Sujet Précédent Sujet Suivant

Message suspect

Fermé
ded74 Messages postés 19 Date d'inscription mardi 7 novembre 2006 Statut Membre Dernière intervention 8 mai 2007 - 5 déc. 2006 à 19:19
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 - 12 févr. 2008 à 23:56
Bonjour a tous,

Quelqun pourrait me dire quelles sont les choses que je devrait fixer.

Merci a tous du temps que vous prendrez .c 'est cool

58 réponses

Précédent
Réponse 41 / 58
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
5 févr. 2008 à 16:17
Comme j'ai dit plus tot,j'ai bien une manip' sous le coude concernant les fameux fichiers que tu a fais analyser, mais on vas attendre l'avis de Régis !

REGIIIIIIIS, on peux les supprimer ? ou en à t'on encore besoin ?

C:\WINDOWS\system32\pegbjna.exe
C:\WINDOWS\system32\uclp.exe
2C2E2D3331353.exe
C:\DOCUME~1\ADMINI~1.BEN\LOCALS~1\Temp\05.exe
0
Réponse 42 / 58
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
5 févr. 2008 à 18:17
Nan c'est bon jorginho, merci :) Tu peux supprimer ;)

A+
0
Réponse 43 / 58
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
5 févr. 2008 à 18:40
je viens de voir que OTmoveit est indispo' , on fais comment ? KILL BOX ?

je tente !

Télécharge Pocket KillBox sur ton bureau.
http://www.downloads.subratam.org/KillBox.exe


-> Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".

Copie la citation ci dessous en gras :

C:\WINDOWS\system32\pegbjna.exe
C:\WINDOWS\system32\uclp.exe
2C2E2D3331353.exe
C:\DOCUME~1\ADMINI~1.BEN\LOCALS~1\Temp\05.exe

-> Sur PocketKillBox --> menu "File" --> "Paste from Clipboard"

Tu peux vérifier dans le menu déroulant que le fichier est bien présent.
- coche la case "Unregister dll before deleting" (si tu en as la possibilité)
- click sur le bouton "All files"
- click ensuite sur la croix rouge

Au deux messages qui vont s'afficher, tu réponds par "YES"
L'ordinateur doit redémarrer, sinon, fais le toi-même, quoiqu'il arrive.

Après redémarrage, relance Killbox puis clic sur l'onglet "fichier" -> Log -> Actions History Log
Poste le rapport ici, il se trouve à la racine du disque dur C:\!killbox\


@ suivre.....
0
Réponse 44 / 58
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
5 févr. 2008 à 21:39
Pour OtMoveIt, la version 2 est sortie c est pour cela. ;)

A+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 58
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
5 févr. 2008 à 22:21
en plus, j'ai mis le nouveau canned sur un autre top'c, j'ai zappé celui ci !

JIB, si ça ne marche pas avec KILLbox,
Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt : Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\pegbjna.exe
C:\WINDOWS\system32\uclp.exe
2C2E2D3331353.exe
C:\DOCUME~1\ADMINI~1.BEN\LOCALS~1\Temp\05.exe

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

@ +
0
Réponse 46 / 58
jib
6 févr. 2008 à 22:04
Salut jorginho, salut Regis

Je ne comprends pas tres bien la manip,en plus le message suspect est revenu en force ça n arrete pas que faire?
donc je te post le dernier rapport hjthis je ne sais pas si se sera d'une grande utilité?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:00:09, on 06/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\uclp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com/spresults.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [pegbjna] C:\WINDOWS\system32\pegbjna.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [uclp] C:\WINDOWS\system32\uclp.exe
O4 - HKLM\..\Run: [NvGraphicsInterface] C:\DOCUME~1\ADMINI~1.BEN\LOCALS~1\Temp\05.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [pegbjna] C:\WINDOWS\system32\pegbjna.exe
O4 - HKLM\..\RunServices: [uclp] C:\WINDOWS\system32\uclp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Documents and Settings\Administrateur.BENJAMIN-3AF6A3\Bureau\Raccourcis Bureau non utilisés\Noble Poker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Documents and Settings\Administrateur.BENJAMIN-3AF6A3\Bureau\Raccourcis Bureau non utilisés\Noble Poker\casino.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Print Spooler Service (eaa15iooa9) - Unknown owner - C:\WINDOWS\system32\uclp.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
0
Réponse 47 / 58
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
6 févr. 2008 à 22:30
Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt : Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\pegbjna.exe
C:\WINDOWS\system32\uclp.exe
2C2E2D3331353.exe
C:\DOCUME~1\ADMINI~1.BEN\LOCALS~1\Temp\05.exe

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.
0
Réponse 48 / 58
jib
6 févr. 2008 à 22:49
Merci de me répondre aussi vite mais j'ai fais tous ce que tu m'as dis et il ne me donne pas de rappport ou je n arrive pas à le trouvé.
Je suis désolé de te faire répéter .
A+
0
Réponse 49 / 58
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
6 févr. 2008 à 22:59
Bein...demarrer > poste de travail > double clic sur C:\ > tu devrais y trouver ceci " OTMoveIt\MovedFiles ".

j'en ai un sur le mien d'il y a un moment.
0
Réponse 50 / 58
jib
6 févr. 2008 à 23:20
Voilà le rapport Killbox
Pocket Killbox version 2.0.0.648
Running on Windows XP as Administrateur(Administrator)
was started @ mercredi, février 06, 2008, 8:42 PM

Killbox Closed(Exit) @ 8:42:39 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as Administrateur(Administrator)
was started @ mercredi, février 06, 2008, 8:42 PM

Pocket Killbox version 2.0.0.648
Running on Windows XP as Administrateur(Administrator)
was started @ mercredi, février 06, 2008, 8:42 PM

Killbox Closed(Exit) @ 8:42:40 PM
__________________________________________________

Killbox Closed(Exit) @ 8:42:40 PM
__________________________________________________

# 1 [Delete on Reboot]
Path = C:\WINDOWS\system32\pegbjna.exe


I Rebooted @ 8:51:32 PM
Killbox Closed(Exit) @ 8:51:44 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as Administrateur(Administrator)
was started @ mercredi, février 06, 2008, 9:02 PM

Killbox Closed(Exit) @ 9:24:35 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as Administrateur(Administrator)
was started @ mercredi, février 06, 2008, 10:41 PM

# 1 [Delete on Reboot]
Path = C:\WINDOWS\system32\pegbjna.exe


I Rebooted @ 10:54:02 PM
Killbox Closed(Exit) @ 10:54:14 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as Administrateur(Administrator)
was started @ mercredi, février 06, 2008, 11:08 PM

Voilà un rapport Movedfiles . Je crois que j'ai supprimé via la poubelle uclp.exe.
File/Folder C:\WINDOWS\system32\pegbjna.exe not found.
C:\WINDOWS\system32\uclp.exe moved successfully.
File/Folder 2C2E2D3331353.exe not found.
File/Folder C:\DOCUME~1\ADMINI~1.BEN\LOCALS~1\Temp\05.exe not found.

OTMoveIt2 v1.0.17 log created on 02062008_211230
File/Folder C:\WINDOWS\system32\pegbjna.exe not found.
File/Folder C:\WINDOWS\system32\uclp.exe not found.
File/Folder 2C2E2D3331353.exe not found.
File/Folder C:\DOCUME~1\ADMINI~1.BEN\LOCALS~1\Temp\05.exe not found.

OTMoveIt2 v1.0.17 log created on 02062008_220755
File/Folder File/Folder C:\WINDOWS\system32\pegbjna.exe not found. not found.
File/Folder File/Folder C:\WINDOWS\system32\uclp.exe not found. not found.
File/Folder File/Folder 2C2E2D3331353.exe not found. not found.
File/Folder File/Folder C:\DOCUME~1\ADMINI~1.BEN\LOCALS~1\Temp\05.exe not found. not found.
File/Folder not found.
File/Folder OTMoveIt2 v1.0.17 log created on 02062008_220755 not found.

OTMoveIt2 v1.0.17 log created on 02062008_220947
je t'envoie tout ce que je peux en esperant que ça marche.
0
Réponse 51 / 58
jib
6 févr. 2008 à 23:28
encore 1,

File/Folder File/Folder C:\WINDOWS\system32\pegbjna.exe not found. not found.
File/Folder File/Folder C:\WINDOWS\system32\uclp.exe not found. not found.
File/Folder File/Folder 2C2E2D3331353.exe not found. not found.
File/Folder File/Folder C:\DOCUME~1\ADMINI~1.BEN\LOCALS~1\Temp\05.exe not found. not found.
File/Folder not found.
File/Folder OTMoveIt2 v1.0.17 log created on 02062008_220755 not found.

OTMoveIt2 v1.0.17 log created on 02062008_220947
0
Réponse 52 / 58
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
7 févr. 2008 à 00:09
Bon, refais moi un log HJT quand tu pourras stp !

@+
0
Réponse 53 / 58
jib
7 févr. 2008 à 14:16
Hello jorginho,

voilà ce que tu me demande
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:07, on 07/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com/spresults.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [pegbjna] C:\WINDOWS\system32\pegbjna.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [uclp] C:\WINDOWS\system32\uclp.exe
O4 - HKLM\..\Run: [NvGraphicsInterface] C:\DOCUME~1\ADMINI~1.BEN\LOCALS~1\Temp\05.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [pegbjna] C:\WINDOWS\system32\pegbjna.exe
O4 - HKLM\..\RunServices: [uclp] C:\WINDOWS\system32\uclp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Documents and Settings\Administrateur.BENJAMIN-3AF6A3\Bureau\Raccourcis Bureau non utilisés\Noble Poker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Documents and Settings\Administrateur.BENJAMIN-3AF6A3\Bureau\Raccourcis Bureau non utilisés\Noble Poker\casino.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Print Spooler Service (eaa15iooa9) - Unknown owner - C:\WINDOWS\system32\uclp.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
0
Réponse 54 / 58
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
7 févr. 2008 à 14:39
Derme..... ils sont encore là.....

je demande un renseignement, je reviens... tu as toujours ces messages d'alerte ?

@+
0
Réponse 55 / 58
jib
7 févr. 2008 à 18:29
Hey jorginho,

Malheureusement oui et d'autres virus aussi c'est sans fin
0
Réponse 56 / 58
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
7 févr. 2008 à 19:11
bon, on y verra plus clair avec combo :
Télécharge à partir d'un de ces liens :

ComboFix bleepingcomputer
ComboFix forospyware
Et important, enregistre le sur le bureau.

Si ton antivirus te signale un trojan , risktools ou quoi que ce soit, il faut choisir ignorer car c'est une erreur de detection.
Il detecte en fait un composant de l'outil de nettoyage.

Avant d'utiliser ComboFix :
Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt

-Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
- Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

(Merci mOe)
0
Réponse 57 / 58
jib
12 févr. 2008 à 22:50
ola jorginho,

Désolé de ne pas avoir répondu plus tot,
Voilà le rapport en espérant que nous arrivons à la fin du processus de désinfection et encore une fois au risque de me répéter Merci!!!

ComboFix 08-02-13.1 - Administrateur 2008-02-12 21:31:41.1 - NTFSx86
Endroit: C:\Documents and Settings\Administrateur.BENJAMIN-3AF6A3\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\mljhi.dll
C:\Documents and Settings\Administrateur.BENJAMIN-3AF6A3\Application Data\Seekmo
C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\Documents and Settings\All Users.WINDOWS\Application Data\SeekmoSA
C:\Documents and Settings\All Users.WINDOWS\Application Data\SeekmoSA\SeekmoSA.dat
C:\Documents and Settings\All Users.WINDOWS\Application Data\SeekmoSA\SeekmoSA_kyf_update.dat
C:\Documents and Settings\All Users.WINDOWS\Application Data\SeekmoSA\SeekmoSAAbout.mht
C:\Documents and Settings\All Users.WINDOWS\Application Data\SeekmoSA\SeekmoSAau.dat
C:\Documents and Settings\All Users.WINDOWS\Application Data\SeekmoSA\SeekmoSAEULA.mht
C:\Documents and Settings\utilisateur\Application Data\WinAntiVirus Pro 2006
C:\Documents and Settings\utilisateur\Application Data\WinAntiVirus Pro 2006\PGE.dat
C:\Program Files\Fichiers communs\winantivirus pro 2006
C:\Program Files\winantivirus pro 2006
C:\Program Files\winantivirus pro 2006\history.db
C:\Program Files\winantivirus pro 2006\plugins\e_spyw.ivd
C:\WINDOWS\system32\ihjlm.ini
C:\WINDOWS\system32\ihjlm.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mljhi.dll
C:\WINDOWS\system32\ssqomll.dll
C:\WINDOWS\system32\urlmsnlink.dat

----- BITS: Possible sites infect‚s -----

hxxp://thenetworkcom.com
hxxp://77.91.228.182

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-13 to 2008-02-13 ))))))))))))))))))))))))))))))))))))
.

2008-02-07 17:28 . 2008-02-07 17:28 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\2ACA5CC3-0F83-453D-A079-1076FE1A8B65
2008-02-06 21:12 . 2008-02-06 21:12 <REP> d----c--- C:\_OTMoveIt
2008-02-05 13:33 . 2008-02-05 13:33 <REP> d-------- C:\Documents and Settings\Administrateur.BENJAMIN-3AF6A3\Application Data\Grisoft
2008-02-05 13:29 . 2008-02-05 13:29 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Grisoft
2008-02-05 13:29 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-02-02 03:10 . 2008-02-04 16:57 <REP> d----c--- C:\VundoFix Backups
2008-02-01 15:12 . 2008-02-01 15:41 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2008-02-01 15:05 . 2008-02-04 12:24 <REP> d-------- C:\Program Files\Trend Micro
2008-02-01 14:59 . 2008-02-01 14:59 <REP> d-------- C:\Program Files\Softwin
2008-02-01 14:59 . 2008-02-01 15:07 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\BitDefender
2008-02-01 14:47 . 2008-02-01 15:50 <REP> d-------- C:\Program Files\Fichiers communs\Softwin
2008-01-31 23:01 . 2008-01-31 23:01 <REP> d-------- C:\WINDOWS\ERUNT
2008-01-31 22:53 . 2008-01-31 20:25 <REP> d----c--- C:\SDFix
2008-01-28 15:01 . 2008-01-28 15:01 <REP> d-------- C:\WINDOWS\system32\5052515755595
2008-01-25 02:10 . 2008-01-25 02:10 <REP> d-------- C:\Program Files\Google
2008-01-25 01:42 . 2008-01-25 02:12 <REP> d-a------ C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP
2008-01-21 01:48 . 2008-01-21 01:48 17,408 -r-hs---- C:\WINDOWS\wdtsvc.exe
2008-01-17 09:55 . 2008-01-17 09:55 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-16 09:28 . 2008-01-16 09:28 131,072 --a------ C:\WINDOWS\system32\wawk.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-12 20:25 --------- d-----w C:\Documents and Settings\Administrateur.BENJAMIN-3AF6A3\Application Data\uTorrent
2008-02-06 01:57 --------- d-----w C:\Documents and Settings\Administrateur.BENJAMIN-3AF6A3\Application Data\LimeWire
2008-02-05 00:53 --------- d-----w C:\Program Files\DivX
2008-02-01 11:34 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-18 19:28 --------- d-----w C:\Program Files\MSN Messenger
2008-01-16 21:31 --------- d-----w C:\Program Files\QuickTime
2008-01-01 22:42 --------- d-----w C:\Documents and Settings\utilisateur\Application Data\LimeWire
2007-12-28 01:10 --------- d-----w C:\Program Files\eMule
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2007-11-29 22:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-11-29 22:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2006-12-07 14:30 4,096 -c--a-w C:\Documents and Settings\Administrateur.BENJAMIN-3AF6A3\log.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1E29BFA9-AD58-4F44-A9FF-6843FB3DF12B}]
C:\WINDOWS\werbettxf.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6ECBBF95-AF1B-4FB7-B945-237282EAA3BE}]
C:\WINDOWS\system32\khfec.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D3C304D6-B9B6-487B-A62B-0C332AE3D141}]
C:\WINDOWS\system32\hgdaa.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EDF04824-2A3D-4234-AD4F-599C49880263}]
C:\WINDOWS\system32\ljhih.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:54 15360]
"ccleaner"="C:\Program Files\CCleaner\ccleaner.exe" [2007-07-13 10:10 598656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-11-15 13:11 267048]
"pegbjna"="C:\WINDOWS\system32\pegbjna.exe" [ ]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-01-10 15:27 385024]
"uclp"="C:\WINDOWS\system32\uclp.exe" [ ]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"pegbjna"="C:\WINDOWS\system32\pegbjna.exe" [ ]
"uclp"="C:\WINDOWS\system32\uclp.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:54 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

S2 eaa15iooa9;Print Spooler Service;C:\WINDOWS\system32\uclp.exe []
S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2007-02-12 23:01]
S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;C:\WINDOWS\system32\DRIVERS\usb8023.sys [2004-08-03 22:04]
S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\WlanUIG.sys []
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2006-05-04 11:09]
S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{be2ed371-ffc9-11da-93dd-806d6172696f}]
\shell\play\command - C:\Program Files\VideoLAN\VLC\vlc.exe --started-from-file dvd:%1

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-02-06 20:09:17 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-13 21:53:40
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-13 22:04:31 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-13 21:04:22
.
2008-01-25 23:37:47 --- E O F ---
0
Réponse 58 / 58
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
12 févr. 2008 à 23:56
bon, il est encore là !
On va faire un scan en ligne Kaspersky sous Internet Explorer !!!

voir ici comment
Désactive ton antivirus, le temps du scan !

Clique sur Démarrer Online-Scanner
Clique maintenant sur J'accepte.
Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
Patiente pendant l'installation des Mises à jour.
Choisis par la suite l'analyse du Poste de travail.
Sauvegarde puis colle le rapport généré en fin d'analyse et poste le ici stp !!.

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée"
va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner
reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
0

Discussions similaires

qu'est-ce que diff message ?
zebulonmarie -
mumu -

18 réponses
^^ : Quelle signification dans un message SMS ?
takataka26 -
Sarah -

12 réponses
mail forwardé, c'est quoi
kiki -
0beron -

9 réponses
Facebook « Cette personne ne peut actuellement pas recevoir de message »
Cynamon -
Titia -

5 réponses
Ça veut dire quoi le signe ^^ en langage SMS/texto ?
Misty-in -
Mixou -

9 réponses