[TRJ] WinXP Pro redémarre à la connexion

Question

Bonjours,  la semaine passer j’ai downloadé de quelque chose de suspect et j’ai oublier de faire un scan avant de l’ouvrir (Honte à moi).

J’ai :

Windows XP Pro SP2 
P4 1.7
U.S Robotics v.92 PCI Faxmodem
Avast 
 
Bon Avast a détecté des trojans voici le log de mes alertes :


2006-12-19	20:38:14	1166578694	SYSTEM	732	Sign of "Win32:Agent-CJJ [Trj]" has been found in "G:\DOCUME~1\LEBANN~1\LOCALS~1\Temp\Rar$EX01.687\crack.exe" file.  
2006-12-19	20:39:20	1166578760	Le Banneton	1348	Sign of "Win32:Agent-CJJ [Trj]" has been found in "G:\Documents and Settings\Le Banneton\Bureau\Radmin 2.2 .rar\crack.exe" file.  
2006-12-19	20:40:05	1166578805	SYSTEM	732	Sign of "Win32:Trojan-gen. {Other}" has been found in "G:\Documents and Settings\Le Banneton\Local Settings\Temporary Internet Files\Content.IE5\OI2CLUSG\fkfdcxj[1].htm" file.  
2006-12-19	20:40:24	1166578824	SYSTEM	732	Sign of "Win32:Trojan-gen. {Other}" has been found in "C:\tuefv.exe" file.  
2006-12-19	20:40:41	1166578841	SYSTEM	732	Sign of "Win32:Trojan-gen. {Other}" has been found in "G:\Documents and Settings\Le Banneton\Local Settings\Temporary Internet Files\Content.IE5\90FJT5I3\uzupnm[1].htm" file.  
2006-12-19	20:40:53	1166578853	SYSTEM	732	Sign of "Win32:Trojan-gen. {Other}" has been found in "C:\duunk.exe" file.  
2006-12-19	20:41:16	1166578876	SYSTEM	732	Sign of "Win32:Trojan-gen. {Other}" has been found in "G:\Documents and Settings\Le Banneton\Local Settings\Temporary Internet Files\Content.IE5\IT1JLXRD\xbxihg[1].htm" file.  
2006-12-19	20:41:25	1166578885	SYSTEM	732	Sign of "Win32:Trojan-gen. {Other}" has been found in "C:\pxxxb.exe" file.  
2006-12-19	20:42:29	1166578949	SYSTEM	732	Sign of "Win32:Trojan-gen. {Other}" has been found in "G:\Documents and Settings\Le Banneton\Local Settings\Temporary Internet Files\Content.IE5\IT1JLXRD\nsctdaktzy[1].htm" file.  
2006-12-19	20:42:33	1166578953	SYSTEM	732	Sign of "Win32:Trojan-gen. {Other}" has been found in "C:\nlfqj.exe" file.  
2006-12-19	20:42:51	1166578971	SYSTEM	732	Sign of "Win32:Agent-BSU [Trj]" has been found in "G:\Documents and Settings\Le Banneton\Local Settings\Temporary Internet Files\Content.IE5\IT1JLXRD\file[1].htm\[FSG]" file.  
2006-12-19	20:44:57	1166579097	SYSTEM	732	Sign of "Win32:Trojan-gen. {Other}" has been found in "C:\nlfqj.exe" file.  
2006-12-19	20:45:02	1166579102	SYSTEM	732	Sign of "Win32:Agent-BSU [Trj]" has been found in "G:\DOCUME~1\LEBANN~1\LOCALS~1\Temp\473343424.exe\[FSG]" file.  
2006-12-19	21:21:52	1166581312	SYSTEM	688	Sign of "Win32:Agent-BSU [Trj]" has been found in "http://firstwolf.org/rd/file.php?id=1C723D81AC77B9C&ver=jg1\[FSG]" file.  
2006-12-19	21:22:06	1166581326	SYSTEM	688	Sign of "Win32:Agent-BSU [Trj]" has been found in "G:\DOCUME~1\LEBANN~1\LOCALS~1\Temp\1990656944.exe\[FSG]" file.  
2006-12-19	21:22:58	1166581378	SYSTEM	688	Sign of "Win32:Agent-BSU [Trj]" has been found in "G:\Documents and Settings\Le Banneton\Local Settings\Temporary Internet Files\Content.IE5\90FJT5I3\file[1].htm\[FSG]" file.  
2006-12-20	16:18:12	1166649492	SYSTEM	708	Sign of "Win32:Agent-BSU [Trj]" has been found in "http://firstwolf.org/rd/file.php?id=1C723D81AC77B9C&ver=jg1\[FSG]" file.  
2006-12-20	16:18:30	1166649510	SYSTEM	708	Sign of "Win32:Agent-BSU [Trj]" has been found in "G:\DOCUME~1\LEBANN~1\LOCALS~1\Temp\1172419380.exe\[FSG]" file.  
2006-12-20	16:18:56	1166649536	SYSTEM	708	Sign of "Win32:Agent-BSU [Trj]" has been found in "G:\Documents and Settings\Le Banneton\Local Settings\Temporary Internet Files\Content.IE5\90FJT5I3\file[1].htm\[FSG]" file.




Une fois les fenêtres d’alertes fermées je continue en pensant que Avast les avait supprimés.

J’ai fermé mon PC pour la nuit et et le lendemain je me connecte  (la connexionet se fait) l’ordinateur redémarre comme par magie (après quelques secondes) .

J’ai fait un coût hijackthis en mode normal et sans échec. 

Voici les log

Normal :

Logfile of HijackThis v1.99.1
Scan saved at 21:37:27, on 2006-12-24
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\spoolsv.exe
G:\Program Files\Microsoft IntelliPoint\ipoint.exe
G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
G:\Program Files\Fichiers communs\Mediafour\MACVNTFY.EXE
G:\Program Files\Mediafour\XPlay\XPTRYICN.EXE
G:\Program Files\Mediafour\MacDrive\MDDiskProtect.exe
G:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
G:\WINDOWS\system32\RUNDLL32.EXE
G:\WINDOWS\system32\ctfmon.exe
G:\Program Files\RocketDock\RocketDock.exe
G:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
G:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
G:\Program Files\Alwil Software\Avast4\ashServ.exe
G:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
G:\WINDOWS\system32\nvsvc32.exe
G:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
G:\Program Files\Alwil Software\Avast4\ashWebSv.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\svchost.exe
F:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: G:\WINDOWS\system32\zkPeCrypt.dll - {8A5849C4-93F3-429D-FF34-660A2068897C} - G:\WINDOWS\system32\zkPeCrypt.dll
O4 - HKLM\..\Run: [IntelliPoint] "G:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [avast!] G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Mediafour Mac Volume Notifications] "G:\Program Files\Fichiers communs\Mediafour\MACVNTFY.EXE" /auto
O4 - HKLM\..\Run: [Mediafour XPlay Tray Notification Icon] G:\Program Files\Mediafour\XPlay\XPTRYICN.EXE
O4 - HKLM\..\Run: [MDDiskProtect.exe] G:\Program Files\Mediafour\MacDrive\MDDiskProtect.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISUSPM Startup] G:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "G:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "G:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Recoveru systems] G:\DOCUME~1\LEBANN~1\LOCALS~1\Temp\svchost.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = G:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @G:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @G:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - G:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote K - IE 6.htm (HKCU)
O9 - Extra button: Dictionnaire - {FB4AE6A3-EE20-442c-9189-251885352358} - G:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote D - IE 6.htm (HKCU)
O9 - Extra button: Synonymes - {FDD637F8-2693-49ce-817E-1AD59574900C} - G:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote S - IE 6.htm (HKCU)
O9 - Extra button: Conjugueur - {FF229BEC-9E1F-48c1-99A6-AF34ABEFAB0A} - G:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote C - IE 6.htm (HKCU)
O9 - Extra button: Grammaire - {FFB5EE7F-726F-423e-83C2-572FE7CEB3F0} - G:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote G - IE 6.htm (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - G:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - G:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - G:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - G:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - G:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - G:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - G:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe




Sans Échec :

Logfile of HijackThis v1.99.1
Scan saved at 21:42:24, on 2006-12-24
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\Explorer.EXE
F:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: G:\WINDOWS\system32\zkPeCrypt.dll - {8A5849C4-93F3-429D-FF34-660A2068897C} - G:\WINDOWS\system32\zkPeCrypt.dll
O4 - HKLM\..\Run: [IntelliPoint] "G:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [avast!] G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Mediafour Mac Volume Notifications] "G:\Program Files\Fichiers communs\Mediafour\MACVNTFY.EXE" /auto
O4 - HKLM\..\Run: [Mediafour XPlay Tray Notification Icon] G:\Program Files\Mediafour\XPlay\XPTRYICN.EXE
O4 - HKLM\..\Run: [MDDiskProtect.exe] G:\Program Files\Mediafour\MacDrive\MDDiskProtect.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISUSPM Startup] G:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "G:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "G:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Recoveru systems] G:\DOCUME~1\LEBANN~1\LOCALS~1\Temp\svchost.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = G:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @G:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @G:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - G:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote K - IE 6.htm (HKCU)
O9 - Extra button: Dictionnaire - {FB4AE6A3-EE20-442c-9189-251885352358} - G:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote D - IE 6.htm (HKCU)
O9 - Extra button: Synonymes - {FDD637F8-2693-49ce-817E-1AD59574900C} - G:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote S - IE 6.htm (HKCU)
O9 - Extra button: Conjugueur - {FF229BEC-9E1F-48c1-99A6-AF34ABEFAB0A} - G:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote C - IE 6.htm (HKCU)
O9 - Extra button: Grammaire - {FFB5EE7F-726F-423e-83C2-572FE7CEB3F0} - G:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote G - IE 6.htm (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - G:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - G:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - G:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - G:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - G:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - G:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - G:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe



Mais avant le scan de Hijackthis j’ai fait une analyse avec Avast, a2, Ad-adware, Spybot je détruis le tout. Ils n’y sont plus, mais j’ai encore le problème avec ma connexion.

J’ai essayé aussi avec un autre modem mais cette fois si j’ai un écran bleu.


Pouvez-vous m’aider ?!

Et le formatage n’est pas une solution envisageable pour moi.


Et Joyeuses fêtes à tous et à toutes.

Thio · Answer

puni par les crack

Arphus · Answer

ouai j'aime mes frères pour ça :( GRRRR

Un jolie cadeau de noel.

Arphus · Answer

J'aime pas le fichier " zkPeCrypt.dll " est-ce bon et pas bon ???

Je pense que c'est pas bon selon google

Arphus · Answer

J'ai supprimé l'entrer de zkPeCrypt.dll avec HijackThis mais le fichier reste toujours là dans le répertoire.

J'ai supprimé ça:

O2 - BHO: G:\WINDOWS\system32\zkPeCrypt.dll - {8A5849C4-93F3-429D-FF34-660A2068897C} - G:\WINDOWS\system32\zkPeCrypt.dll

Utilisateur anonyme · Answer

Salut

hijackthis ne supprime rien, il te faut le supprimer manuellement. Si le fichier persiste redémarre en mode sans echec pour pouvoir le supprimer.


Fait ce nettoyage: (à faire réguliérement)

¤Telecharge et installe CCleaner (n'installe pas la barre d'outil Yahoo)
---> Ccleaner

dans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis cliques en bas sur "chercher des erreurs" une fois finit, cliques sur "reparer les erreurs" et tu aura un message pour sauvegarder ta base de registre tu dis "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.
Les sauvegardes que tu aura faites tu pourra les supprimer si ton ordinateur n'a plus de problémes

¤Relance Ccleaner, vas dans l'onglet "nettoyeur" present sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage"
 
Si tu as besoin d'aide pour Ccleaner, regarde ce tutoriel:
http://www.tutopat.com/viewtopic.php?t=305



Fait ce nettoyage: (à faire réguliérement)

¤Telecharge et installe CCleaner (n'installe pas la barre d'outil Yahoo)
---> Ccleaner

dans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis cliques en bas sur "chercher des erreurs" une fois finit, cliques sur "reparer les erreurs" et tu aura un message pour sauvegarder ta base de registre tu dis "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.
Les sauvegardes que tu aura faites tu pourra les supprimer si ton ordinateur n'a plus de problémes

¤Relance Ccleaner, vas dans l'onglet "nettoyeur" present sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage"
 
Si tu as besoin d'aide pour Ccleaner, regarde ce tutoriel:
http://www.tutopat.com/viewtopic.php?t=305


Désactive le pare-feu de Windows(SP2) il ne sert à rien puis installe celui ci pour plus de sécurité 

Kerio: (pare-feu, qui reste gratuit après la periode d'essai!)
--->Kerio
-tutoriel: pour configurer et comprendre l'utilisation de Kerio
https://kerio.probb.fr/

Arphus · Answer

Bon dsl pour le long l'abs de temps je suis au Québec. 

J'ai fait les scans avec CCleaner en Mode sans échec.

J'ai maintenant aucune d'erreur.

J'ai réussi à supprimer zkPeCrypt.dll.

MAIS

Mon PC redémarre quand juste après que je me suis connecté.

J'attend ton aide boulepat62

Arphus · Answer

UP

Ya personne qui peut m'aider ?

salwa5 · Answer

Bonsoir pour devancé boulpate as tu un message d'erreur avant le redemarrage si oui fait nous un copié collé

a+++++++

Arphus · Answer

non aucun message d'erreur... Windows fonctionne bien mais après la connection le pc reboot

salwa5 · Answer

Bonsoir :) je te propose d'installer un parefeu normalement ca va empeché l'ordi de rebooté et en plus ca va nous donnée plus d'info sur le virus responsable des reboot imtempsif

Kerio (parefeu)

https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html


tuto

http://www.malekal.com/kerio_firewall.php

a++++

salwa5 · Answer

ree j'aimerais aussi que tu fasse une recherche pour voir si ce fichier lzx32.sys est present dans ton ordi


 tout d'abord affiche les fichier cacher comme ceci : 
clicker sur demarrer/panneau de configuration/option des dossiers/affichage 
Cocher afficher les dossiers cacher 
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 
Puis fais «Ok» pour valider les changements. 
Decocher masquer les extentions dont le type est connues 

ensuite va dans demarrer/rechercher et tape:   lzx32.sys 

n'oublie pas de remasqué les fichier caché ensuivant  le meme chemin

a+++

Arphus · Answer

Ok je vais vais faire cela demain merci et bone temps des fêtes.

Je vous tiens au courant si ça fonctionne

Arphus · Answer

1) je n'ai pas le fichier lzx32.sys alors je n'ai pas trouvé

2) J'ai installer Kerio et l'ordinateur redémarre plus après la connexion(mais en principe l'ordinateur doit fonctionne sans firewall pour aller sur internet)

salwa5 · Answer

tu doit surement etre infecté par un virus 

telecharge SmitfraudFix

http://siri.urz.free.fr/Fix/SmitfraudFix.zip   
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport 

Clik send et colle le rapport ici 

a++

tanaud · Answer

Nouveau rapport hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 23:59:56, on 12/01/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\VIA\RAIDaid_tool.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\CAPRPCSK.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office\Winword.exe
C:\Program Files\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAIDaid_tool.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

ah oui et j'ai défragmenté mon disque dur car il le demandait

salwa5 · Answer

bonsoir tanaud , tu t'es trompé de post :p

a+++

Arphus · Answer

SmitFraudFix v2.132

Rapport fait à 21:54:28,10, 2007-01-12
Executé à partir de G:\Documents and Settings\Le Banneton\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» G:\


»»»»»»»»»»»»»»»»»»»»»»»» G:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» G:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» G:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» G:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» G:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» G:\Documents and Settings\Le Banneton


»»»»»»»»»»»»»»»»»»»»»»»» G:\Documents and Settings\Le Banneton\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» G:\DOCUME~1\LEBANN~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» G:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8A5849C4-93F3-429D-FF34-660A2068897C}"="OpenGL additional"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

pe386 détecté, utilisez un scanner de Rootkit

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

salwa5 · Answer

bonjour smitfraud a detecté une infction rootkit

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32 

pe386 détecté, utilisez un scanner de Rootkit 


imprimes les instruction suivante  pour ne rien oublié 

Télécharge http://mickael.barroux.free.fr/virus/IceSword1.18en.rar 

- Double-clic sur IceSword1.18en.rar et extrait tous les fichiers sur ton bureau. 
- Déconnecte toi d'internet et ferme tous les programmes. 
- Ouvre le dossier IceSword1.18en sur ton bureau et double-clic sur IceSword.exe. 
- Clic sur le bureau "Registry button" dans le panel de gauche. 
- Navigue dans l'arboresce à la clef HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services. 
Ensuite localise la clef toujours à gauche : pe386 comme dans la capture ci-dessous 

http://www.castlecops.com/zx/swatkat/IceSwordRegKey2.gif 

Fais un clic droit sur cette clef pe386 et clic sur delete dans le menu déroulant. 

NOTE : si Pe386 n'est pas présent, regarde si tu n'as pas un msguard à la place de pe386 

Ferme IceSword et redémarre l'ordinateur. 

Une fois l'ordinateur redémarre : 

Ouvre HijackThis, puis "Open the Misc Tools Section" 
Clic sur Open ADS Spy 
Décoche "Quick Scan" 
Décoche "Ignore safe system info data streams" 
Lance le scan à partir du bouton scan 

Dans la liste, trouve chaque occurence de : 

C:\WINDOWS\system32 : lzx32.sys (69616 bytes) 
C:\WINDOWS\system32 : lzx32.sys (69616 bytes) 

coche les 

clic sur Remove selected. 

Puis : 
Ouvre HijakThis, puis "Open the Misc Tools Section" 
Clic sur Open ADS Spy 
Décoche "Quick Scan" 
Décoche "Ignore safe system info data streams" 
Lance le scan à partir du bouton scan et colle le rapport ici. 

a++

Arphus · Answer

G:\Documents and Settings\Le Banneton\Bureau\Programme et cie\AVKIS2006 FR\system\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Bureau\Programme et cie\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Bureau\[Projet] Portail GARAF\(GARAF) Documents\castor 11 mai 2006 rpb\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Bureau\[Projet] Portail GARAF\(GARAF) Documents\communication\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Bureau\[Projet] Portail GARAF\(GARAF) Documents\Photos\30 Janvier 2006\Jons\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Bureau\[Projet] Portail GARAF\(GARAF) Documents\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Bureau\[Projet] Portail GARAF\(GARAF) Documents\équipe de reptile et amphibien\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Bureau\[Projet] Portail GARAF\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Mes documents\Mes images\certification Q'C\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Mes documents\Mes images\gif\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Mes documents\Mes images\img GARAF\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Mes documents\Mes images\page chimie\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Mes documents\Mes images\page math resum\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Mes documents\Mes images\Photo Manon 1957\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Mes documents\Mes images\planGN\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Mes documents\Mes images\recette brownies avec chocolat ROLO\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Mes documents\Mes images\recette gateau prunes\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Mes documents\Mes images\soupe\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Mes documents\Mes images\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Mes documents\Mes vidéos\cryp\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Mes documents\Thumbs.db : encryptable  (0 bytes)
G:\Documents and Settings\Le Banneton\Mes documents\top\Thumbs.db : encryptable  (0 bytes)
G:\Program Files\Spybot - Search & Destroy\advcheck.dll : SummaryInformation  (88 bytes)
G:\Program Files\Spybot - Search & Destroy\advcheck.dll : {4c8cc155-6c1e-11d1-8e41-00c04fb9386d}  (0 bytes)

salwa5 · Answer

bonsoir post un nouveau raport smitfraudfix option 1

a+++

Arphus · Answer

SmitFraudFix v2.132

Rapport fait à 19:02:52,50, 2007-01-13
Executé à partir de G:\Documents and Settings\Le Banneton\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» G:\


»»»»»»»»»»»»»»»»»»»»»»»» G:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» G:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» G:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» G:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» G:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» G:\Documents and Settings\Le Banneton


»»»»»»»»»»»»»»»»»»»»»»»» G:\Documents and Settings\Le Banneton\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» G:\DOCUME~1\LEBANN~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» G:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8A5849C4-93F3-429D-FF34-660A2068897C}"="OpenGL additional"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

salwa5 · Answer

c'est bon le raport est propre 

esque ton probleme est resolu?

a++

Arphus · Answer

je vais vérifier merci

[TRJ] WinXP Pro redémarre à la connexion

23 réponses

Votre réponse

Discussions similaires

Newsletters