Marre des ce systemdoctor

winix -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
INFECTE AVEC SYSTEMDOCTOR !!!!!!!!!

qqn pourrait m'aider ???
merci d'avance les GURUS ! Je n'ai marre des ce systemdoctor à la con ! personne pourrait leur pourrir la vie à ces cons ?

Logfile of HijackThis v1.99.1
Scan saved at 22:41:36, on 24/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\PROGRA~1\CACHEM~1\CachemanXP.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\eMule\emule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\LVComsX.exe
C:\WINDOWS\explorer.exe
C:\hijackthis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page


R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page


R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext

http://62.4.84.172/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName


R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [jv16PT - Privacy Protector] D:\Program Files\jv16 PowerTools\jv16PT.exe -ExecTask "D:\Program Files\jv16 PowerTools\Tasks\_PrivacyProtector\Task.jvb"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [XoftSpySE] D:\Program Files\XoftSpySE\xoftspy.exe -s
O4 - HKLM\..\RunServices: [Security Centers] Sacurity.exe
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.shockwave.com/content/luxoramunrising/sis/mjolauncher.cab
O16 - DPF: {A13516A3-BE86-4517-813C-B5FF0C8ACDF3} (Toontown Installer ActiveX Control French) - http://idownload.qa.french.toontown.com/sv1.5.14.7/ttinst-french.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD9B0ADB-ED3B-4618-BADD-A2410D079411}: NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: \\?\C:\WINDOWS\system32\com2.vjo
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - D:\PROGRA~1\CACHEM~1\CachemanXP.exe

19 réponses

Résumé de la discussion

Un utilisateur est infecté par SystemDoctor et d’autres malwares sous Windows XP, et demande de l’aide pour nettoyer le système et supprimer les éléments indésirables détectés dans les journaux. Les recommandations centrales préconisent d’actualiser AVG antispy, puis de redémarrer en mode sans échec pour lancer un balayage et supprimer ou mettre en quarantaine les menaces détectées. En fin de balayage, il faut appliquer les actions, redémarrer en mode normal et relancer un scan en ligne, par exemple Kaspersky, puis fournir un nouveau log HijackThis pour vérification. D’autres échanges suggèrent aussi des contrôles comme renommer HijackThis en VundoScan et vérifier des composants comme com2.vjo ou des outils de nettoyage tels que SmitfraudFix pour approfondir le nettoyage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    Renommes HijackThis.

    Renommes le en VundoScan si tu vois HijackThis ou Vundoscan.exe si tu vois HijackThis.exe.

    Relances le et postes le log.

    @+
    0
  2. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    slt winix ,

    On n'est pas obligé de lire tes insultes !
    parle clairement et calmement et n'hésite pas à abuser des formules de politesse...

    Merci

    Au passage slt Lyonnais :)
    Je ne pense que le renom d'Hijack fasse grand chose...


    a+
    0
  3. SYSTEMDOCTOR + ERRORSAFE
     
    c'est fait !

    Salut les gars... désolé... vous avez surement rasion... mais parfois c'est très enervent tous ces spams... on perd la tête !
    J'aimerais bien trouver un moyen de contre attaquer... surtout que l'on connait les sites de ces gens qui eassayent d'arnarquer les autres !
    d'avance merci pour votre aide...

    Logfile of HijackThis v1.99.1
    Scan saved at 16:37:48, on 25/11/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    D:\PROGRA~1\CACHEM~1\CachemanXP.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\GSICON.EXE
    C:\WINDOWS\system32\dslagent.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    D:\Program Files\eMule\emule.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    D:\Program Files\Logitech\Video\FxSvr2.exe
    C:\WINDOWS\system32\LVComsX.exe
    C:\HijackThis\VundoScan.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://62.4.84.172/trafc-2/rfe.php?cmp=avs4&nid=mg&uid=3BBB1C4836CD11DB889900167647FA98&guid=541c56e8+4365BC2D78EE495BBC24BD0AF8C34AB9&affid=862&lid=avs_34
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\wsimwiat.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {647DFC4C-C7DC-467B-9A8D-7D533EF29315} - C:\WINDOWS\system32\qxjusmyf.dll
    O2 - BHO: (no name) - {8C04EC3C-8D0D-4CA1-B593-5E82903B2558} - C:\WINDOWS\Cursors\actnati.dll
    O2 - BHO: Class - {A831F877-4859-0401-F5E7-67C69AE1952A} - (no file)
    O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
    O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
    O4 - HKLM\..\Run: [jv16PT - Privacy Protector] D:\Program Files\jv16 PowerTools\jv16PT.exe -ExecTask "D:\Program Files\jv16 PowerTools\Tasks\_PrivacyProtector\Task.jvb"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [XoftSpySE] D:\Program Files\XoftSpySE\xoftspy.exe -s
    O4 - HKLM\..\RunServices: [Security Centers] Sacurity.exe
    O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.shockwave.com/content/luxoramunrising/sis/mjolauncher.cab
    O16 - DPF: {A13516A3-BE86-4517-813C-B5FF0C8ACDF3} (Toontown Installer ActiveX Control French) - http://idownload.qa.french.toontown.com/sv1.5.14.7/ttinst-french.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{AD9B0ADB-ED3B-4618-BADD-A2410D079411}: NameServer = 80.10.246.130 80.10.246.3
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - AppInit_DLLs: \\?\C:\WINDOWS\system32\com2.vjo
    O20 - Winlogon Notify: actnati - C:\WINDOWS\Cursors\actnati.dll
    O20 - Winlogon Notify: winldg32 - C:\WINDOWS\
    O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - D:\PROGRA~1\CACHEM~1\CachemanXP.exe
    0
  4. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    Il va y avoir du travail !

    1) « Télécharge Blacklight(de F-Secure) :
    < https://www.f-secure.com/en > et sauvegarde le sur ton Bureau.( Utilisez les URL "https" seulement. )
    Et là le TUTO de Malekal :
    < https://www.malekal.com/tutorial-f-secure-blacklight/ >
    Tu effectues la partie 1 (scan), tu sauves le rapport et tu le post dans ta réponse.

    2) Imprime ces instructions, ou colle les dans un fichier texte, pour lecture durant ce fix. Regarde bien les trois petites notes au bas, avant de débuter.
    Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.
    http://www.atribune.org/ccount/click.php?id=7

    Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
    • Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
    • Coche Run this program as a task
    • Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Clique OK
    • Il se relancera après les 10 secondes, puis clique sur le bouton Scan for L2M ; les icônes de ton Bureau vont disparaître : c'est normal.
    • Lorsque le scan termine, clique sur le bouton Remove L2M
    • Un message Done Scanning apparaîtra, clique OK.
    • Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer ; clique OK.
    • Ton PC va maintenant s'éteindre.
    • Démarre ton PC normalement.
    • Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt , dans ta prochaine réponse.
    *Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarre et essaie à nouveau.

    **Si tu reçois un message de ton parefeu que l'outil tente d'accéder à l'internet : accepte.

    ***Si un message runtime error '339' s'affiche : télécharge MSWINSCK.OCX du lien ci-bas, et place-le dans le dossier C:\Windows\System32.
    http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX
    3) Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    http://www.atribune.org/ccount/click.php?id=4

    Double-clique VundoFix.exe afin de le lancer.
    Coche Run VundoFix as a task.
    Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
    Clique sur le bouton Scan for Vundo.
    Lorsque le scan est complété, clique sur le bouton Remove Vundo.
    Une invite te demandera si tu veux supprimer les fichiers, clique YES
    Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
    Démarre ton PC à nouveau.
    Copie/colle le contenu du rapport situé dans C:\vundofix.txt ! dans ta prochaine réponse

    4) ---> http://siri.urz.free.fr/Fix/SmitfraudFix.php

    Télécharge ceci: (merci a S!RI pour ce programme).
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
    Copie/colle le sur le poste stp.

    5) Relance "VundoScan" (ex hijackThis) et compie le rapport dans ta réponse.

    @+
    0
    1. Winix
       
      merci bcp Lyonnais2...
      j'ai téléchargé Blacklight(de F-Secure) mais je ne peux pas l'executer... j'ai le message d'erreur suivant :

      ******************************************************
      F-SECURE blacklight could not acquire necessary privileges [SeDebugPrivilege].

      - your computer settings may prevent acquiring these privileges
      - a malicious program might have disabled these privileges.

      ******************************************************

      Et pourtant je suis admin de mon pc et j'ai désactivé le Firewall windows temporairement... je crois que le VER est en train de bloquer l'éxecution de Blacklight comme le dit le message d'erreur...

      que faire ???

      merci d'avance pour ton aide....

      @+
      0
    2. Winix
       
      Encore moi...

      finalement j'ai passé aux autres étapes puis revenu à l'étape 1 (Blacklight) puis à la fin relancer VundoScan... ça marche !... on avance... :-)
      j'ai vu des trucs bizarre que un des utilitaires a detecté... ds system32...
      Voici les resultats :

      SCAN BLACKLIGHT...
      ******************************************************
      11/26/06 15:27:51 [Info]: BlackLight Engine 1.0.47 initialized
      11/26/06 15:27:51 [Info]: OS: 5.1 build 2600 (Service Pack 2)
      11/26/06 15:27:51 [Note]: 7019 4
      11/26/06 15:27:51 [Note]: 7005 0
      11/26/06 15:28:29 [Note]: 7006 0
      11/26/06 15:28:29 [Note]: 7011 1484
      11/26/06 15:28:29 [Note]: 7026 0
      11/26/06 15:28:30 [Note]: 7026 0
      11/26/06 15:28:40 [Note]: FSRAW library version 1.7.1020
      11/26/06 15:33:06 [Note]: 7007 0
      ******************************************************


      SCAN Look2Me-Destroyer...
      ******************************************************
      Look2Me-Destroyer V1.0.12
      Scanning for infected files.....
      Scan started at 26/11/2006 15:12:10
      Attempting to delete infected files...
      Making registry repairs.
      Restoring Windows certificates.
      Replaced hosts file with default windows hosts file
      Restoring SeDebugPrivilege for Administrateurs - Succeeded
      ******************************************************

      SCAN VundoFix...
      ******************************************************
      VundoFix V6.2.11
      Checking Java version...
      Java version is 1.5.0.2
      Scan started at 15:20:14 26/11/2006
      Listing files found while scanning....
      C:\WINDOWS\system32\lsqvnkkf.exe
      C:\WINDOWS\system32\mdqmtbeo.exe
      C:\WINDOWS\system32\momjvnse.exe
      C:\WINDOWS\Cursors\actnati.dll
      C:\WINDOWS\Cursors\itantca.ini
      C:\WINDOWS\Cursors\itantca.bak1
      C:\WINDOWS\Cursors\itantca.bak2
      C:\WINDOWS\Cursors\itantca.tmp
      Beginning removal...
      Attempting to delete C:\WINDOWS\system32\lsqvnkkf.exe
      C:\WINDOWS\system32\lsqvnkkf.exe Has been deleted!
      Attempting to delete C:\WINDOWS\system32\mdqmtbeo.exe
      C:\WINDOWS\system32\mdqmtbeo.exe Has been deleted!
      Attempting to delete C:\WINDOWS\system32\momjvnse.exe
      C:\WINDOWS\system32\momjvnse.exe Has been deleted!
      Attempting to delete C:\WINDOWS\Cursors\actnati.dll
      C:\WINDOWS\Cursors\actnati.dll Has been deleted!
      Attempting to delete C:\WINDOWS\Cursors\itantca.ini
      C:\WINDOWS\Cursors\itantca.ini Has been deleted!
      Attempting to delete C:\WINDOWS\Cursors\itantca.bak1
      C:\WINDOWS\Cursors\itantca.bak1 Has been deleted!
      Attempting to delete C:\WINDOWS\Cursors\itantca.bak2
      C:\WINDOWS\Cursors\itantca.bak2 Has been deleted!
      Performing Repairs to the registry.
      Done!
      ******************************************************

      SCAN SmitfraudFix...
      ******************************************************
      SmitFraudFix v2.124

      Rapport fait à 15:25:09,70, 26/11/2006
      Executé à partir de C:\Documents and Settings\John\Bureau\cleaners\SmitfraudFix\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Fix executé en mode normal

      »»»»»»»»»»»»»»»»»»»»»»»» C:\
      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\John
      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\John\Application Data
      »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
      »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\John\Favoris
      »»»»»»»»»»»»»»»»»»»»»»»» Bureau
      C:\DOCUME~1\ALLUSE~1\Bureau\Online Security Guide.url PRESENT !
      C:\DOCUME~1\ALLUSE~1\Bureau\Security Troubleshooting.url PRESENT !
      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
      »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
      »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
      "Source"="About:Home"
      "SubscribedURL"="About:Home"
      "FriendlyName"="Ma page d'accueil"
      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll
      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"="\\\\?\\C:\\WINDOWS\\system32\\com2.vjo"
      »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32
      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
      »»»»»»»»»»»»»»»»»»»»»»»» Fin
      ******************************************************

      SCAN VundoScan...
      ******************************************************
      Logfile of HijackThis v1.99.1
      Scan saved at 15:34:11, on 26/11/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\GSICON.EXE
      C:\WINDOWS\system32\dslagent.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      D:\PROGRA~1\CACHEM~1\CachemanXP.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\LVComsX.exe
      D:\Program Files\Logitech\Video\AlbumDB2.exe
      D:\Program Files\Logitech\Video\FxSvr2.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\HijackThis\VundoScan.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://62.4.84.172/trafc-2/rfe.php?cmp=avs4&nid=mg&uid=3BBB1C4836CD11DB889900167647FA98&guid=541c56e8+4365BC2D78EE495BBC24BD0AF8C34AB9&affid=862&lid=avs_34
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
      O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\wsimwiat.dll
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: (no name) - {647DFC4C-C7DC-467B-9A8D-7D533EF29315} - C:\WINDOWS\system32\qxjusmyf.dll
      O2 - BHO: (no name) - {97CC9406-FB9E-4172-956C-8D64FD04261B} - C:\WINDOWS\Cursors\actnati.dll (file missing)
      O2 - BHO: Class - {A831F877-4859-0401-F5E7-67C69AE1952A} - (no file)
      O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
      O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
      O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
      O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
      O4 - HKLM\..\Run: [jv16PT - Privacy Protector] D:\Program Files\jv16 PowerTools\jv16PT.exe -ExecTask "D:\Program Files\jv16 PowerTools\Tasks\_PrivacyProtector\Task.jvb"
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [XoftSpySE] D:\Program Files\XoftSpySE\xoftspy.exe -s
      O4 - HKLM\..\RunServices: [Security Centers] Sacurity.exe
      O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
      O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
      O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
      O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\WINDOWS\System32\shdocvw.dll
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.shockwave.com/content/luxoramunrising/sis/mjolauncher.cab
      O16 - DPF: {A13516A3-BE86-4517-813C-B5FF0C8ACDF3} (Toontown Installer ActiveX Control French) - http://idownload.qa.french.toontown.com/sv1.5.14.7/ttinst-french.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{AD9B0ADB-ED3B-4618-BADD-A2410D079411}: NameServer = 80.10.246.1 80.10.246.132
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
      O20 - AppInit_DLLs: \\?\C:\WINDOWS\system32\com2.vjo
      O20 - Winlogon Notify: winldg32 - C:\WINDOWS\
      O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - D:\PROGRA~1\CACHEM~1\CachemanXP.exe

      ******************************************************

      Voilà...

      merci encore pour ton aide... je te dois un verre !!!!
      @+
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    Désolé de ne pas aoir pu intervenir plus tôt.

    Mais tu as pris les bonnes initiatives.

    C'est look2me qui bloquait Blacklight. Le Fix l'a débloqué(Restoring SeDebugPrivilege for Administrateurs - Succeeded)

    Pour continuer

    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    Relance le programme Smitfraud,
    Cette fois choisit l’option 2, répond oui a tous ;
    Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

    Rajoute un log HijackThis.

    Il y a encore des choses. On verra après SmitfraudFix.

    @+
    0
    1. winix
       
      re salut !
      Merci pour ta réponse... voilà je vien de tout faire...

      Smitfraud :
      -----------------------------------------------------------
      SmitFraudFix v2.124

      Rapport fait à 18:58:58,42, 26/11/2006
      Executé à partir de C:\Documents and Settings\John\Bureau\cleaners\SmitfraudFix\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Fix executé en mode sans echec

      »»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll

      »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


      »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

      GenericRenosFix by S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

      C:\DOCUME~1\ALLUSE~1\Bureau\Online Security Guide.url supprimé
      C:\DOCUME~1\ALLUSE~1\Bureau\Security Troubleshooting.url supprimé

      »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


      »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

      Nettoyage terminé.

      »»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll
      »»»»»»»»»»»»»»»»»»»»»»»» Fin
      -----------------------------------------------------------

      VundoScan :
      -----------------------------------------------------------
      Logfile of HijackThis v1.99.1
      Scan saved at 19:03:00, on 26/11/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\WINDOWS\system32\LVComsX.exe
      C:\WINDOWS\explorer.exe
      C:\HijackThis\VundoScan.exe

      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.broadcom.com/support/security-center
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      R3 - Default URLSearchHook is missing
      O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\wsimwiat.dll
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: (no name) - {647DFC4C-C7DC-467B-9A8D-7D533EF29315} - C:\WINDOWS\system32\qxjusmyf.dll
      O2 - BHO: (no name) - {97CC9406-FB9E-4172-956C-8D64FD04261B} - C:\WINDOWS\Cursors\actnati.dll (file missing)
      O2 - BHO: Class - {A831F877-4859-0401-F5E7-67C69AE1952A} - (no file)
      O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
      O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
      O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
      O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
      O4 - HKLM\..\Run: [jv16PT - Privacy Protector] D:\Program Files\jv16 PowerTools\jv16PT.exe -ExecTask "D:\Program Files\jv16 PowerTools\Tasks\_PrivacyProtector\Task.jvb"
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [XoftSpySE] D:\Program Files\XoftSpySE\xoftspy.exe -s
      O4 - HKLM\..\RunServices: [Security Centers] Sacurity.exe
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\WINDOWS\System32\shdocvw.dll
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.shockwave.com/content/luxoramunrising/sis/mjolauncher.cab
      O16 - DPF: {A13516A3-BE86-4517-813C-B5FF0C8ACDF3} (Toontown Installer ActiveX Control French) - http://idownload.qa.french.toontown.com/sv1.5.14.7/ttinst-french.cab
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
      O20 - AppInit_DLLs: \\?\C:\WINDOWS\system32\com2.vjo
      O20 - Winlogon Notify: winldg32 - C:\WINDOWS\
      O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - D:\PROGRA~1\CACHEM~1\CachemanXP.exe
      -----------------------------------------------------------

      merci,
      @ +
      0
  7. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    Fermes toutes les fenêtres actives.

    Relance VundoScan (ex Hijack). Choisis do a scan only.

    Coche la case devant ces lignes :

    R3 - Default URLSearchHook is missing
    O2 - BHO: (no name) - {647DFC4C-C7DC-467B-9A8D-7D533EF29315} - C:\WINDOWS\system32\qxjusmyf.dll
    O2 - BHO: (no name) - {97CC9406-FB9E-4172-956C-8D64FD04261B} - C:\WINDOWS\Cursors\actnati.dll (file missing)
    O2 - BHO: Class - {A831F877-4859-0401-F5E7-67C69AE1952A} - (no file)
    O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing).

    Cliques sur Fix checked.

    J'ai besoin de contrôler 1 fichier.

    Va sur ce lien.
    http://www.virustotal.com/xhtml/virustotal_en.html

    Cliques sur parcourir et cheches ce fichier :
    C:\WINDOWS\system32\com2.vjo
    Puis cliques sur Send.

    Attends le rapport (ça peut prendre qq minutes, le rapport se construit ligne à ligne).

    Sélectionne le en entier et poste le dans ta réponse (tu peux passser par le bloc notes.

    Remets un log HijackThis (relance VundoScan avec l'option do a sca and save a log) et poste le log dans ta réponse.

    @+
    0
    1. winix
       
      re....

      C'est fait ! .... voici le resultat....


      virustotal
      **************************************************

      STATUS: FINISHEDComplete scanning result of "com2", received in VirusTotal at 11.26.2006, 22:30:44 (CET).

      Antivirus Version Update Result
      AntiVir 7.2.0.46 11.26.2006 no virus found
      Authentium 4.93.8 11.24.2006 no virus found
      Avast 4.7.892.0 11.23.2006 no virus found
      AVG 386 11.26.2006 no virus found
      BitDefender 7.2 11.26.2006 no virus found
      CAT-QuickHeal 8.00 11.25.2006 no virus found
      ClamAV devel-20060426 11.25.2006 no virus found
      DrWeb 4.33 11.26.2006 no virus found
      eSafe 7.0.14.0 11.26.2006 no virus found
      eTrust-InoculateIT 23.73.67 11.25.2006 no virus found
      eTrust-Vet 30.3.3211 11.24.2006 no virus found
      Ewido 4.0 11.26.2006 no virus found
      Fortinet 2.82.0.0 11.26.2006 no virus found
      F-Prot 3.16f 11.24.2006 no virus found
      F-Prot4 4.2.1.29 11.24.2006 no virus found
      Ikarus 0.2.65.0 11.24.2006 no virus found
      Kaspersky 4.0.2.24 11.26.2006 no virus found
      McAfee 4904 11.24.2006 no virus found
      Microsoft 1.1804 11.26.2006 no virus found
      NOD32v2 1882 11.24.2006 no virus found
      Norman 5.80.02 11.24.2006 no virus found
      Panda 9.0.0.4 11.26.2006 no virus found
      Prevx1 V2 11.26.2006 no virus found
      Sophos 4.11.0 11.16.2006 no virus found
      TheHacker 6.0.3.123 11.23.2006 no virus found
      UNA 1.83 11.24.2006 no virus found
      VBA32 3.11.1 11.26.2006 no virus found
      VirusBuster 4.3.15:9 11.26.2006 no virus found


      Aditional Information
      File size: 0 bytes
      MD5: d41d8cd98f00b204e9800998ecf8427e
      SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709
      **************************************************

      VundoScan
      **************************************************

      Logfile of HijackThis v1.99.1
      Scan saved at 22:34:10, on 26/11/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\GSICON.EXE
      C:\WINDOWS\system32\dslagent.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      D:\PROGRA~1\CACHEM~1\CachemanXP.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\LVComsX.exe
      C:\WINDOWS\system32\NOTEPAD.EXE
      D:\Program Files\Logitech\Video\FxSvr2.exe
      C:\HijackThis\VundoScan.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://62.4.84.172/trafc-2/rfe.php?cmp=avs4&nid=mg&uid=3BBB1C4836CD11DB889900167647FA98&guid=541c56e8+4365BC2D78EE495BBC24BD0AF8C34AB9&affid=862&lid=avs_34
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\wsimwiat.dll
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
      O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
      O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
      O4 - HKLM\..\Run: [jv16PT - Privacy Protector] D:\Program Files\jv16 PowerTools\jv16PT.exe -ExecTask "D:\Program Files\jv16 PowerTools\Tasks\_PrivacyProtector\Task.jvb"
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [XoftSpySE] D:\Program Files\XoftSpySE\xoftspy.exe -s
      O4 - HKLM\..\RunServices: [Security Centers] Sacurity.exe
      O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
      O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
      O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
      O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\WINDOWS\System32\shdocvw.dll
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.shockwave.com/content/luxoramunrising/sis/mjolauncher.cab
      O16 - DPF: {A13516A3-BE86-4517-813C-B5FF0C8ACDF3} (Toontown Installer ActiveX Control French) - http://idownload.qa.french.toontown.com/sv1.5.14.7/ttinst-french.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{AD9B0ADB-ED3B-4618-BADD-A2410D079411}: NameServer = 80.10.246.130 80.10.246.3
      O20 - AppInit_DLLs: \\?\C:\WINDOWS\system32\com2.vjo
      O20 - Winlogon Notify: winldg32 - C:\WINDOWS\
      O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - D:\PROGRA~1\CACHEM~1\CachemanXP.exe

      **************************************************
      @+
      0
    2. winix
       
      oops... ! un petit truc Lyonnais92... j'ai voulu être malin et j'ai copié/collé C:\WINDOWS\system32\com2.vjo dans "parcourir" puis cliqué sur send... mais maintenant qd je regarde... il se peu que ce fichier n'éxiste pas ds "C:\WINDOWS\system32\" !!!! bizarre le site ne m'a pas envoyé une erreurde genre ... fichier non trouvé !...

      c'est même sur ce fichier n'existe pas !
      0
  8. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    Relance SmitfraudFix en mode normal et choisis l'option 1.

    Poste le rapport.

    Je crois que on est 2 à faire oups sur com32.vjo.

    Tu en es où de tes problèmes ?

    @+

    0
    1. winix
       
      Salut Lyonnais92 !
      Merci pour ta réponse d'hier...
      Désolé je n'ai pas pu répondre hier et ce matin je suis parti hyper tôt au boulot... je viens de rentrer seulement...
      A vrai dire, je ne peux pas savoir tout de suite si tout est propre maintenant... je te dirais ça d'ici 2 à 3 jours car la pub systemdoctor se lance de façon très occasionnel !

      Ci-dessous le résumé du scan smitfraud ! Notre "ami" com2.vjo est tjs cité !

      @ +

      SmitFraudFix v2.124

      Rapport fait à 21:31:49,73, 27/11/2006
      Executé à partir de C:\Documents and Settings\John\Bureau\cleaners\SmitfraudFix\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Fix executé en mode normal

      »»»»»»»»»»»»»»»»»»»»»»»» C:\


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\John


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\John\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\John\Favoris


      »»»»»»»»»»»»»»»»»»»»»»»» Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
      "Source"="About:Home"
      "SubscribedURL"="About:Home"
      "FriendlyName"="Ma page d'accueil"


      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"="\\\\?\\C:\\WINDOWS\\system32\\com2.vjo"


      »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin
      0
  9. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    On refait un tour sur ce fichier;

    Tu vérifies que la case devant "Masquer les fichiers protégés du système d'exploitation" est décochée" (via explorateur windows, outils, options des dossiers affichage).

    Tu cherches de nouveau ce fichier : C:\\WINDOWS\\system32\\com2.vjo

    Si tu ne le trouves pas, essaye avec la fonction rechercher sur com2.vjo.

    Si tout ceci est négatif, tu relances HijackThis en mode do a scan et tu coches la case devant :
    O20 - AppInit_DLLs: \\?\C:\WINDOWS\system32\com2.vjo

    Enfin, tu relances Smitfraud pour voir où on en est.

    Sinon, pour voir si tout est clean, on attend toujours quelques jours.

    @+
    0
    1. winix
       
      merci encore pour ta réponse...

      1. Masquer les fichiers protégés du système d'exploitation" est décochée... OK !
      2. Tu cherches de nouveau ce fichier : C:\\WINDOWS\\system32\\com2.vjo ... PAS TROUVE !
      3. HijackThis... OK ! LIGNE COM2.VJO SUPPRIME ! MAIS AVEC UNE ERREUR AU NIVEAU BACKUP... NORMAL FICHIER ETAIT ABSENT... :-)
      3. RE:HijackThis... LIGNE COM2.VJO ABSENT !
      4. Smitfraud... PAS DE LIGNE COM2.VJO !!!!!

      HOURAAAAA !!!!!! ON A GAGNE JE CROIS !!!!!!! TU ES UN DIEU !!!!!
      VRAIMENT MERCI BCP !!!!! SI UN JOUR TU PASSES A PARIS ENVOI UN MAIL.... JE TE DOIS UN VERRE !!!!!!! winixfr@yahoo.fr

      Je te réponds d'ici qqs jours....

      take care ! thanx a million !


      Logfile of HijackThis v1.99.1
      Scan saved at 23:51:08, on 27/11/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\GSICON.EXE
      C:\WINDOWS\system32\dslagent.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      D:\PROGRA~1\CACHEM~1\CachemanXP.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\LVComsX.exe
      D:\Program Files\eMule\emule.exe
      D:\Program Files\Logitech\Video\FxSvr2.exe
      C:\HijackThis\VundoScan.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://62.4.84.172/trafc-2/rfe.php?cmp=avs4&nid=mg&uid=3BBB1C4836CD11DB889900167647FA98&guid=541c56e8+4365BC2D78EE495BBC24BD0AF8C34AB9&affid=862&lid=avs_34
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\wsimwiat.dll
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
      O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
      O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
      O4 - HKLM\..\Run: [jv16PT - Privacy Protector] D:\Program Files\jv16 PowerTools\jv16PT.exe -ExecTask "D:\Program Files\jv16 PowerTools\Tasks\_PrivacyProtector\Task.jvb"
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [XoftSpySE] D:\Program Files\XoftSpySE\xoftspy.exe -s
      O4 - HKLM\..\RunServices: [Security Centers] Sacurity.exe
      O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
      O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
      O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
      O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\WINDOWS\System32\shdocvw.dll
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.shockwave.com/content/luxoramunrising/sis/mjolauncher.cab
      O16 - DPF: {A13516A3-BE86-4517-813C-B5FF0C8ACDF3} (Toontown Installer ActiveX Control French) - http://idownload.qa.french.toontown.com/sv1.5.14.7/ttinst-french.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{AD9B0ADB-ED3B-4618-BADD-A2410D079411}: NameServer = 80.10.246.130 80.10.246.3
      O20 - AppInit_DLLs: \\?\C:\WINDOWS\system32\com2.vjo
      O20 - Winlogon Notify: winldg32 - C:\WINDOWS\
      O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - D:\PROGRA~1\CACHEM~1\CachemanXP.exe


      ***************************************************************************************************
      2ème scan de HijackThis
      ***************************************************************************************************

      Logfile of HijackThis v1.99.1
      Scan saved at 23:52:38, on 27/11/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\GSICON.EXE
      C:\WINDOWS\system32\dslagent.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      D:\PROGRA~1\CACHEM~1\CachemanXP.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\LVComsX.exe
      D:\Program Files\eMule\emule.exe
      C:\WINDOWS\system32\notepad.exe
      C:\HijackThis\VundoScan.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://62.4.84.172/trafc-2/rfe.php?cmp=avs4&nid=mg&uid=3BBB1C4836CD11DB889900167647FA98&guid=541c56e8+4365BC2D78EE495BBC24BD0AF8C34AB9&affid=862&lid=avs_34
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\wsimwiat.dll
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
      O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
      O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
      O4 - HKLM\..\Run: [jv16PT - Privacy Protector] D:\Program Files\jv16 PowerTools\jv16PT.exe -ExecTask "D:\Program Files\jv16 PowerTools\Tasks\_PrivacyProtector\Task.jvb"
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [XoftSpySE] D:\Program Files\XoftSpySE\xoftspy.exe -s
      O4 - HKLM\..\RunServices: [Security Centers] Sacurity.exe
      O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
      O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
      O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
      O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\WINDOWS\System32\shdocvw.dll
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.shockwave.com/content/luxoramunrising/sis/mjolauncher.cab
      O16 - DPF: {A13516A3-BE86-4517-813C-B5FF0C8ACDF3} (Toontown Installer ActiveX Control French) - http://idownload.qa.french.toontown.com/sv1.5.14.7/ttinst-french.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{AD9B0ADB-ED3B-4618-BADD-A2410D079411}: NameServer = 80.10.246.130 80.10.246.3
      O20 - Winlogon Notify: winldg32 - C:\WINDOWS\
      O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - D:\PROGRA~1\CACHEM~1\CachemanXP.exe

      ***************************************************************************************************
      SmitFraudFix
      ***************************************************************************************************

      SmitFraudFix v2.124

      Rapport fait à 23:54:18,89, 27/11/2006
      Executé à partir de C:\Documents and Settings\John\Bureau\cleaners\SmitfraudFix\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Fix executé en mode normal

      »»»»»»»»»»»»»»»»»»»»»»»» C:\


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\John


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\John\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\John\Favoris


      »»»»»»»»»»»»»»»»»»»»»»»» Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
      "Source"="About:Home"
      "SubscribedURL"="About:Home"
      "FriendlyName"="Ma page d'accueil"


      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"=""


      »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin
      0
  10. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    On n'a pas tout à fait fini, même si le plus gros est derrière nous;

    1) J'ai besoin de vérifier un autre fichier. Mais je ne connais pas sa localisation. Il s'agit de Sacurity.exe . Il faut que tu le cherches via la fonction rechercher.

    Ensuite, il faut le scanner par virustotal.
    Je te remets la manip virustotal

    Va sur ce lien.
    http://www.virustotal.com/xhtml/virustotal_en.html

    Cliques sur parcourir et cherches ce fichier :
    ????????????????\Sacurity.exe
    Puis cliques sur Send.

    Tu le prends bien à partir de "parcourir" lol.

    Attends le rapport (ça peut prendre qq minutes, le rapport se construit ligne à ligne).

    Sélectionne le en entier et poste le dans ta réponse (tu peux passser par le bloc notes.

    2) Double-clique VundoFix.exe afin de le lancer
    NE clique PAS sur le bouton Scan for Vundo
    Clique Droit dans la fenêtre blanche, choisis Add more files ?
    Rajoute dans la première ligne :
    C:\WINDOWS\system32\wsimwiat.dll

    Clique successivement sur :
    - Add Files
    - Close Windows
    - Remove Vundo

    Si l'outil te demande de redémarrer, accepte.
    Copie/Colle ensuite le rapport C:\vundofix.txt

    3) Je suppose que tu connais cette entreprise : Cyber Technology BV BA/SPR Belgium.

    Si ce n'est pas le cas, tu effaces la ligne par HijackThis(cocher la acse puis fix checked)
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://62.4.84.172/

    4) Connais tu aussi ceci
    idownload.qa.french.toontown.com ?

    5) Tu fermes toutes les fenêtres actives (en particulier IE)

    Tu relances hijackThis en mode do a scan only.

    Tu coches la case devant :
    O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\wsimwiat.dll

    O20 - Winlogon Notify: winldg32 - C:\WINDOWS\

    Tu cliques sur Fix checked.

    Tu fermes HijackThis.

    Sur la ligne 02, elle devrait se terminer par file missing (passage de vundo.

    6) Tu relances HijackThis en mode "normal" et tu postes le log.

    @+
    0
    1. winix
       
      Salut le lyonnais... moi qui me croyait debarrasser des ces vers... en fait mon pc était carrément pourri !!!!
      Un ces 4 je finirait par un "format c:" LOL !

      ok... voici les resultats :

      1. Je n'ai pas trouvé le fichier ! Bizzare ces finchiers invisibles... mais j'avais lu qqpart que c'était le firewall xp

      2. c'est fait... le resultats ci-dessous

      3.4.5. Non je ne connais pas ces fichiers... je les ai tous effacés !

      6. c'est fait... le resultats ci-dessous


      je ne te répondrai sans doute que demain... en même temps j'apprend pas mal... je crois que la prochaine fois je serais capable de me débrouiller un peu... LOL

      bonne soirée....

      @+


      ****************************************************************
      VundoFix
      ****************************************************************

      VundoFix V6.2.11

      Checking Java version...

      Java version is 1.5.0.2

      Scan started at 15:20:14 26/11/2006

      Listing files found while scanning....

      C:\WINDOWS\system32\lsqvnkkf.exe
      C:\WINDOWS\system32\mdqmtbeo.exe
      C:\WINDOWS\system32\momjvnse.exe
      C:\WINDOWS\Cursors\actnati.dll
      C:\WINDOWS\Cursors\itantca.ini
      C:\WINDOWS\Cursors\itantca.bak1
      C:\WINDOWS\Cursors\itantca.bak2
      C:\WINDOWS\Cursors\itantca.tmp

      Beginning removal...

      Attempting to delete C:\WINDOWS\system32\lsqvnkkf.exe
      C:\WINDOWS\system32\lsqvnkkf.exe Has been deleted!

      Attempting to delete C:\WINDOWS\system32\mdqmtbeo.exe
      C:\WINDOWS\system32\mdqmtbeo.exe Has been deleted!

      Attempting to delete C:\WINDOWS\system32\momjvnse.exe
      C:\WINDOWS\system32\momjvnse.exe Has been deleted!

      Attempting to delete C:\WINDOWS\Cursors\actnati.dll
      C:\WINDOWS\Cursors\actnati.dll Has been deleted!

      Attempting to delete C:\WINDOWS\Cursors\itantca.ini
      C:\WINDOWS\Cursors\itantca.ini Has been deleted!

      Attempting to delete C:\WINDOWS\Cursors\itantca.bak1
      C:\WINDOWS\Cursors\itantca.bak1 Has been deleted!

      Attempting to delete C:\WINDOWS\Cursors\itantca.bak2
      C:\WINDOWS\Cursors\itantca.bak2 Has been deleted!

      Performing Repairs to the registry.
      Done!

      Beginning removal...

      Attempting to delete C:\WINDOWS\system32\wsimwiat.dll
      C:\WINDOWS\system32\wsimwiat.dll Has been deleted!

      Performing Repairs to the registry.
      Done!

      ****************************************************************
      HijackThis
      ****************************************************************

      Logfile of HijackThis v1.99.1
      Scan saved at 22:52:28, on 28/11/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\GSICON.EXE
      C:\WINDOWS\system32\dslagent.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      D:\PROGRA~1\CACHEM~1\CachemanXP.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\LVComsX.exe
      C:\HijackThis\VundoScan.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
      O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
      O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
      O4 - HKLM\..\Run: [jv16PT - Privacy Protector] D:\Program Files\jv16 PowerTools\jv16PT.exe -ExecTask "D:\Program Files\jv16 PowerTools\Tasks\_PrivacyProtector\Task.jvb"
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [XoftSpySE] D:\Program Files\XoftSpySE\xoftspy.exe -s
      O4 - HKLM\..\RunServices: [Security Centers] Sacurity.exe
      O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
      O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
      O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
      O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\WINDOWS\System32\shdocvw.dll
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.shockwave.com/content/luxoramunrising/sis/mjolauncher.cab
      O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - D:\PROGRA~1\CACHEM~1\CachemanXP.exe
      0
  11. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    Je viens de relire, et je m'aperçois que je n'ai jamais parlé de parefeu.

    Tu as dit que tu avais désactivé celui de Windows, mais je ne suis même pas sur qu'il était activé.

    Donc, urgent, tu télécharges Kerio(voir en haut dans télécharger, thème sécurité)(gratuit même après les 15 jours d'essai).

    Un lien pour le tuto de configuration :

    http://www.malekal.com/kerio_firewall.php

    Il faut que tu vérifies que le firewall de Windows est désactivé.
    _____________________________________________________

    Je pense que tu as vu que des fichiers théoriquement éradiqués au post 6 par Vundofix étaient revenus. Donc on surveille de très près. On a fait des choses depuis, dont la suppression en même temps d'un autre fichier toujours par VundoFix. Ce qui fait qu'on a amélioré les chances.

    Ma dernière incertitude, c'est sacurité.exe. Que tu ne le trouves pas indique plutôt sa nocivité. J'ai encore des pistes pour le dénicher.
    ____________________________________________________
    Je voudrais que tu me peignes soigneusement tous les programmes qui figurent dans le log et que tu me dises si tu les as installé (ou fait installé ou s'ils étaient d'origine).

    _____________________________________________________

    Ta console java n'est pas à jour. Va sur ce lien
    https://www.oracle.com/java/technologies/javase-downloads.html

    et télécharge la release 9 : Java Runtime Environment (JRE) 5.0 Update 9

    Tu as aussi des instructions d'installation.

    Ta console est une faille de sécurité au même titre que le parefeu.

    @+
    0
    1. winix
       
      salut le Lyonnais,
      Merci pour ta réponse...
      Pour répondre....
      1. Non, le parefeu windows est activé…. Et je disais juste que j’avais lu qqpart que sacurity.exe était en fait le parefeu windows.
      2. Ok pour Kerio…. Je vais l’installer ! merci pr le tuyau... j'avais entendu parler mais je croyais que celui de xp était suffisant !
      3. Ok… concernant le log et les programmes installés…

      C:\WINDOWS\system32\GSICON.EXE –> MODEM fournisseur d’accès internet
      C:\WINDOWS\system32\dslagent.exe -> idem
      C:\PROGRA~1\ALWILS~1\..... -> Avast antivirus
      D:\PROGRA~1\CACHEM~1\CachemanXP.exe -> Logiciel freeware… de gestion de cache
      C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll -> yahoo chat…mais je Pense plutôt enlevé parce que il install bcp de trucs non souhaité…
      C:\Program Files\Canon\Easy-WebPrint\Toolband.dll -> logiciel appareil photo
      D:\Program Files\jv16 PowerTools\jv16PT.exe -> un petit utilitaire pour gérer son ordi… pas mal de tout !
      D:\Program Files\XoftSpySE\xoftspy.exe -> un anti malware que ma femme a acheté une fois… nul !
      C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe -> pratique pour se reconnecter à internet

      le reste est soit windows, soit des logiciels qui se sont installés...

      Voilà...

      @+
      0
  12. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    Pourrais tu me donner le nom exact de la clé du registre où figure sacurity.exe. Je vois : HKLM\..\RunServices ce qui est insuffisant.

    Pour ça, démarrer, exécuter, regedit, OK, édition, rechercher, sacurity , suivant.

    Tu notes la clé trouvée, tu fais suivant pour vérifier qu'il n'y en a pas d'autres. Tu continues jusqu'à ce que tu n'en trouves plus.

    Pour tes logiciels, c'est OK, tu les connaîs donc pas de surprise.

    Je connais jv16. Il a une fonction de nettoyage de registre assez commode (et sécurisée). A employer assez régulièrement, en complément de ccleaner, en particulier après une désinstallation.

    J'insiste aussi sur la mise à jour de la console java, cela t'évitera des ennuis à l'avenir.

    Pour sacurity, après tes indications de nom de clé, je vais faire une dernière recherche avant de te proposer une action.
    _____________________________________________________

    Je vais aussi commencer les opérations de nettoyage final.

    Tu vas sur ce lien
    https://www.malekal.com/tutoriel-ccleaner/
    et tu télécharges le fichier, tu l'installes. Tu décoches la case devant "ajouter la barre d'outil Yahoo" lors de l'installation et tu l'exécutes en suivant le tuto.
    Tu garderas et tu l'utiliseras "de temps en temps".

    Tu vas sur ce lien https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/ Tu l'installes et tu lexécutes en suivant le tuto. En particulier, en fin de scan, tu cliques sur "appliquer toutes les actions" et tu posteras le log .
    Tu garderas et tu utiliseras "de temps en temps".

    Ensuite tu vas sur ce lien pour exécuter un scan avec un antivirus en ligne (sous Internet Explorer) :

    www.bitdefender.com/scan8/ie.html

    Cliquer sur "I Agree" et scanner tous les disques du PC.

    Penser à accepter l'ActiveX bloqué par la barre anti-popup du SP2 (elle clignotera en haut).

    A désinstaller ensuite (en particulier "fixer" la 016 avec HijackThis)

    Tu télécharges Spybot and destroy (sur cette page, à gauche, dans les indispensables). Tu le mets à jour.
    Tuto de démonstration ici :
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

    Tu l'exécutes et tu vaccines.
    Agarder, mettre à jour, exécuter et vaccinner "régulièrement".

    Par contre, Blacklight, Look2me destroyer, VundoFix, Smitfraud Fix et même HijackThis (actuellement vundoscan) seront à jeter. On ne s'en sert pas "régulièrement" et ils peuvent évoluer. Autant lles retélécharger en cas de besoin.
    @+
    0
    1. Winix
       
      salut le lyonnais...
      Désolé pour le retard... la fin de la semaine fut très cgargé !!! Bcp de boulot et pas le temps de tout faire...
      J'ai fait tout les installations, mise à jours et scans... il y a eu pas mal de nettoyage... MERCI !!!!!!!!!!!!!!!!!!!!!!!!!

      ci-dessous ce que j'ai trouve pour sacurity.exe ds la base de registre...

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Security Centers
      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\Sacurity.exe
      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\Sacurity.exe
      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\Sacurity.exe
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\Sacurity.exe
      HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\Sacurity.exe
      HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\Sacurity.exe


      je également refait un coup de hijack this...


      Logfile of HijackThis v1.99.1
      Scan saved at 12:44:46, on 02/12/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\GSICON.EXE
      C:\WINDOWS\system32\dslagent.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      D:\PROGRA~1\CACHEM~1\CachemanXP.exe
      C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
      d:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      d:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\WINDOWS\system32\LVComsX.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\WINDOWS\regedit.exe
      C:\WINDOWS\system32\notepad.exe
      D:\Program Files\Logitech\Video\AlbumDB2.exe
      D:\Program Files\Logitech\Video\FxSvr2.exe
      C:\HijackThis\VundoScan.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
      O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
      O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
      O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
      O4 - HKLM\..\Run: [jv16PT - Privacy Protector] D:\Program Files\jv16 PowerTools\jv16PT.exe -ExecTask "D:\Program Files\jv16 PowerTools\Tasks\_PrivacyProtector\Task.jvb"
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [XoftSpySE] D:\Program Files\XoftSpySE\xoftspy.exe -s
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "d:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKLM\..\RunServices: [Security Centers] Sacurity.exe
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
      O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
      O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
      O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.shockwave.com/content/luxoramunrising/sis/mjolauncher.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{AD9B0ADB-ED3B-4618-BADD-A2410D079411}: NameServer = 80.10.246.130 80.10.246.3
      O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - d:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - D:\PROGRA~1\CACHEM~1\CachemanXP.exe
      O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

      "Par contre, Blacklight, Look2me destroyer, VundoFix, Smitfraud Fix et même HijackThis (actuellement vundoscan) seront à jeter."
      dois-je supprimmer ces applis maintenant ??

      @ Bientôt !

      Bon weekend !
      0
  13. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    Tu jettes tous les logiciels que tu cites, sauf HijackThis, auquel tu peux redonner son nom.

    Je ne sais toujours pas ce que c'est que ce sacurity.exe. Je vais consulter les grands experts la-dessus. De toute manière, le fichier n'existant plus, les "clés de registre" sont inactives. Ce ne sont pas desz clé, ce sont des données associées à des clés. Donsc ne supprimme rien pour le moment.

    Je prendrai un peu de temps pour vérifier le log HijackThis, mais je suis pratiquement sur qu'il est clean.

    A un peu + tard dans le week-end.

    PS Si tu as un souci sur le fonctionnement de l'ordi, tu postes et on agit.

    0
  14. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    J'ai bien fait de me méfier de ce sacurity.exe.

    Va sur ce lien : http://www.malekal.com/download/clean.zip (merci malekal_morte). Décompresse-le sur ton bureau (clic droit / extraire tout), tu vas obtenir un dossier clean.

    Redémarre ton ordi en mode sans échec (tu tapotes sur la touche F8, ou F5 si F8 ne fonctionne pas dès le lancement du bios, dans la fenêtre qui s'ouvre, tu te positionnes sur mode sans échec avec les flèches de direction, l'ouverture peut être longue, l'aspect va être bizarre, c'est normal)

    Ouvre le dossier clean et clique sur clean.cmd.

    Une fenêre dos s'ouvre, tu suis les instructions et tu attends la fin des traitelments. Il va te dire qu'un rapport est prêt. Tu le sauvegardes.

    Tu redémarres en mode normal et tu postes ce rapport.

    Tu vas aussi voir dans le registre ce que sont devenues les clés avec sacurity.exe.

    @+
    0
    1. Winix
       
      ok... merci pour votre aide à tous !!!

      Je reviens vers vous dès que possible !

      dites... comment faites vous pour être si rapide ? puis-je vous aider ds qqs manière que ce soit ?
      0
  15. Winix
     
    re :
    Les clés avec sacurity.exe sont tjs présent....

    j'ai re-fais un scan avec Hijack (VundoScan.exe):

    Logfile of HijackThis v1.99.1
    Scan saved at 20:26:43, on 02/12/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\GSICON.EXE
    C:\WINDOWS\system32\dslagent.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
    D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    d:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    D:\PROGRA~1\CACHEM~1\CachemanXP.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    D:\Program Files\Logitech\Video\FxSvr2.exe
    C:\WINDOWS\system32\LVComsX.exe
    C:\HijackThis\VundoScan.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
    O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
    O4 - HKLM\..\Run: [jv16PT - Privacy Protector] D:\Program Files\jv16 PowerTools\jv16PT.exe -ExecTask "D:\Program Files\jv16 PowerTools\Tasks\_PrivacyProtector\Task.jvb"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [XoftSpySE] D:\Program Files\XoftSpySE\xoftspy.exe -s
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "d:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\RunServices: [Security Centers] Sacurity.exe
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{AD9B0ADB-ED3B-4618-BADD-A2410D079411}: NameServer = 80.10.246.1 80.10.246.132
    O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - d:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - D:\PROGRA~1\CACHEM~1\CachemanXP.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    0
  16. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    Il me manque le rapport de clean (clean.txt ?).

    Peux tu revérifier que tu ne vois rien qui ressemble à sacurity (via rechercher).

    @+
    0
    1. winix
       
      salut Lyonnais...
      Il n y a pas de fichier sacurity... bizarre non ?

      ci-dessous le rapport clean

      Script clean par Malekal_morte - http://www.malekal.com

      Microsoft Windows XP [version 5.1.2600]
      Script execute en mode sans echec

      *** Suppression de fichiers sur C:

      *** Suppression des fichiers dans C:\WINDOWS\

      *** Suppression des fichiers dans C:\WINDOWS\system32
      "C:\WINDOWS\Downloaded Program Files\*_*_*NetInstaller.exe" FOUND


      *** Suppression des clefs du registre effectuee..
      0
  17. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    Clean a trouvé quelque chose.

    As tu activé le "tea timer "de Spybot ?
    Pour savoir : lancer spybot, dans mode, choisir mode avancé, cliquer sur + devant outils, cliquer sur résident, vérifier que la case devant 'résident tea timer est décochée (je peux te dire que la case devant SDhelper est cochée, tu la laisses).

    On va faire une autre analyse :
    va sur ce lien http://pandasoftware.fr
    et cliques sur "analysez votre pc" et suis les instructions. Poste le rapport dans ta réponse.

    @+

    0
    1. winix
       
      slt Le Lyonnais...

      - c'est fait pour la première partie... "tea timer" -> ok

      - mais lorsque je lance l'analyse panda, avast m'averti que y'a un virus/worm Win32:CTX est détecté.... et l'installation de l'Activex echoue...

      @+
      0
  18. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    esaye celui là :
    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

    Ensuite, relance SmitfraudFix, mets le à jour. (option 4 ?)

    Choisis l'option 1 et poste le rapport.

    @+
    0
    1. winix
       
      ok... tout de suite
      0
    2. winix
       
      -------------------------------------------------------------------------------
      KASPERSKY ON-LINE SCANNER REPORT
      Monday, December 04, 2006 11:34:44 PM
      Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
      Kaspersky On-line Scanner version : 5.0.83.0
      Dernière mise à jour de la base antivirus Kaspersky : 4/12/2006
      Enregistrements dans la base antivirus Kaspersky : 248052
      -------------------------------------------------------------------------------

      Paramètres d'analyse:
      Analyser avec la base antivirus suivante: étendue
      Analyser les archives: vrai
      Analyser les bases de messagerie: vrai

      Cible de l'analyse - Zones critiques:
      C:\WINDOWS
      C:\DOCUME~1\John\LOCALS~1\Temp\

      Statistiques de l'analyse:
      Total d'objets analysés: 13862
      Nombre de virus trouvés: 1
      Nombre d'objets infectés: 6 / 0
      Nombre d'objets suspects: 0
      Durée de l'analyse: 00:38:31

      Nom de l'objet infecté / Nom du virus / Dernière action
      C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
      C:\WINDOWS\SoftwareDistribution\EventCache\{ACC45601-C957-424C-8618-4F38DD2E4FBC}.bin L'objet est verrouillé ignoré
      C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
      C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
      C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
      C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\system32\gshpshxs.exe Infecté : not-a-virus:AdWare.Win32.Agent.at ignoré
      C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
      C:\WINDOWS\system32\klipipoy.exe Infecté : not-a-virus:AdWare.Win32.Agent.at ignoré
      C:\WINDOWS\system32\rhuxqfif.exe Infecté : not-a-virus:AdWare.Win32.Agent.at ignoré
      C:\WINDOWS\system32\rnnyimwo.exe Infecté : not-a-virus:AdWare.Win32.Agent.at ignoré
      C:\WINDOWS\system32\tifsppbt.exe Infecté : not-a-virus:AdWare.Win32.Agent.at ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wfbvhmir.exe Infecté : not-a-virus:AdWare.Win32.Agent.at ignoré
      C:\WINDOWS\Temp\Perflib_Perfdata_108.dat L'objet est verrouillé ignoré
      C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
      C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
      C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
      C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
      C:\DOCUME~1\John\LOCALS~1\Temp\Perflib_Perfdata_64c.dat L'objet est verrouillé ignoré
      C:\DOCUME~1\John\LOCALS~1\Temp\Perflib_Perfdata_830.dat L'objet est verrouillé ignoré
      C:\DOCUME~1\John\LOCALS~1\Temp\~DF2642.tmp L'objet est verrouillé ignoré

      Analyse terminée.

      ************************************************************

      SmitFraudFix v2.128

      Rapport fait à 23:43:02,92, 04/12/2006
      Executé à partir de C:\Documents and Settings\John\Bureau\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Le type du système de fichiers est NTFS
      Fix executé en mode normal

      C:\

      C:\WINDOWS

      C:\WINDOWS\system

      C:\WINDOWS\Web

      C:\WINDOWS\system32

      C:\WINDOWS\system32\LogFiles

      C:\Documents and Settings\John

      C:\Documents and Settings\John\Application Data

      Menu Démarrer

      C:\DOCUME~1\John\Favoris

      Bureau

      C:\Program Files

      Clés corrompues

      Eléments du bureau

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
      "Source"="About:Home"
      "SubscribedURL"="About:Home"
      "FriendlyName"="Ma page d'accueil"

      Sharedtaskscheduler
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll

      AppInit_DLLs
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"=""

      Winlogon.System
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "System"=""

      pe386-msguard-lzx32

      Recherche infection wininet.dll

      Fin
      0
  19. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    Mets à jour AVG antispyware,

    Désactive ta restauration système,

    Si vtu ne sais pas faire, un tuto ici (avec la réactivation à faire en fin de manip).
    http://service1.symantec.com/...

    Redémarres en mode sans échec.

    Fais passer AVG sur ton poste de travail.

    Détruis tout ce qu'il trouve en fin de scan et sauve le rapport.

    Vide ta corbeille.

    Redémarre en mode normal.

    Réactive ta restauration système;

    Refais un scan en ligne de kapersky;

    Poste le rapport d'AVG, le rapport de Kaperski et un log HijackThis;

    @+

    0
    1. winix
       
      ok.... je vais faire ça ce soir...

      ci-dessous un scan complet que j'avais lancé hier soir... je te l'envoie pour info :

      -------------------------------------------------------------------------------
      KASPERSKY ON-LINE SCANNER REPORT
      Tuesday, December 05, 2006 6:11:35 AM
      Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
      Kaspersky On-line Scanner version : 5.0.83.0
      Dernière mise à jour de la base antivirus Kaspersky : 5/12/2006
      Enregistrements dans la base antivirus Kaspersky : 248057
      -------------------------------------------------------------------------------

      Paramètres d'analyse:
      Analyser avec la base antivirus suivante: étendue
      Analyser les archives: vrai
      Analyser les bases de messagerie: vrai

      Cible de l'analyse - Poste de travail:
      C:\
      D:\
      E:\
      F:\
      G:\
      H:\
      I:\
      J:\
      K:\
      L:\

      Statistiques de l'analyse:
      Total d'objets analysés: 67841
      Nombre de virus trouvés: 3
      Nombre d'objets infectés: 12 / 0
      Nombre d'objets suspects: 0
      Durée de l'analyse: 02:50:26

      Nom de l'objet infecté / Nom du virus / Dernière action
      C:\clean\clean\pskill.exe Infecté : not-a-virus:RiskTool.Win32.PsKill.k ignoré
      C:\Documents and Settings\John\Application Data\Microsoft\Crypto\RSA\S-1-5-21-117609710-1060284298-34524947-1003\bd945f78fa56103b1a287cf701ab7d4b_eae18eae-d875-4573-8509-3652cab8ba55 L'objet est verrouillé ignoré
      C:\Documents and Settings\John\Application Data\Microsoft\Crypto\RSA\S-1-5-21-117609710-1060284298-34524947-1003\c2d24b3609551703f473a817faff2f39_eae18eae-d875-4573-8509-3652cab8ba55 L'objet est verrouillé ignoré
      C:\Documents and Settings\John\Bureau\SmitfraudFix\Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
      C:\Documents and Settings\John\Bureau\SmitfraudFix.exe/data.rar/SmitfraudFix/Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
      C:\Documents and Settings\John\Bureau\SmitfraudFix.exe/data.rar Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
      C:\Documents and Settings\John\Bureau\SmitfraudFix.exe RarSFX: infecté - 2 ignoré
      C:\Documents and Settings\John\Bureau\SmitfraudFix.exe PE_Patch.UPX: infecté - 2 ignoré
      C:\Documents and Settings\John\Cookies\index.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\John\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\John\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
      C:\Documents and Settings\John\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\John\Local Settings\Historique\History.IE5\MSHist012006120420061205\index.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\John\Local Settings\Temp\Perflib_Perfdata_64c.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\John\Local Settings\Temp\~DF2642.tmp L'objet est verrouillé ignoré
      C:\Documents and Settings\John\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\John\ntuser.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\John\ntuser.dat.LOG L'objet est verrouillé ignoré
      C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
      C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
      C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
      C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
      C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
      C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
      C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
      C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
      C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré
      C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré
      C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
      C:\Program Files\Alwil Software\Avast4\DATA\report\Resident protection.txt L'objet est verrouillé ignoré
      C:\Program Files\Fichiers communs\System\aBf.exe L'objet est verrouillé ignoré
      C:\Program Files\Fichiers communs\System\ZsJSn.exe L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\debug.log L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\debug.log.idx L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\error.log L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\error.log.idx L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\hips.log L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\hips.log.idx L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\ids.log L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\ids.log.idx L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\network.log L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\network.log.idx L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\system.log L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\system.log.idx L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\warning.log L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\warning.log.idx L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\web.log L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\web.log.idx L'objet est verrouillé ignoré
      C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
      C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
      C:\WINDOWS\SoftwareDistribution\EventCache\{ACC45601-C957-424C-8618-4F38DD2E4FBC}.bin L'objet est verrouillé ignoré
      C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
      C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
      C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
      C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\system32\gshpshxs.exe Infecté : not-a-virus:AdWare.Win32.Agent.at ignoré
      C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
      C:\WINDOWS\system32\klipipoy.exe Infecté : not-a-virus:AdWare.Win32.Agent.at ignoré
      C:\WINDOWS\system32\rhuxqfif.exe Infecté : not-a-virus:AdWare.Win32.Agent.at ignoré
      C:\WINDOWS\system32\rnnyimwo.exe Infecté : not-a-virus:AdWare.Win32.Agent.at ignoré
      C:\WINDOWS\system32\tifsppbt.exe Infecté : not-a-virus:AdWare.Win32.Agent.at ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wfbvhmir.exe Infecté : not-a-virus:AdWare.Win32.Agent.at ignoré
      C:\WINDOWS\Temp\Perflib_Perfdata_108.dat L'objet est verrouillé ignoré
      C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
      C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
      C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
      C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

      Analyse terminée.
      0
    2. Winix
       
      salut le lyonnais...
      désolé pour le contre temps... j'étais pas mal occupoé ces derniers temps... je rentre chez moi tard le soir depuis le debut la semaine..
      bon, aujoird'hui j'ai trouvé le temps de tout faire...

      @+

      ---------------------------------------------------------
      AVG Anti-Spyware - Rapport d'analyse
      ---------------------------------------------------------

      + Créé à: 23:58:24 05/12/2006

      + Résultat de l'analyse:



      C:\Documents and Settings\John\Cookies\john@247realmedia[2].txt -> TrackingCookie.247realmedia : Aucune action entreprise.
      C:\Documents and Settings\John\Cookies\john@adtech[2].txt -> TrackingCookie.Adtech : Aucune action entreprise.
      C:\Documents and Settings\John\Cookies\john@fl01.ct2.comclick[2].txt -> TrackingCookie.Comclick : Aucune action entreprise.
      C:\Documents and Settings\John\Cookies\john@weborama[2].txt -> TrackingCookie.Weborama : Aucune action entreprise.
      D:\Program Files\jv16 PowerTools\PATCHER.exe -> Trojan.Delf.li : Aucune action entreprise.
      F:\test\jv16.Powertools.2005.v1.5.0.276.Cracked.and.Patched.rar/Crack\PATCHER.exe -> Trojan.Delf.li : Aucune action entreprise.
      F:\test\jv16.Powertools.2005.v1.5.0.276.Cracked.and.Patched.rar/Crack\jv16 PowerTools\PATCHER.exe -> Trojan.Delf.li : Aucune action entreprise.
      F:\test\jv16.Powertools.2005.v1.5.0.276.Cracked.and.Patched\Crack\PATCHER.exe -> Trojan.Delf.li : Aucune action entreprise.
      F:\test\jv16.Powertools.2005.v1.5.0.276.Cracked.and.Patched\Crack\jv16 PowerTools\PATCHER.exe -> Trojan.Delf.li : Aucune action entreprise.


      Fin du rapport

      -------------------------------------------------------------------------------
      KASPERSKY ON-LINE SCANNER REPORT
      Saturday, December 09, 2006 10:05:42 AM
      Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
      Kaspersky On-line Scanner version : 5.0.83.0
      Dernière mise à jour de la base antivirus Kaspersky : 8/12/2006
      Enregistrements dans la base antivirus Kaspersky : 249275
      -------------------------------------------------------------------------------

      Paramètres d'analyse:
      Analyser avec la base antivirus suivante: étendue
      Analyser les archives: vrai
      Analyser les bases de messagerie: vrai

      Cible de l'analyse - Poste de travail:
      C:\
      D:\
      E:\
      F:\
      G:\
      H:\
      I:\
      J:\
      K:\
      L:\

      Statistiques de l'analyse:
      Total d'objets analysés: 67504
      Nombre de virus trouvés: 3
      Nombre d'objets infectés: 12 / 0
      Nombre d'objets suspects: 0
      Durée de l'analyse: 02:53:57

      Nom de l'objet infecté / Nom du virus / Dernière action
      C:\clean\clean\pskill.exe Infecté : not-a-virus:RiskTool.Win32.PsKill.k ignoré
      C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\John\Application Data\Microsoft\Crypto\RSA\S-1-5-21-117609710-1060284298-34524947-1003\bd945f78fa56103b1a287cf701ab7d4b_eae18eae-d875-4573-8509-3652cab8ba55 L'objet est verrouillé ignoré
      C:\Documents and Settings\John\Application Data\Microsoft\Crypto\RSA\S-1-5-21-117609710-1060284298-34524947-1003\c2d24b3609551703f473a817faff2f39_eae18eae-d875-4573-8509-3652cab8ba55 L'objet est verrouillé ignoré
      C:\Documents and Settings\John\Bureau\SmitfraudFix\Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
      C:\Documents and Settings\John\Bureau\SmitfraudFix.exe/data.rar/SmitfraudFix/Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
      C:\Documents and Settings\John\Bureau\SmitfraudFix.exe/data.rar Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
      C:\Documents and Settings\John\Bureau\SmitfraudFix.exe RarSFX: infecté - 2 ignoré
      C:\Documents and Settings\John\Bureau\SmitfraudFix.exe PE_Patch.UPX: infecté - 2 ignoré
      C:\Documents and Settings\John\Cookies\index.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\John\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\John\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
      C:\Documents and Settings\John\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\John\Local Settings\Historique\History.IE5\MSHist012006120920061210\index.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\John\Local Settings\Temp\Perflib_Perfdata_744.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\John\Local Settings\Temp\~DF8330.tmp L'objet est verrouillé ignoré
      C:\Documents and Settings\John\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\John\ntuser.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\John\ntuser.dat.LOG L'objet est verrouillé ignoré
      C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
      C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
      C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
      C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
      C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
      C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
      C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
      C:\Documents and Settings\xxKujbxEaHOjGh\NTUSER.DAT L'objet est verrouillé ignoré
      C:\Documents and Settings\xxKujbxEaHOjGh\ntuser.dat.LOG L'objet est verrouillé ignoré
      C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
      C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
      C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré
      C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré
      C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
      C:\Program Files\Alwil Software\Avast4\DATA\report\Resident protection.txt L'objet est verrouillé ignoré
      C:\Program Files\Fichiers communs\System\aBf.exe L'objet est verrouillé ignoré
      C:\Program Files\Fichiers communs\System\ZsJSn.exe L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\debug.log L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\debug.log.idx L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\error.log L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\error.log.idx L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\hips.log L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\hips.log.idx L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\ids.log L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\ids.log.idx L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\network.log L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\network.log.idx L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\system.log L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\system.log.idx L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\warning.log L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\warning.log.idx L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\web.log L'objet est verrouillé ignoré
      C:\Program Files\Sunbelt Software\Personal Firewall\logs\web.log.idx L'objet est verrouillé ignoré
      C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
      C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
      C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
      C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\system32\gshpshxs.exe Infecté : not-a-virus:AdWare.Win32.Agent.at ignoré
      C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
      C:\WINDOWS\system32\klipipoy.exe Infecté : not-a-virus:AdWare.Win32.Agent.at ignoré
      C:\WINDOWS\system32\rhuxqfif.exe Infecté : not-a-virus:AdWare.Win32.Agent.at ignoré
      C:\WINDOWS\system32\rnnyimwo.exe Infecté : not-a-virus:AdWare.Win32.Agent.at ignoré
      C:\WINDOWS\system32\tifsppbt.exe Infecté : not-a-virus:AdWare.Win32.Agent.at ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wfbvhmir.exe Infecté : not-a-virus:AdWare.Win32.Agent.at ignoré
      C:\WINDOWS\Temp\Perflib_Perfdata_7cc.dat L'objet est verrouillé ignoré
      C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
      C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
      C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
      C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
      D:\System Volume Information\_restore{8A5FB94E-C80B-48EB-84C7-D4FDCCAE4D04}\RP4\change.log L'objet est verrouillé ignoré

      Analyse terminée.

      Logfile of HijackThis v1.99.1
      Scan saved at 15:12:33, on 09/12/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      d:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\WINDOWS\system32\GSICON.EXE
      C:\WINDOWS\system32\dslagent.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
      D:\PROGRA~1\CACHEM~1\CachemanXP.exe
      D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
      D:\Program Files\eMule\emule.exe
      C:\WINDOWS\system32\LVComsX.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\WINDOWS\system32\NOTEPAD.EXE
      D:\Program Files\Logitech\Video\FxSvr2.exe
      C:\HijackThis\VundoScan.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
      O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
      O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
      O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
      O4 - HKLM\..\Run: [jv16PT - Privacy Protector] D:\Program Files\jv16 PowerTools\jv16PT.exe -ExecTask "D:\Program Files\jv16 PowerTools\Tasks\_PrivacyProtector\Task.jvb"
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [XoftSpySE] D:\Program Files\XoftSpySE\xoftspy.exe -s
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "d:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKLM\..\RunServices: [Security Centers] Sacurity.exe
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
      O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
      O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
      O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O17 - HKLM\System\CCS\Services\Tcpip\..\{AD9B0ADB-ED3B-4618-BADD-A2410D079411}: NameServer = 80.10.246.1 80.10.246.132
      O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - d:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - D:\PROGRA~1\CACHEM~1\CachemanXP.exe
      O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
      0
  20. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    Pas de soucis, tu avances quand tu peux.

    Mets à jour AVG antispy.

    Redémarre en mode sans échec,

    relance AVG avec comme options de "réglage" supprimer ou qurantaine.

    En fin de scan, fait appliquer toutes les actions de manière à ce que, dans le log, tu trouves nettoyé ou quarantaine et non "pas d'action entreprise".

    redémarre en mode normal,

    relance un scan en ligne Kapersky

    remets un log HijackThis.

    @+
    0