system32:svchost.exe(new line)Résolu/Fermé

Question

Bonjour à tous,

Je tente depuis plusieurs jours de me débarasser d'un cheval de troie mais là je sèche, si quelqu'un pouvait m'aider merci d'avance.

Depuis quelques jours, Kerio m'affiche le message suivant à l'ouverture d'internet :

Détails techniques sur l'intrusion :

Application injectrice : C:\WINDOWS\system32:svchost.exe(new line)
Description : Microsoft Internet Countermeasures Framework (Microsoft®)(new line)
Version du fichier : 5.1.2600.0 (xpclient.010817-1148)(new line)
Produit : Microsoft® Windows®(new line)
Version du produit : 5.1.2600.0(new line)
Créé le : 2006/10/3, 14:29:06(new line)
Modifié le : 2006/12/26, 10:49:13(new line)
Dernier accès le : 2006/12/26, 11:02:02

Application cible : C:\WINDOWS\system32\svchost.exe(new line)
Description : Generic Host Process for Win32 Services(new line)
Version du fichier : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)(new line)
Produit : Microsoft® Windows® Operating System(new line)
Version du produit : 5.1.2600.2180(new line)
Créé le : 2001/9/28, 12:00:00(new line)
Modifié le : 2004/8/19, 14:10:04(new line)
Dernier accès le : 2006/12/26, 11:02:02

Adresse de l'injection : 0x004028A5

Ma config est la suivante :
Windows XP pro,
Kerio,
Avg pro,
Ad-aware,
Ccleaner,
Spy boot.

Voici le rapport HijackThis,

Logfile of HijackThis v1.99.1
Scan saved at 11:59:25, on 26/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CoSine Communications\IPSec Dial Client\IPSecMon.exe
C:\Program Files\CoSine Communications\IPSec Dial Client\IreIKE.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Equant\Dialer\EACSvrMngr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\CoSine Communications\IPSec Dial Client\SafeCfg.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\Christophe\Bureau\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: (no name) - {755bbd1a-aa59-456c-afeb-b4c42c4dcb6f} - C:\WINDOWS\system32\ixt0.dll (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [adwarealert] C:\Program Files\AdwareAlert\AdwareAlert.exe -boot
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [7v3j] C:\WINDOWS\system32\z1642.exe gdtgh
O4 - HKLM\..\Run: [dmrjn.exe] C:\WINDOWS\system32\dmrjn.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: ddnupdate.lnk = ?
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: SoftRemote.lnk = C:\Program Files\CoSine Communications\IPSec Dial Client\SafeCfg.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6ACA663E-B90C-4D13-8632-BFF924BC9803}: NameServer = 85.255.115.30,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{D66A28D3-01E5-4A48-87A4-1CB25D433A65}: NameServer = 85.255.115.30,85.255.112.150
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: (Equant Access Companion) Services Manager (EACSvrMngr) - Equant - C:\Program Files\Equant\Dialer\EACSvrMngr.exe
O23 - Service: (Equant Access Companion) Devices and Services Monitoring (EACSys) - Equant - C:\Program Files\Equant\Dialer\EACSys.exe
O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Program Files\CoSine Communications\IPSec Dial Client\IPSecMon.exe
O23 - Service: SafeNet IKE Service (IREIKE) - SafeNet - C:\Program Files\CoSine Communications\IPSec Dial Client\IreIKE.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

Merci d'avance de bien vouloir m'aider,
Salutations
Christophe.

salwa5 · Answer

bONJOUR 

ouvre hijack / coches ces lignes puis clic sur fix checked

O2 - BHO: (no name) - {755bbd1a-aa59-456c-afeb-b4c42c4dcb6f} - C:\WINDOWS\system32\ixt0.dll (file missing) 

O4 - HKLM\..\Run: [7v3j] C:\WINDOWS\system32\z1642.exe gdtgh
O4 - HKLM\..\Run: [dmrjn.exe] C:\WINDOWS\system32\dmrjn.exe

cherches et supprimes les fichier en gras si present :


C:\WINDOWS\system32\z1642.exe gdtgh
C:\WINDOWS\system32\dmrjn.exe


j'ai un doute au sujet de cette ligne 
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150 

esque l'adress Ip correspond a ton fai ???




85.255.112.0 - 85.255.127.255
Inhoster hosting company
OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
 

 Andrei Kislizin
OOO Inhoster,
ul.Antonova 5, Kiev,
03186, Ukraine
+38 044 2404332
 

 Fast Web Hosting Support
01110, Ukraine, Kiev, 20Á, Solomenskaya street. room 201.
UA
+35 79 91 17 759
support@fwebhost.net
 



a+++

Christ79200 · Answer

Merci pour ta réponse rapide.
J'ai fixé et supprimé les lignes que tu m'as indiquées (en mode sans échec).
La recherche des fichiers "z1642" et "dmrjn" ne donne rien.
J'ai lancé aussi Smitfraudfix car j'ai eu des soucis avec celui là il y a quelques temps et raz.
J'ai rebouté et lancé dans l'ordre AVG qui ne détecte rien puis Spyboot qui détecte un cheval de troie qui se nomme "Pipas".
Il arrive à le supprimer mais lorsque je reboot il se réactive.

Voici le nouveau rapport Hijackthis. En ce qui concerne les adresses Ip, il s'agit bien de mon fai, j'ai vérifié dans les paramètres de connexion.

Logfile of HijackThis v1.99.1
Scan saved at 13:46:01, on 26/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CoSine Communications\IPSec Dial Client\IPSecMon.exe
C:\Program Files\CoSine Communications\IPSec Dial Client\IreIKE.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Equant\Dialer\EACSvrMngr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\CoSine Communications\IPSec Dial Client\SafeCfg.exe
C:\Program Files\Donjon de Naheulbeulk\Mise à jour\dist\majdemarrage.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\Christophe\Bureau\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [adwarealert] C:\Program Files\AdwareAlert\AdwareAlert.exe -boot
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [dmhar.exe] C:\WINDOWS\system32\dmhar.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: ddnupdate.lnk = ?
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: SoftRemote.lnk = C:\Program Files\CoSine Communications\IPSec Dial Client\SafeCfg.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6ACA663E-B90C-4D13-8632-BFF924BC9803}: NameServer = 85.255.115.30,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{D66A28D3-01E5-4A48-87A4-1CB25D433A65}: NameServer = 85.255.115.30,85.255.112.150
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: (Equant Access Companion) Services Manager (EACSvrMngr) - Equant - C:\Program Files\Equant\Dialer\EACSvrMngr.exe
O23 - Service: (Equant Access Companion) Devices and Services Monitoring (EACSys) - Equant - C:\Program Files\Equant\Dialer\EACSys.exe
O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Program Files\CoSine Communications\IPSec Dial Client\IPSecMon.exe
O23 - Service: SafeNet IKE Service (IREIKE) - SafeNet - C:\Program Files\CoSine Communications\IPSec Dial Client\IreIKE.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

Merci d'avance pour ton aide

salwa5 · Answer

Bonjour :) on viens tout just de me donner l'info il ne s'agis pas de ton fai mais d'une infection Wareout


* Télécharge FixWareout d'un de ces deux sites sur le bureau: 
http://downloads.subratam.org/Fixwareout.exe 
http://swandog46.geekstogo.com/Fixwareout.exe 

* Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. 
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal. 

*Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis! dans ta prochaine réponse. 


a+++

Christ79200 · Answer

Bonjour,

J'ai suivi tes instructions et voici les deux rapports :
 
Fixwareout 
Last edited 12/06/2006
Post this report in the forums please 
...
Prerun check
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="cswge.exe"

...
...
Reg Entries that were deleted 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins\bopmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xevol
...

Random Runs removed from HKLM 
"dmpob.exe"=-
...
...
 

Logfile of HijackThis v1.99.1
Scan saved at 17:05:14, on 26/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CoSine Communications\IPSec Dial Client\IPSecMon.exe
C:\Program Files\CoSine Communications\IPSec Dial Client\IreIKE.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Equant\Dialer\EACSvrMngr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\CoSine Communications\IPSec Dial Client\SafeCfg.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Donjon de Naheulbeulk\Mise à jour\dist\majdemarrage.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Documents and Settings\Christophe\Bureau\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [adwarealert] C:\Program Files\AdwareAlert\AdwareAlert.exe -boot
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: ddnupdate.lnk = ?
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: SoftRemote.lnk = C:\Program Files\CoSine Communications\IPSec Dial Client\SafeCfg.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6ACA663E-B90C-4D13-8632-BFF924BC9803}: NameServer = 85.255.115.30,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{D66A28D3-01E5-4A48-87A4-1CB25D433A65}: NameServer = 85.255.115.30,85.255.112.150
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: (Equant Access Companion) Services Manager (EACSvrMngr) - Equant - C:\Program Files\Equant\Dialer\EACSvrMngr.exe
O23 - Service: (Equant Access Companion) Devices and Services Monitoring (EACSys) - Equant - C:\Program Files\Equant\Dialer\EACSys.exe
O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Program Files\CoSine Communications\IPSec Dial Client\IPSecMon.exe
O23 - Service: SafeNet IKE Service (IREIKE) - SafeNet - C:\Program Files\CoSine Communications\IPSec Dial Client\IreIKE.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

Merci d'avance,
Christophe.

salwa5 · Answer

maintenant ouvre hijack coches ces lignes puis clic sur fix checked

O17 - HKLM\System\CCS\Services\Tcpip\..\{6ACA663E-B90C-4D13-8632-BFF924BC9803}: NameServer = 85.255.115.30,85.255.112.150 
O17 - HKLM\System\CCS\Services\Tcpip\..\{D66A28D3-01E5-4A48-87A4-1CB25D433A65}: NameServer = 85.255.115.30,85.255.112.150 
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150 


a++++++++

salwa5 · Answer

bonsoir telecharge 

AVG anti spyware 
 https://www.01net.com/telecharger/

(n'oublie pas de le mettre a jour avant de lancer le scan)


Relance AVG AS puis choisis l'onglet "Analyse" 
Puis l'onglet "Paramètres" 
Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine" 
Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système" 
 
/!\ Si un fichier est infecté en fin d'analyse /!\  
Clique sur "Appliquer toutes les actions "  
 
Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous" 
Enregistre ce fichier texte sur ton bureau ensuite colle le raport ici 




SmitfraudFix

http://siri.urz.free.fr/Fix/SmitfraudFix.zip   
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport 

Clik send et colle le rapport stp Copie/colle le sur le poste stp. 

a+++

Christ79200 · Answer

Voici les deux rapports

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	21:40:34 26/12/2006

 + Résultat de l'analyse:	



C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041332.exe -> Downloader.Agent.uj : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041344.exe -> Downloader.Delf.aeu : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041333.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041334.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041335.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041336.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041337.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041338.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041339.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041340.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041341.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041342.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041343.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041345.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041346.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041347.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041348.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041349.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041350.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041351.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041352.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041353.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041354.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041355.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041356.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041357.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041358.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.


Fin du rapport

Le second :
SmitFraudFix v2.125

Rapport fait à 21:41:50,71, 26/12/2006
Executé à partir de C:\Documents and Settings\Christophe\Bureau\SmitFraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Christophe


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Christophe\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\CHRIST~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Merci pour ton analyse

salwa5 · Answer

bonsoir fait un scan en ligne ici

scan kaspersky https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

 Clic sur l'image Kaspersky Online Scanner
      Clic sur J'accepte
      Installes le ActiveX
      Tu attends que la mise à jour se termine, une fois terminé, 
clic sur Suivant
      Clic sur Paramètres d'analyse
      Coche la case Étendue >> Ok
      Clic sur Poste de travail pour faire un scan complet
      Une fois le scan fini à 100%, clic sur Enregistrer rapport 
sous...
       Enregistrer le rapport au format .txt (en nom tu mets rapport ou 
ce que tu veux et en type tu choisis fichier texte (*.txt)
       Tu ouvres le fichier que tu viens de sauvegarder, copie et colle 
le rapport ici si tu es infecté

a+++

Christ79200 · Answer

Je vois ça se soir. Je suis au boulot pour le moment (fo bien !). Merci à toi.

Christ79200 · Answer

Merci à salwa5.
Je n'ai plus de problème.
Après avoir suivi tes recommandations, j'ai relancé mon pc puis j'ai de nouveau fait un scan avec :
avg antispyware, avg pro, spyboot, ccleaner. J'ai lancé à nouveau Smitfraudfix et depuis je n'ai plus de problème.
Je ne comprend pas trop parce que les différents softs n'ont rien détecté.
les lignes fixées en utilisant au préalable Fixwareout sont surement à l'origine de mes soucis. Mais c'est seulement après avoir installé et utilisé avg anti spyware que la fameuse fenêtre a disparu.
Merci beaucoup pour l'aide.
Joyeuses fêtes à tous,
Christophe.

salwa5 · Answer

de rien :) 

pour finir quelque conseilles de base

- passe reglierement les antispyware (adaware , spybot , avg .. ect) pense a les mettre ajour avant de les lancé c'est tres important

-supprime regulierement les fichiers inutiles (fichiers temporaire , cookies .. ect a l'aide de CCleaner https://www.malekal.com/tutoriel-ccleaner/

-maintenant que ton ordinateur est propre je te conseille de creer un point de restauration comme ca en cas de probleme (virus , plantage ..ect) tu poura tjr revenir en arriere 
http://www.aidoforum.com/tutoriaux-371-creer-un-point-de-restauration-sous-windows.html


a++

jeannem · Answer

Bonjour, 
j'ai lu les infos concernant system 32 et svchost : j'ai moi-même ces "mots" lorsque je vais voir mon gestionnaire de tâches. Si j'ai bien compris, l'un des deux serait un virus ? Lequel ? merci d'avance : comme vous le voyez je suis très nulle ...

salwa5 · Answer

bonjour SVCHOST.EXE n'est pas un virus . c'est un fichier system necessaire au bon fonctionnement de l'ordi donc ne le supprime pas !!

a++++

fiere · Answer

slt javais les memes problemes et g suivi tes conseils le rapport me donne sa:
Statistiques de l'analyse:
	Total d'objets analysés: 41888
	Nombre de virus trouvés: 3
	Nombre d'objets infectés: 14 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 00:24:10

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\Administrateur\Local Settings\Temp\eraseme_35484.exe	Infecté : Backdoor.Win32.SdBot.cnn	ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\RABC4WO7\cowboy[1].jpg	Infecté : Trojan.Win32.Dialer.us	ignoré
C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr0.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr1.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\aya diatta\Application Data\Microsoft\Modèles\Normal.dot	L'objet est verrouillé	ignoré
C:\Documents and Settings\aya diatta\Bureau
ew line.doc	L'objet est verrouillé	ignoré
C:\Documents and Settings\aya diatta\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\aya diatta\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\aya diatta\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\aya diatta\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\aya diatta\Local Settings\Historique\History.IE5\MSHist012008010120080102\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\aya diatta\Local Settings\Temp\hpodvd09.log	L'objet est verrouillé	ignoré
C:\Documents and Settings\aya diatta\Local Settings\Temp\~DFBBA7.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\aya diatta\Local Settings\Temp\~DFBE61.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\aya diatta\Local Settings\Temporary Internet Files\Content.IE5\9CW79LOT\cowboy[1].jpg	Infecté : Trojan.Win32.Dialer.us	ignoré
C:\Documents and Settings\aya diatta\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\aya diatta\Local Settings\Temporary Internet Files\Content.IE5\JJYL1VGC\wr-1-1148[1].jpg	Infecté : Trojan-Downloader.Win32.Small.hcu	ignoré
C:\Documents and Settings\aya diatta\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\aya diatta
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Program Files\Fichiers communs\Carlson\carlton	Infecté : Trojan.Win32.Dialer.us	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{18DBF873-BEA3-49A0-8179-722766762D65}\RP11\A0000509.exe	Infecté : Trojan.Win32.Dialer.us	ignoré
C:\System Volume Information\_restore{18DBF873-BEA3-49A0-8179-722766762D65}\RP13\A0000795.exe	Infecté : Trojan-Downloader.Win32.Small.hcu	ignoré
C:\System Volume Information\_restore{18DBF873-BEA3-49A0-8179-722766762D65}\RP15\A0000884.exe	Infecté : Trojan.Win32.Dialer.us	ignoré
C:\System Volume Information\_restore{18DBF873-BEA3-49A0-8179-722766762D65}\RP16\change.log	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{18DBF873-BEA3-49A0-8179-722766762D65}\RP2\A0000107.exe	Infecté : Trojan-Downloader.Win32.Small.hcu	ignoré
C:\WINDOWS\Britney_Spears_jpg.zip/www.Britney_Spears_jpg_Msn.com	Infecté : Backdoor.Win32.SdBot.cnn	ignoré
C:\WINDOWS\Britney_Spears_jpg.zip	ZIP: infecté - 1	ignoré
C:\WINDOWS\Debug\PASSWD.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\SchedLgU.Txt	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Sti_Trace.log	L'objet est verrouillé	ignoré
C:\WINDOWS\svchost.exe	Infecté : Backdoor.Win32.SdBot.cnn	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\h323log.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\wiadebug.log	L'objet est verrouillé	ignoré
C:\WINDOWS\wiaservc.log	L'objet est verrouillé	ignoré
C:\WINDOWS\WindowsUpdate.log	L'objet est verrouillé	ignoré
D:\Document de FIZZY\FIZZY\TOF BIJOUX\Britney_Spears_jpg.zip/www.Britney_Spears_jpg_Msn.com	Infecté : Backdoor.Win32.SdBot.cnn	ignoré
D:\Document de FIZZY\FIZZY\TOF BIJOUX\Britney_Spears_jpg.zip	ZIP: infecté - 1	ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré

Analyse terminée.

salwa5 · Answer

poste le raport de avg antispyware+ smitfraudfix 

ensuite telecharge hijackthis et colle le resultat ici : 

http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download
demo : 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

a+++

Supermoi · Answer

\??\C:\WINDOWS\system32\winlogon.exe(new line)      J' ai cette alerte de Sunbelt Personnal Firewall toute les cinqs secondes à peu près. Et j'arrive toujours pas à me débarrasser de NTOS.EXE qui me fait chier à un point...

System32:svchost.exe(new line)

16 réponses

Discussions similaires

Newsletters