst.exe Infecté: Virus.Win32.Virut.a ignoré
H:\DOCUME~1\FR@NCK~1\LOCALS~1\Temp\Set9E7.tmp Infecté: Virus.Win32.Virut.a ignoré

Analyse terminée.

----------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 14:14:57, on 09/07/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\SYSTEM32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\System32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\SYSTEM32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\windows\system32\msdntsrv.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
H:\Program Files\MSN Messenger\msnmsgr.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Internet Explorer\iexplore.exe
H:\WINDOWS\system32\NOTEPAD.EXE
H:\Program Files\HT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe
O4 - HKLM\..\Run: [TkBellExe] "H:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [Windows Base Services] wbse32.exe
O4 - HKCU\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://H:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://H:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://H:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://H:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://H:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: @H:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @H:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site....
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - https://www.f-secure.com/en/home/support
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{23A28092-578D-406D-ACAB-743FEC840A4F}: NameServer = 86.64.145.145 84.103.237.145
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: h:\windows\system32\wmfhotfix.dll MsgPlusLoader.dll
O20 - Winlogon Notify: WgaLogon - H:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - H:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Adobe LM Service - Unknown owner - H:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Service de la passerelle de la couche Application (ALG) - Unknown owner - H:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nvsec(nvsec) (NvSec) - Unknown owner - H:\WINDOWS\system32\nvsec.exe (file missing)
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - H:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - H:\WINDOWS\update\updmgr.exe (file missing)
O23 - Service: Windows TCP/IP Socket Driver (winsck) - Unknown owner - H:\WINDOWS\winsock\csrss.exe (file missing)

37 réponses

  • 1
  • 2
Résumé de la discussion

Le problème décrit une infection persistante provoquant un ralentissement, la présence d un fichier guard.exe lié à ewido anti-spyware 4.0, détecté comme infecté par un multiscanner en ligne. Le diagnostic indique Virus.Win32.Virut.a ayant contaminé plusieurs programmes (Ewido, Avast, Nero) et un rapport Kaspersky répertoriant des objets infectés, avec des éléments de démarrage compromis et des fichiers système touchés. Les réponses évoquent l inspection du host et des entrées de démarrage via HijackThis et Silent Runners, et l impossibilité d installer AntiVir à cause d un message d'erreur CRC. Des éléments supplémentaires montrent des entrées Run et des services malveillants persistants, indiquant qu une purification en profondeur et une remise en état du système pourraient être nécessaires avant toute installation antivirus.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Bonjour,

    Méthode à suivre dans l'ordre...
    ----------------------------------------------------------------------------
    ¤Télécharge ces logiciels mais que tu n‘utilises pas tout de suite:

    1/

    Spybot S&D 1.4 <<nouvelle version.
    https://www.safer-networking.org/

    Démo d’utilisation (merci à Balltrap34 pour cette réalisation).
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

    2/

    Ad-Aware SE 1.06 <<nouvelle version.
    https://www.adaware.com/
    -Une aide:
    http://usa.lucretius-ada.com/zcvisitor/8782d344-4821-11ea-83ce-0a2cdf2c6be7?campaignid=0d1dff40-82d7-11e9-9533-0a157bfa6bfc
    - installe le patch français, tu pourras le trouver ici:
    http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
    et une petite vidéo d'utilisation ici:(merci à Moe31 pour cette réalisation).
    http://pageperso.aol.fr/balltrap34/adawrevid.asf

    3/ Ewido:

    http://perso.orange.fr/entraide-hijackthis/Ewido/

    Installation puis mises à jour.

    4/ Ccleaner :

    https://www.pcastuces.com/logitheque/ccleaner.htm
    ----------------------------------------------------------------------------
    ¤Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

    Coche « afficher les fichiers et dossiers cachés »

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décoche « masquer les extensions dont le type est connu »
    Puis fais «Ok» pour valider les changements.

    Et appliquer !
    ----------------------------------------------------------------------------
    ¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

    O4 - HKLM\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe

    O4 - HKLM\..\Run: [Windows Base Services] wbse32.exe

    O4 - HKCU\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe

    O20 - AppInit_DLLs: h:\windows\system32\wmfhotfix.dll MsgPlusLoader.dll

    ----------------------------------------------------------------------------
    ¤Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    ¤Recherche et supprime ceci:
    attention seulement les fichiers (si présents).

    C:\WINDOWS\system32\wmfhotfix.dll
    c:\windows\system32\msdntsrv.exe
    wbse32.exe

    ----------------------------------------------------------------------------
    ¤ Lancer et exécuter Ewido pour un scan complet et copier/coller le rapport en forum.
    ----------------------------------------------------------------------------
    ¤ Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…
    ----------------------------------------------------------------------------
    ¤ Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
    -------------------------------------------------------------------------------------------
    ¤ Lance CCleaner.

    Suppression des fichiers temporaires

    Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
    Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
    • Clique sur Analyse
    • Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
    • Une fois le scan terminé, clique sur Lancer le Nettoyage

    Suppression des incohérence du registre

    • Clique sur l'icône Erreurs situés dans la marge à gauche.
    • Puis clique sur Analyser les erreurs
    • Patiente pendant que CCleaner scan ton registre.
    • Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
    • Tu peux cliquer ensuite sur Corriger les erreurs.
    Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement
    ----------------------------------------------------------------------------
    ¤ Vide ta Corbeille.
    ----------------------------------------------------------------------------
    ¤ Redémarre en mode normal, relance Hijackthis et copie/colle un nouveau rapport sur le forum.

    Précise tes soucis s’il en reste....

    Tiens-moi au courant

    A+
    0
  2. franckyll
     
    ---------------------------------------------------------
    ewido anti-spyware - Scan Report
    ---------------------------------------------------------

    + Created at: 21:37:34 11/07/2006

    + Scan result:

    Nothing found.

    ::Report end

    ------------------------------------------------------------------------
    Logfile of HijackThis v1.99.1
    Scan saved at 22:44:54, on 11/07/2006
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    H:\WINDOWS\System32\smss.exe
    H:\WINDOWS\SYSTEM32\winlogon.exe
    H:\WINDOWS\system32\services.exe
    H:\WINDOWS\system32\lsass.exe
    H:\WINDOWS\System32\Ati2evxx.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\System32\svchost.exe
    H:\WINDOWS\SYSTEM32\Ati2evxx.exe
    H:\WINDOWS\Explorer.EXE
    H:\WINDOWS\system32\spoolsv.exe
    H:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    H:\Program Files\ewido anti-spyware 4.0\guard.exe
    H:\Program Files\MSN Messenger\msnmsgr.exe
    H:\WINDOWS\System32\wuauclt.exe
    H:\Program Files\Internet Explorer\iexplore.exe
    H:\WINDOWS\System32\svchost.exe
    H:\Program Files\HT\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [TkBellExe] "H:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: &Traduire à partir de l'anglais - res://H:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: Pages liées - res://H:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://H:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Recherche &Google - res://H:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://H:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
    O9 - Extra button: @H:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: @H:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
    O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
    O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site....
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
    O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - https://www.f-secure.com/en/home/support
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{23A28092-578D-406D-ACAB-743FEC840A4F}: NameServer = 86.64.145.145 84.103.237.145
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - H:\WINDOWS\SYSTEM32\WgaLogon.dll
    O20 - Winlogon Notify: WRNotifier - H:\WINDOWS\SYSTEM32\WRLogonNTF.dll
    O23 - Service: Adobe LM Service - Unknown owner - H:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Service de la passerelle de la couche Application (ALG) - Unknown owner - H:\WINDOWS\System32\alg.exe (file missing)
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - H:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: nvsec(nvsec) (NvSec) - Unknown owner - H:\WINDOWS\system32\nvsec.exe (file missing)
    O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
    O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - H:\WINDOWS\System32\wdfmgr.exe (file missing)
    O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - H:\WINDOWS\update\updmgr.exe (file missing)
    O23 - Service: Windows TCP/IP Socket Driver (winsck) - Unknown owner - H:\WINDOWS\winsock\csrss.exe (file missing)
    0
  3. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    oK c est beaucoup mieux.

    Il est temps d installer un antivirus, avast ou antivir comme tu veux.

    A+
    0
  4. Franckyll
     
    Il subsiste toujours un problème, pour l'installation de AntiVir, j'ai le meme message d'erreur et je ne peut toujours pas l'installer, et je refuse d'installer avast car il ne détecte pas grand chose.Y'aurai t'il une solution ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Installe Avast.
    Il est beaucoup mieux, plus simple, plus leger.

    Toute maniere il en faut un maintenant, met avast et des que tout sera en ordre, tu pourras changer.

    Qu'en penses tu?

    a+
    0
  7. Franckyll Messages postés 10 Statut Membre
     
    Bon d'accord, je vais installer Avast! mais le fait que quand je le lance, le logiciel me dit que ses conposants ont été modifiés et que je prendrai un risque de les activer ... ça me fait un peu peur...
    0
  8. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    re;

    Lance ce scan en ligne:
    http://www.bitdefender.fr/scan8/ie.html
    Copie/colle le rapport
    0
  9. Franckyll Messages postés 10 Statut Membre
     
    BitDefender Online Scanner
    Rapport d'analyse généré à: Thu, Jul 13, 2006 - 19:36:47
    Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;H:\;

    Statistiques

    Temps
    722:17:37

    Fichiers
    300197

    Directoires
    5214

    Secteurs de boot
    5

    Archives
    9317

    Paquets programmes
    21798

    Résultats

    Virus identifiés
    5

    Fichiers infectés
    85

    Fichiers suspects
    1

    Avertissements
    0

    Désinfectés
    79

    Fichiers effacés
    5

    Info sur les moteurs

    Définition virus
    407620

    Version des moteurs
    AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)

    Analyse des plugins
    13

    Archive des plugins
    39

    Unpack des plugins
    5

    E-mail plugins
    6

    Système plugins
    1

    Paramètres d'analyse

    Première action
    Désinfecté

    Seconde Action
    Supprimé

    Heuristique
    Oui

    Acceptez les avertissements
    Oui

    Extensions analysées
    *;

    Excludez les extensions

    Analyse d'emails
    Oui

    Analyse des Archives
    Oui

    Analyser paquets programmes
    Oui

    Analyse des fichiers
    Oui

    Analyse de boot
    Oui

    Fichier analysé
    Statut

    C:\dl emule\TextAloud.MP3.v2.0.Incl.Keygen.Read.NFO-ORiON.ShareConnector\o-zep5a8\ORiON\Keygen.exe
    Infecté par: Win32.Virtob.C

    C:\dl emule\TextAloud.MP3.v2.0.Incl.Keygen.Read.NFO-ORiON.ShareConnector\o-zep5a8\ORiON\Keygen.exe
    Désinfecté

    C:\dl emule\[FLASH] Sothink SWF Decompiler MX 2005 + crack\SWFDecompiler.exe
    Infecté par: Win32.Virtob.C

    C:\dl emule\[FLASH] Sothink SWF Decompiler MX 2005 + crack\SWFDecompiler.exe
    Désinfecté

    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Accessoires\Divertissement\Lecteur Windows Media.lnk=>C:\Program Files\Windows Media Player\wmplayer.exe
    Suspecté de: Dropped:Generic.Malware.Sdld.EC9CC45D

    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Accessoires\Divertissement\Lecteur Windows Media.lnk=>C:\Program Files\Windows Media Player\wmplayer.exe
    Echec de la désinfection

    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Accessoires\Divertissement\Lecteur Windows Media.lnk=>C:\Program Files\Windows Media Player\wmplayer.exe
    Supprimé

    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Accessoires\Divertissement\Lecteur Windows Media.lnk
    Echec de la mise à jour

    C:\Program Files\Ad-Aware SE Personal\Ad-Aware.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Ad-Aware SE Personal\Ad-Aware.exe
    Désinfecté

    C:\Program Files\Ad-Aware SE Personal\unregaaw.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Ad-Aware SE Personal\unregaaw.exe
    Désinfecté

    C:\Program Files\Ad-Aware SE Personal\UNWISE.EXE
    Infecté par: Win32.Virtob.C

    C:\Program Files\Ad-Aware SE Personal\UNWISE.EXE
    Désinfecté

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\Accentuation.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\Accentuation.exe
    Désinfecté

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\Créer bouton.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\Créer bouton.exe
    Désinfecté

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\Enregistrement multiformat.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\Enregistrement multiformat.exe
    Désinfecté

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\GIF (128 couleurs).exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\GIF (128 couleurs).exe
    Désinfecté

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\GIF (64 couleurs).exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\GIF (64 couleurs).exe
    Désinfecté

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\GIF(32, pas de tramage).exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\GIF(32, pas de tramage).exe
    Désinfecté

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\JPEG (qualité 10).exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\JPEG (qualité 10).exe
    Désinfecté

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\JPEG (qualité 30).exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\JPEG (qualité 30).exe
    Désinfecté

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\JPEG (qualité 60).exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\JPEG (qualité 60).exe
    Désinfecté

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\Limiter 350, JPG 30.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\Limiter 350, JPG 30.exe
    Désinfecté

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\Limiter à 200x200 pixels.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\Limiter à 200x200 pixels.exe
    Désinfecté

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\Limiter à 64X64 pixels.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Adobe\Photoshop CS\Exemples\Droplets\Droplets ImageReady\Limiter à 64X64 pixels.exe
    Désinfecté

    C:\Program Files\Adobe\Photoshop CS\ImageReady.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Adobe\Photoshop CS\ImageReady.exe
    Désinfecté

    C:\Program Files\Adobe\Photoshop CS\Photoshop.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Adobe\Photoshop CS\Photoshop.exe
    Désinfecté

    C:\Program Files\Adobe\Photoshop CS\Required\Droplet Template.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Adobe\Photoshop CS\Required\Droplet Template.exe
    Désinfecté

    C:\Program Files\CD Keys\CDKeys.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\CD Keys\CDKeys.exe
    Désinfecté

    C:\Program Files\CD Keys\UNWISE.EXE
    Infecté par: Win32.Virtob.C

    C:\Program Files\CD Keys\UNWISE.EXE
    Désinfecté

    C:\Program Files\EA GAMES\Need for Speed Underground 2\eauninstall.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\EA GAMES\Need for Speed Underground 2\eauninstall.exe
    Désinfecté

    C:\Program Files\EA GAMES\Need for Speed Underground 2\SPEED2.EXE
    Infecté par: Win32.Virtob.C

    C:\Program Files\EA GAMES\Need for Speed Underground 2\SPEED2.EXE
    Désinfecté

    C:\Program Files\EA GAMES\Need for Speed Underground 2\Support\EasyInfo.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\EA GAMES\Need for Speed Underground 2\Support\EasyInfo.exe
    Désinfecté

    C:\Program Files\EA GAMES\Need for Speed Underground 2\Support\EReg.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\EA GAMES\Need for Speed Underground 2\Support\EReg.exe
    Désinfecté

    C:\Program Files\EA GAMES\Need for Speed Underground 2\Support\Need for Speed Underground 2_code.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\EA GAMES\Need for Speed Underground 2\Support\Need for Speed Underground 2_code.exe
    Désinfecté

    C:\Program Files\EA GAMES\Need for Speed Underground 2\Support\Need for Speed Underground 2_uninst.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\EA GAMES\Need for Speed Underground 2\Support\Need for Speed Underground 2_uninst.exe
    Désinfecté

    C:\Program Files\GUILD WARS\Gw.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\GUILD WARS\Gw.exe
    Désinfecté

    C:\Program Files\Hitman Pro\chktrust.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Hitman Pro\chktrust.exe
    Désinfecté

    C:\Program Files\Hitman Pro\pacomp.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Hitman Pro\pacomp.exe
    Désinfecté

    C:\Program Files\Hitman Pro\pacrypt.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Hitman Pro\pacrypt.exe
    Désinfecté

    C:\Program Files\Hitman Pro\paext.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Hitman Pro\paext.exe
    Désinfecté

    C:\Program Files\Hitman Pro\wget.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Hitman Pro\wget.exe
    Désinfecté

    C:\Program Files\Messenger Plus! Live\Uninstall.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Messenger Plus! Live\Uninstall.exe
    Désinfecté

    C:\Program Files\QuickTime\PictureViewer.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\QuickTime\PictureViewer.exe
    Désinfecté

    C:\Program Files\QuickTime\QTInfo.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\QuickTime\QTInfo.exe
    Désinfecté

    C:\Program Files\QuickTime\QTSystem\QTPluginInstaller.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\QuickTime\QTSystem\QTPluginInstaller.exe
    Désinfecté

    C:\Program Files\QuickTime\QTSystem\QuickTimeUpdateHelper.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\QuickTime\QTSystem\QuickTimeUpdateHelper.exe
    Désinfecté

    C:\Program Files\QuickTime\QuickTimePlayer.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\QuickTime\QuickTimePlayer.exe
    Désinfecté

    C:\Program Files\spywareblaster\sbautoupdate.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\spywareblaster\sbautoupdate.exe
    Désinfecté

    C:\Program Files\spywareblaster\spywareblaster.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\spywareblaster\spywareblaster.exe
    Désinfecté

    C:\Program Files\Steam\bin\makepak.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Steam\bin\makepak.exe
    Désinfecté

    C:\Program Files\Steam\steam.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Steam\steam.exe
    Désinfecté

    C:\Program Files\Steam\SteamApps\franckyll\counter-strike\hl.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Steam\SteamApps\franckyll\counter-strike\hl.exe
    Désinfecté

    C:\Program Files\Steam\SteamApps\franckyll\counter-strike\hlds.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Steam\SteamApps\franckyll\counter-strike\hlds.exe
    Désinfecté

    C:\Program Files\Steam\WriteMiniDump.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Steam\WriteMiniDump.exe
    Désinfecté

    C:\Program Files\TextAloud\AppCloserProject.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\TextAloud\AppCloserProject.exe
    Désinfecté

    C:\Program Files\TextAloud\pdftotext.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\TextAloud\pdftotext.exe
    Désinfecté

    C:\Program Files\TextAloud\TextAloudMP3.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\TextAloud\TextAloudMP3.exe
    Désinfecté

    C:\Program Files\Warcraft III\BNUpdate.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Warcraft III\BNUpdate.exe
    Désinfecté

    C:\Program Files\Webroot\Spy Sweeper\SafeSweeper.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Webroot\Spy Sweeper\SafeSweeper.exe
    Désinfecté

    C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    Désinfecté

    C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
    Désinfecté

    C:\Program Files\Winamp\winamp.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Winamp\winamp.exe
    Désinfecté

    C:\Program Files\Winamp\winampa.exe
    Infecté par: Win32.Virtob.C

    C:\Program Files\Winamp\winampa.exe
    Désinfecté

    C:\RECYCLER\S-1-5-21-1757981266-2139871995-682003330-1003\Dc8\crack.exe
    Infecté par: Trojan.Dropper.Delf.VT

    C:\RECYCLER\S-1-5-21-1757981266-2139871995-682003330-1003\Dc8\crack.exe
    Supprimé

    C:\RECYCLER\S-1-5-21-1757981266-2139871995-682003330-1003\Dc9.rar=>crack.exe
    Infecté par: Trojan.Dropper.Delf.VT

    C:\RECYCLER\S-1-5-21-1757981266-2139871995-682003330-1003\Dc9.rar=>crack.exe
    Supprimé

    C:\RECYCLER\S-1-5-21-1757981266-2139871995-682003330-1003\Dc9.rar
    Echec de la mise à jour

    H:\Documents and Settings\All Users\Menu Démarrer\Programmes\Alcohol 120%\Alcohol 120%.lnk=>H:\Program Files\Alcohol Soft\Alcohol 120\Alcohol.exe
    Infecté par: Win32.Virtob.C

    H:\Documents and Settings\All Users\Menu Démarrer\Programmes\Alcohol 120%\Alcohol 120%.lnk=>H:\Program Files\Alcohol Soft\Alcohol 120\Alcohol.exe
    Désinfecté

    H:\Documents and Settings\All Users\Menu Démarrer\Programmes\Alcohol 120%\Alcohol 120%.lnk
    Mis à jour

    H:\Documents and Settings\All Users\Menu Démarrer\Programmes\Alcohol 120%\Alcohol Command Launcher.lnk=>H:\Program Files\Alcohol Soft\Alcohol 120\AxCmd.exe
    Infecté par: Win32.Virtob.C

    H:\Documents and Settings\All Users\Menu Démarrer\Programmes\Alcohol 120%\Alcohol Command Launcher.lnk=>H:\Program Files\Alcohol Soft\Alcohol 120\AxCmd.exe
    Désinfecté

    H:\Documents and Settings\All Users\Menu Démarrer\Programmes\Alcohol 120%\Alcohol Command Launcher.lnk
    Mis à jour

    H:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk=>H:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    Infecté par: Win32.Virtob.C

    H:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk=>H:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    Désinfecté

    H:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
    Mis à jour

    H:\Documents and Settings\All Users\Menu Démarrer\Programmes\Macromedia Flash 5\Flash 5.lnk=>H:\Program Files\Macromedia\Flash 5\Flash.exe
    Infecté par: Win32.Virtob.C

    H:\Documents and Settings\All Users\Menu Démarrer\Programmes\Macromedia Flash 5\Flash 5.lnk=>H:\Program Files\Macromedia\Flash 5\Flash.exe
    Désinfecté

    H:\Documents and Settings\All Users\Menu Démarrer\Programmes\Macromedia Flash 5\Flash 5.lnk
    Mis à jour

    H:\Documents and Settings\All Users\Menu Démarrer\Programmes\Macromedia Flash 5\Lecteur Autonome.lnk=>H:\Program Files\Macromedia\Flash 5\Lecteurs\FlashPla.exe
    Infecté par: Win32.Virtob.C

    H:\Documents and Settings\All Users\Menu Démarrer\Programmes\Macromedia Flash 5\Lecteur Autonome.lnk=>H:\Program Files\Macromedia\Flash 5\Lecteurs\FlashPla.exe
    Désinfecté

    H:\Documents and Settings\All Users\Menu Démarrer\Programmes\Macromedia Flash 5\Lecteur Autonome.lnk
    Mis à jour

    H:\Documents and Settings\All Users\Menu Démarrer\Programmes\QuickTime\Désinstaller QuickTime.lnk=>H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriver.exe
    Infecté par: Win32.Virtob.C

    H:\Documents and Settings\All Users\Menu Démarrer\Programmes\QuickTime\Désinstaller QuickTime.lnk=>H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriver.exe
    Désinfecté

    H:\Documents and Settings\All Users\Menu Démarrer\Programmes\QuickTime\Désinstaller QuickTime.lnk
    Mis à jour

    H:\Documents and Settings\Fr@nckyll\Bureau\CustomKick 1.20.01\CustomKick 1.20.01.exe
    Infecté par: Win32.Virtob.C

    H:\Documents and Settings\Fr@nckyll\Bureau\CustomKick 1.20.01\CustomKick 1.20.01.exe
    Désinfecté

    H:\Documents and Settings\Fr@nckyll\Bureau\CustomKick 1.20.01\StatHack 1.19.01\StatHack 1.19.01.exe
    Infecté par: Win32.Virtob.C

    H:\Documents and Settings\Fr@nckyll\Bureau\CustomKick 1.20.01\StatHack 1.19.01\StatHack 1.19.01.exe
    Désinfecté

    H:\Documents and Settings\Fr@nckyll\Bureau\truc\livredor\livredor.exe
    Infecté par: Win32.Virtob.C

    H:\Documents and Settings\Fr@nckyll\Bureau\truc\livredor\livredor.exe
    Désinfecté

    H:\Documents and Settings\Fr@nckyll\Bureau\warcraft h shadowfrench [1.20] namespoofer [96211]\W3XNameSpoofer11800.exe
    Infecté par: Win32.Virtob.C

    H:\Documents and Settings\Fr@nckyll\Bureau\warcraft h shadowfrench [1.20] namespoofer [96211]\W3XNameSpoofer11800.exe
    Désinfecté

    H:\Program Files\ewido anti-spyware 4.0\ewido.exe
    Infecté par: Win32.Virtob.C

    H:\Program Files\ewido anti-spyware 4.0\ewido.exe
    Désinfecté

    H:\Program Files\ewido anti-spyware 4.0\guard.exe
    Infecté par: Win32.Virtob.C

    H:\Program Files\ewido anti-spyware 4.0\guard.exe
    Désinfecté

    H:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    Infecté par: Win32.Virtob.C

    H:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    Désinfecté

    H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriver2.exe
    Infecté par: Win32.Virtob.C

    H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriver2.exe
    Désinfecté

    H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    Infecté par: Win32.Virtob.C

    H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    Désinfecté

    H:\Program Files\Fichiers communs\InstallShield\Professional\RunTime\0701\Intel32\DotNetInstaller.exe
    Infecté par: Win32.Virtob.C

    H:\Program Files\Fichiers communs\InstallShield\Professional\RunTime\0701\Intel32\DotNetInstaller.exe
    Désinfecté

    H:\Program Files\InstallShield Installation Information\{4C93C363-414E-11D4-9756-00C04F8EEB39}\Setup.exe
    Infecté par: Win32.Virtob.C

    H:\Program Files\InstallShield Installation Information\{4C93C363-414E-11D4-9756-00C04F8EEB39}\Setup.exe
    Désinfecté

    H:\Program Files\Macromedia\Flash 5\Lecteurs\Debug\FlashPla.exe
    Infecté par: Win32.Virtob.C

    H:\Program Files\Macromedia\Flash 5\Lecteurs\Debug\FlashPla.exe
    Désinfecté

    H:\Program Files\Macromedia\Flash 5\Lecteurs\Release\FlashPla.exe
    Infecté par: Win32.Virtob.C

    H:\Program Files\Macromedia\Flash 5\Lecteurs\Release\FlashPla.exe
    Désinfecté

    H:\System Volume Information\_restore{B5EF94A3-2654-4D71-8CD0-443774216900}\RP12\A0008479.exe
    Détecté avec: Adware.Toolbar888.A

    H:\System Volume Information\_restore{B5EF94A3-2654-4D71-8CD0-443774216900}\RP12\A0008479.exe
    Echec de la désinfection

    H:\System Volume Information\_restore{B5EF94A3-2654-4D71-8CD0-443774216900}\RP12\A0008479.exe
    Supprimé

    H:\WINDOWS\delttsul.exe
    Infecté par: Win32.Virtob.C

    H:\WINDOWS\delttsul.exe
    Désinfecté

    H:\WINDOWS\Installer\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\IconE9F814234.exe
    Infecté par: Win32.Virtob.C

    H:\WINDOWS\Installer\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\IconE9F814234.exe
    Désinfecté

    H:\WINDOWS\Installer\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\IconE9F814236.exe
    Infecté par: Win32.Virtob.C

    H:\WINDOWS\Installer\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\IconE9F814236.exe
    Désinfecté

    H:\WINDOWS\system32\ati2evxx.exe
    Infecté par: Win32.Virtob.C

    H:\WINDOWS\system32\ati2evxx.exe
    Echec de la désinfection

    H:\WINDOWS\system32\ati2evxx.exe
    Echec de la suppression

    H:\WINDOWS\system32\drivers\oreans32.sys
    Infecté par: Trojan.Rootkit.Oreans.A

    H:\WINDOWS\system32\drivers\oreans32.sys
    Echec de la désinfection

    H:\WINDOWS\system32\drivers\oreans32.sys
    Supprimé

    H:\WINDOWS\system32\pxhpinst.exe
    Infecté par: Win32.Virtob.C

    H:\WINDOWS\system32\pxhpinst.exe
    Désinfecté

    H:\WINDOWS\system32\spoolsv.exe
    Infecté par: Win32.Virtob.C

    H:\WINDOWS\system32\spoolsv.exe
    Echec de la désinfection

    H:\WINDOWS\system32\spoolsv.exe
    Echec de la suppression
    0
  10. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

    Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents.
    0
  11. Franckyll
     
    Désolé , mais je ne voit pas trop ce que tu veut dire par : "laisse [X]scan through Windows Explorer activé"

    Et dès que j'ai fini le scan , le logiciel me dis qu'il n'a rien trouvé, et je passe a l'étape finish directement , je n'ai pas a cliquer sur "next" , Je copie/colle mon rapport quand meme ?
    0
  12. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Oui colle le rapport, je regarderais.

    a+
    0
  13. Franckyll
     
    Voila mon Rapport,mais j'espere que ça va résoudre le problème , parce que je viens d'installer "World of Warcraft" Et je ne peut pas y jouer a cause de ce virus qui modifie toutes applications ! :'(
    --------------------------------------------------------------------------
    07/16/06 02:32:17 [Info]: BlackLight Engine 1.0.42 initialized
    07/16/06 02:32:17 [Info]: OS: 5.1 build 2600 ()
    07/16/06 02:32:17 [Note]: 7019 4
    07/16/06 02:32:17 [Note]: 7005 0
    07/16/06 02:32:20 [Note]: 7006 0
    07/16/06 02:32:20 [Note]: 7011 1568
    07/16/06 02:32:20 [Note]: 7026 0
    07/16/06 02:32:20 [Note]: 7026 0
    07/16/06 02:32:39 [Note]: FSRAW library version 1.7.1019
    07/16/06 02:35:37 [Note]: 7007 0
    0
  14. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Re,

    Telecharge ceci
    https://www.silentrunners.org/Silent%20Runners.vbs
    Execute le,atends quelques minutes, il va creer ensuite un dossier juste a coté de silent runner sous format texte, copie/colle ce qu il te donnera

    A+
    0
  15. Franckyll
     
    "Silent Runners.vbs", revision 46, https://www.silentrunners.org/
    Operating System: Windows XP
    Output limited to non-default values, except where indicated by "{++}"

    Startup items buried in registry:
    ---------------------------------

    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
    "WinUpdate.exe" = "H:\Program Files\Windows\WinUpdate.exe" [file not found]

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
    "ishost.exe" = "ishost.exe" [file not found]
    "issearch.exe" = "issearch.exe" [file not found]

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    "TkBellExe" = ""H:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
    "MessengerPlus3" = ""C:\Program Files\MessengerPlus! 3\MsgPlus.exe"" ["Patchou"]

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
    "MessengerPlusLiveUninstall" = ""H:\DOCUME~1\FR@NCK~1\LOCALS~1\Temp\MsgPlusUninstall.exe" /Cleanup" ["Patchou"]

    HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
    "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
    -> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"
    \InProcServer32\(Default) = "deskpan.dll" [file not found]
    "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
    -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
    \InProcServer32\(Default) = "H:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
    "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
    -> {HKLM...CLSID} = "WinRAR"
    \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
    "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
    -> {HKLM...CLSID} = "Portable Media Devices"
    \InProcServer32\(Default) = "H:\WINDOWS\System32\Audiodev.dll" [MS]
    "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
    -> {HKLM...CLSID} = "Portable Media Devices Menu"
    \InProcServer32\(Default) = "H:\WINDOWS\System32\Audiodev.dll" [MS]
    "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
    -> {HKLM...CLSID} = "RealOne Player Context Menu Class"
    \InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
    "{e82a2d71-5b2f-43a0-97b8-81be15854de8}" = "ShellLink for Application References"
    -> {HKLM...CLSID} = "ShellLink for Application References"
    \InProcServer32\(Default) = "H:\WINDOWS\System32\dfshim.dll" [MS]
    "{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}" = "Shell Icon Handler for Application References"
    -> {HKLM...CLSID} = "Shell Icon Handler for Application References"
    \InProcServer32\(Default) = "H:\WINDOWS\System32\dfshim.dll" [MS]
    "{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
    -> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
    \InProcServer32\(Default) = "H:\Program Files\Fichiers communs\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
    "{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
    -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
    \InProcServer32\(Default) = "H:\Program Files\Fichiers communs\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
    "{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
    -> {HKLM...CLSID} = "AlcoholShellEx"
    \InProcServer32\(Default) = "H:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]

    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
    INFECTION WARNING! "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "ewido anti-spyware 4.0"
    -> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
    \InProcServer32\(Default) = "H:\Program Files\ewido anti-spyware 4.0\shellexecutehook.dll" ["Anti-Malware Development a.s."]

    HKLM\System\CurrentControlSet\Control\Session Manager\
    INFECTION WARNING! "BootExecute" = "autocheck autochk * SsiEfr.e OODBS" [file not found], [MS], [file not found], [file not found], [file not found]

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
    INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
    INFECTION WARNING! WgaLogon\DLLName = "WgaLogon.dll" [MS]
    INFECTION WARNING! WRNotifier\DLLName = "WRLogonNTF.dll" ["Webroot Software, Inc."]

    HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
    {7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
    -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
    \InProcServer32\(Default) = "H:\Program Files\Fichiers communs\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
    {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
    -> {HKLM...CLSID} = "PDF Shell Extension"
    \InProcServer32\(Default) = "C:\Program Files\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

    HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
    ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
    -> {HKLM...CLSID} = "CContextScan Object"
    \InProcServer32\(Default) = "H:\Program Files\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."]
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
    -> {HKLM...CLSID} = "WinRAR"
    \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

    HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
    ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
    -> {HKLM...CLSID} = "CContextScan Object"
    \InProcServer32\(Default) = "H:\Program Files\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."]
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
    -> {HKLM...CLSID} = "WinRAR"
    \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

    HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
    -> {HKLM...CLSID} = "WinRAR"
    \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

    Active Desktop and Wallpaper:
    -----------------------------

    Active Desktop is disabled at this entry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

    HKCU\Control Panel\Desktop\
    "Wallpaper" = "C:\photos\logo\logo noir & vert plastik.bmp"

    Enabled Screen Saver:
    ---------------------

    HKCU\Control Panel\Desktop\
    "SCRNSAVE.EXE" = "H:\WINDOWS\System32\sstext3d.scr" [MS]

    Autostart via AUTORUN.INF on local fixed drives:
    ------------------------------------------------

    E:\
    INFECTION WARNING! E:\AUTORUN.INF -> "OPEN=Info.exe folder.htt 480 480" ["XSS"]

    Startup items in "Fr@nckyll" & "All Users" startup folders:
    -----------------------------------------------------------

    H:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
    "Adobe Gamma Loader" -> shortcut to: "H:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]

    Winsock2 Service Provider DLLs:
    -------------------------------

    Namespace Service Providers

    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
    000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
    000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
    000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

    Transport Service Providers

    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
    0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
    %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
    %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

    Toolbars, Explorer Bars, Extensions:
    ------------------------------------

    Toolbars

    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
    "{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
    -> {HKLM...CLSID} = "&Google"
    \InProcServer32\(Default) = "h:\program files\google\googletoolbar1.dll" ["Google Inc."]
    "{052B12F7-86FA-4921-8482-26C42316B522}"
    -> {HKLM...CLSID} = "Safety Bar"
    \InProcServer32\(Default) = "H:\Program Files\Safety Bar\Safety Bar.dll" [null data]

    HKLM\Software\Microsoft\Internet Explorer\Toolbar\
    "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
    -> {HKLM...CLSID} = "&Google"
    \InProcServer32\(Default) = "h:\program files\google\googletoolbar1.dll" ["Google Inc."]
    "{F053C368-5458-45B2-9B4D-D8914BDDDBFF}" = (no title provided)
    -> {HKLM...CLSID} = "TextAloud"
    \InProcServer32\(Default) = "C:\PROGRA~1\TEXTAL~1\TAForIE.dll" [null data]

    Explorer Bars

    Dormant Explorer Bars in "View, Explorer Bar" menu

    HKLM\Software\Classes\CLSID\{052B12F7-86FA-4921-8482-26C42316B522}\(Default) = "Safety Bar"
    Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
    InProcServer32\(Default) = "H:\Program Files\Safety Bar\Safety Bar.dll" [null data]

    HKLM\Software\Classes\CLSID\{F053C368-5458-45B2-9B4D-D8914BDDDBFF}\(Default) = "TextAloud"
    Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar]
    InProcServer32\(Default) = "C:\PROGRA~1\TEXTAL~1\TAForIE.dll" [null data]

    Extensions (Tools menu items, main toolbar menu buttons)

    HKLM\Software\Microsoft\Internet Explorer\Extensions\
    {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
    "MenuText" = "Console Java (Sun)"
    "CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

    {FB5F1910-F110-11D2-BB9E-00C04F795683}\
    "ButtonText" = "@H:\Program Files\Messenger\Msgslang.dll,-61144"
    "MenuText" = "@H:\Program Files\Messenger\Msgslang.dll,-61144"
    "Exec" = "H:\Program Files\Messenger\msmsgs.exe" [MS]

    Miscellaneous IE Hijack Points
    ------------------------------

    H:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

    Added lines (compared with English-language version):
    [Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    [Strings]: SAFESITE_VALUE="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2ffr%2f%3f"

    Missing lines (compared with English-language version):
    [Strings]: 2 lines

    HOSTS file
    ----------

    H:\WINDOWS\System32\drivers\etc\HOSTS

    maps: 3 domain names to IP addresses,
    2 of the IP addresses are *not* localhost!

    Running Services (Display Name, Service Name, Path {Service DLL}):
    ------------------------------------------------------------------

    Ati HotKey Poller, Ati HotKey Poller, "H:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
    ewido anti-spyware 4.0 guard, ewido anti-spyware 4.0 guard, "H:\Program Files\ewido anti-spyware 4.0\guard.exe" ["Anti-Malware Development a.s."]

    ----------
    + This report excludes default entries except where indicated.
    + To see *everywhere* the script checks and *everything* it finds,
    launch it from a command prompt or a shortcut with the -all parameter.
    + The search for DESKTOP.INI DLL launch points on all local fixed drives
    took 190 seconds.
    + The search for all Registry CLSIDs containing dormant Explorer Bars
    took 29 seconds.
    ---------- (total run time: 343 seconds)
    0
  16. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Re !!

    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
    "WinUpdate.exe" = "H:\Program Files\Windows\WinUpdate.exe" [file not found]

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
    "ishost.exe" = "ishost.exe" [file not found]
    "issearch.exe" = "issearch.exe" [file not found]

    Apparemment, voici les infections.
    Etant donné que j en reconnais, faisons ceci:

    Télécharge ceci: (merci a S!RI pour ce programme).
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
    Copie/colle le sur le poste stp.
    ----------------------------------------------------------------------------
    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    Relance le programme Smitfraud,
    Cette fois choisit l’option 2, répond oui a tous ;
    Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

    --> Puis remet un Silent runner.

    Et

    Rend toi sur ce site :
    http://www.virustotal.com/xhtml/virustotal_en.html
    Clik sur parcourir
    Recherche ceci :
    H:\Program Files\Windows\WinUpdate.exe
    Clik send et colle le rapport stp

    A+
    0
  17. Franckyll
     
    Voici les rapports :
    ps: Je n'ai pas trouvé le fichier Winupdate.exe,donc je n'ai pas fait de scan online.

    SmitFraudFix v2.70

    Rapport fait à 17:16:34,26, 16/07/2006
    Executé à partir de H:\Documents and Settings\Fr@nckyll\Bureau\SmitfraudFix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    H:\WINDOWS\system32\ot.ico supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    ---------------------------------------------------------------------

    "Silent Runners.vbs", revision 46, https://www.silentrunners.org/
    Operating System: Windows XP
    Output limited to non-default values, except where indicated by "{++}"

    Startup items buried in registry:
    ---------------------------------

    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
    "WinUpdate.exe" = "H:\Program Files\Windows\WinUpdate.exe" [file not found]

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    "TkBellExe" = ""H:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
    "MessengerPlus3" = ""C:\Program Files\MessengerPlus! 3\MsgPlus.exe"" ["Patchou"]

    HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
    "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
    -> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"
    \InProcServer32\(Default) = "deskpan.dll" [file not found]
    "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
    -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
    \InProcServer32\(Default) = "H:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
    "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
    -> {HKLM...CLSID} = "WinRAR"
    \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
    "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
    -> {HKLM...CLSID} = "Portable Media Devices"
    \InProcServer32\(Default) = "H:\WINDOWS\System32\Audiodev.dll" [MS]
    "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
    -> {HKLM...CLSID} = "Portable Media Devices Menu"
    \InProcServer32\(Default) = "H:\WINDOWS\System32\Audiodev.dll" [MS]
    "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
    -> {HKLM...CLSID} = "RealOne Player Context Menu Class"
    \InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
    "{e82a2d71-5b2f-43a0-97b8-81be15854de8}" = "ShellLink for Application References"
    -> {HKLM...CLSID} = "ShellLink for Application References"
    \InProcServer32\(Default) = "H:\WINDOWS\System32\dfshim.dll" [MS]
    "{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}" = "Shell Icon Handler for Application References"
    -> {HKLM...CLSID} = "Shell Icon Handler for Application References"
    \InProcServer32\(Default) = "H:\WINDOWS\System32\dfshim.dll" [MS]
    "{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
    -> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
    \InProcServer32\(Default) = "H:\Program Files\Fichiers communs\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
    "{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
    -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
    \InProcServer32\(Default) = "H:\Program Files\Fichiers communs\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
    "{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
    -> {HKLM...CLSID} = "AlcoholShellEx"
    \InProcServer32\(Default) = "H:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]

    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
    INFECTION WARNING! "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "ewido anti-spyware 4.0"
    -> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
    \InProcServer32\(Default) = "H:\Program Files\ewido anti-spyware 4.0\shellexecutehook.dll" ["Anti-Malware Development a.s."]

    HKLM\System\CurrentControlSet\Control\Session Manager\
    INFECTION WARNING! "BootExecute" = "autocheck autochk * SsiEfr.e OODBS" [file not found], [MS], [file not found], [file not found], [file not found]

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
    INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
    INFECTION WARNING! WgaLogon\DLLName = "WgaLogon.dll" [MS]
    INFECTION WARNING! WRNotifier\DLLName = "WRLogonNTF.dll" ["Webroot Software, Inc."]

    HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
    {7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
    -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
    \InProcServer32\(Default) = "H:\Program Files\Fichiers communs\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
    {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
    -> {HKLM...CLSID} = "PDF Shell Extension"
    \InProcServer32\(Default) = "C:\Program Files\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

    HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
    ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
    -> {HKLM...CLSID} = "CContextScan Object"
    \InProcServer32\(Default) = "H:\Program Files\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."]
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
    -> {HKLM...CLSID} = "WinRAR"
    \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

    HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
    ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
    -> {HKLM...CLSID} = "CContextScan Object"
    \InProcServer32\(Default) = "H:\Program Files\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."]
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
    -> {HKLM...CLSID} = "WinRAR"
    \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

    HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
    -> {HKLM...CLSID} = "WinRAR"
    \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

    Active Desktop and Wallpaper:
    -----------------------------

    Active Desktop is disabled at this entry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

    HKCU\Control Panel\Desktop\
    "Wallpaper" = "C:\photos\logo\logo noir & vert plastik.bmp"

    Enabled Screen Saver:
    ---------------------

    HKCU\Control Panel\Desktop\
    "SCRNSAVE.EXE" = "H:\WINDOWS\System32\sstext3d.scr" [MS]

    Autostart via AUTORUN.INF on local fixed drives:
    ------------------------------------------------

    E:\
    INFECTION WARNING! E:\AUTORUN.INF -> "OPEN=Info.exe folder.htt 480 480" ["XSS"]

    Startup items in "Fr@nckyll" & "All Users" startup folders:
    -----------------------------------------------------------

    H:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
    "Adobe Gamma Loader" -> shortcut to: "H:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]

    Winsock2 Service Provider DLLs:
    -------------------------------

    Namespace Service Providers

    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
    000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
    000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
    000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

    Transport Service Providers

    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
    0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
    %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
    %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

    Toolbars, Explorer Bars, Extensions:
    ------------------------------------

    Toolbars

    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
    "{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
    -> {HKLM...CLSID} = "&Google"
    \InProcServer32\(Default) = "h:\program files\google\googletoolbar1.dll" ["Google Inc."]
    "{052B12F7-86FA-4921-8482-26C42316B522}"
    -> {HKLM...CLSID} = "Safety Bar"
    \InProcServer32\(Default) = "H:\Program Files\Safety Bar\Safety Bar.dll" [null data]

    HKLM\Software\Microsoft\Internet Explorer\Toolbar\
    "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
    -> {HKLM...CLSID} = "&Google"
    \InProcServer32\(Default) = "h:\program files\google\googletoolbar1.dll" ["Google Inc."]
    "{F053C368-5458-45B2-9B4D-D8914BDDDBFF}" = (no title provided)
    -> {HKLM...CLSID} = "TextAloud"
    \InProcServer32\(Default) = "C:\PROGRA~1\TEXTAL~1\TAForIE.dll" [null data]

    Explorer Bars

    Dormant Explorer Bars in "View, Explorer Bar" menu

    HKLM\Software\Classes\CLSID\{052B12F7-86FA-4921-8482-26C42316B522}\(Default) = "Safety Bar"
    Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
    InProcServer32\(Default) = "H:\Program Files\Safety Bar\Safety Bar.dll" [null data]

    HKLM\Software\Classes\CLSID\{F053C368-5458-45B2-9B4D-D8914BDDDBFF}\(Default) = "TextAloud"
    Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar]
    InProcServer32\(Default) = "C:\PROGRA~1\TEXTAL~1\TAForIE.dll" [null data]

    Extensions (Tools menu items, main toolbar menu buttons)

    HKLM\Software\Microsoft\Internet Explorer\Extensions\
    {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
    "MenuText" = "Console Java (Sun)"
    "CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

    {FB5F1910-F110-11D2-BB9E-00C04F795683}\
    "ButtonText" = "@H:\Program Files\Messenger\Msgslang.dll,-61144"
    "MenuText" = "@H:\Program Files\Messenger\Msgslang.dll,-61144"
    "Exec" = "H:\Program Files\Messenger\msmsgs.exe" [MS]

    Miscellaneous IE Hijack Points
    ------------------------------

    H:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

    Added lines (compared with English-language version):
    [Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    [Strings]: SAFESITE_VALUE="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2ffr%2f%3f"

    Missing lines (compared with English-language version):
    [Strings]: 2 lines

    HOSTS file
    ----------

    H:\WINDOWS\System32\drivers\etc\HOSTS

    maps: 3 domain names to IP addresses,
    2 of the IP addresses are *not* localhost!

    Running Services (Display Name, Service Name, Path {Service DLL}):
    ------------------------------------------------------------------

    Ati HotKey Poller, Ati HotKey Poller, "H:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
    ewido anti-spyware 4.0 guard, ewido anti-spyware 4.0 guard, "H:\Program Files\ewido anti-spyware 4.0\guard.exe" ["Anti-Malware Development a.s."]

    ----------
    + This report excludes default entries except where indicated.
    + To see *everywhere* the script checks and *everything* it finds,
    launch it from a command prompt or a shortcut with the -all parameter.
    + The search for DESKTOP.INI DLL launch points on all local fixed drives
    took 161 seconds.
    + The search for all Registry CLSIDs containing dormant Explorer Bars
    took 26 seconds.
    ---------- (total run time: 303 seconds)
    0
  18. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Bizarre....

    Va dans demarer < poste de travail < c < windows < systeme32 < drivers < etc < host, ouvre le avec le bloc note et donne moi ce qu il y a dedans.

    Va falloir le supprimer quand meme, ca doit venir de la...

    ¤Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

    Coche « afficher les fichiers et dossiers cachés »

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décoche « masquer les extensions dont le type est connu »
    Puis fais «Ok» pour valider les changements.

    Et appliquer !

    Tu le trouve?

    a+
    0
  19. Franckyll Messages postés 10 Statut Membre
     
    Non je ne trouve toujours pas le fichier.dans le dossier program files/windows, il ny'a qu'un fichier de 1ko nommé : WinUpdate.fld

    -------------------------------------------------------------------------

    # Copyright (c) 1993-1999 Microsoft Corp.
    #
    # Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP
    # pour Windows.
    #
    # Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.
    # Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée
    # dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse
    # IP et le nom d'hôte doivent être séparés par au moins un espace.
    #
    # De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des
    # lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le
    # symbole '#'.
    #
    # Par exemple :
    #
    # 102.54.94.97 rhino.acme.com # serveur source
    # 38.25.63.10 x.acme.com # hôte client x

    127.0.0.1 localhost
    0
  20. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Ok !

    Téléchargement :
    http://www.killbox.net/downloads/KillBox.exe

    Double clic sur killbox.exe (Pocket Killbox)

    - coche: delete on reboot
    - Dans "Full Path of File to Delete"
    - -Sélectionne "single File"
    copie et colle:

    H:\Program Files\Windows\WinUpdate.exe

    - clique sur la croix rouge
    - une fenêtre va apparaître pour confirmation clique sur YES
    - une seconde fenêtre te demande si tu veux redémarrer clique sur YES

    Si ce message s’affiche ignore le :
    http://tinypic.com/images/goodbye.jpg
    Laisse le pc redémarrer.

    Et après reposte un log de Silent Runner.

    A+
    0
  21. franckyll
     
    y'a un ptit prob, je reçoit le message d'erreur de la part de Pocket killbox, donc , comme tu m'a demandé je l'ignore et je laisse le pc redémarrer. Le problème est qu'il ne se passe rien ,que je clique sur ok ou que je laisse le message, le pc ne bouge pas :p

    Que faut il que je fasse ?
    0
  • 1
  • 2