System32:svchost.exe(new line)

Résolu
Christ79200 Messages postés 7 Statut Membre -  
 Supermoi -
Bonjour à tous,

Je tente depuis plusieurs jours de me débarasser d'un cheval de troie mais là je sèche, si quelqu'un pouvait m'aider merci d'avance.

Depuis quelques jours, Kerio m'affiche le message suivant à l'ouverture d'internet :

Détails techniques sur l'intrusion :

Application injectrice : C:\WINDOWS\system32:svchost.exe(new line)
Description : Microsoft Internet Countermeasures Framework (Microsoft®)(new line)
Version du fichier : 5.1.2600.0 (xpclient.010817-1148)(new line)
Produit : Microsoft® Windows®(new line)
Version du produit : 5.1.2600.0(new line)
Créé le : 2006/10/3, 14:29:06(new line)
Modifié le : 2006/12/26, 10:49:13(new line)
Dernier accès le : 2006/12/26, 11:02:02

Application cible : C:\WINDOWS\system32\svchost.exe(new line)
Description : Generic Host Process for Win32 Services(new line)
Version du fichier : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)(new line)
Produit : Microsoft® Windows® Operating System(new line)
Version du produit : 5.1.2600.2180(new line)
Créé le : 2001/9/28, 12:00:00(new line)
Modifié le : 2004/8/19, 14:10:04(new line)
Dernier accès le : 2006/12/26, 11:02:02

Adresse de l'injection : 0x004028A5

Ma config est la suivante :
Windows XP pro,
Kerio,
Avg pro,
Ad-aware,
Ccleaner,
Spy boot.

Voici le rapport HijackThis,

Logfile of HijackThis v1.99.1
Scan saved at 11:59:25, on 26/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CoSine Communications\IPSec Dial Client\IPSecMon.exe
C:\Program Files\CoSine Communications\IPSec Dial Client\IreIKE.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Equant\Dialer\EACSvrMngr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\CoSine Communications\IPSec Dial Client\SafeCfg.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\Christophe\Bureau\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: (no name) - {755bbd1a-aa59-456c-afeb-b4c42c4dcb6f} - C:\WINDOWS\system32\ixt0.dll (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [adwarealert] C:\Program Files\AdwareAlert\AdwareAlert.exe -boot
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [7v3j] C:\WINDOWS\system32\z1642.exe gdtgh
O4 - HKLM\..\Run: [dmrjn.exe] C:\WINDOWS\system32\dmrjn.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: ddnupdate.lnk = ?
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: SoftRemote.lnk = C:\Program Files\CoSine Communications\IPSec Dial Client\SafeCfg.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6ACA663E-B90C-4D13-8632-BFF924BC9803}: NameServer = 85.255.115.30,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{D66A28D3-01E5-4A48-87A4-1CB25D433A65}: NameServer = 85.255.115.30,85.255.112.150
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: (Equant Access Companion) Services Manager (EACSvrMngr) - Equant - C:\Program Files\Equant\Dialer\EACSvrMngr.exe
O23 - Service: (Equant Access Companion) Devices and Services Monitoring (EACSys) - Equant - C:\Program Files\Equant\Dialer\EACSys.exe
O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Program Files\CoSine Communications\IPSec Dial Client\IPSecMon.exe
O23 - Service: SafeNet IKE Service (IREIKE) - SafeNet - C:\Program Files\CoSine Communications\IPSec Dial Client\IreIKE.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

Merci d'avance de bien vouloir m'aider,
Salutations
Christophe.
Configuration: Windows XP
Internet Explorer 6.0

16 réponses

  1. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    bONJOUR

    ouvre hijack / coches ces lignes puis clic sur fix checked

    O2 - BHO: (no name) - {755bbd1a-aa59-456c-afeb-b4c42c4dcb6f} - C:\WINDOWS\system32\ixt0.dll (file missing)

    O4 - HKLM\..\Run: [7v3j] C:\WINDOWS\system32\z1642.exe gdtgh
    O4 - HKLM\..\Run: [dmrjn.exe] C:\WINDOWS\system32\dmrjn.exe

    cherches et supprimes les fichier en gras si present :

    C:\WINDOWS\system32\z1642.exe gdtgh
    C:\WINDOWS\system32\dmrjn.exe

    j'ai un doute au sujet de cette ligne
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150

    esque l'adress Ip correspond a ton fai ???

    85.255.112.0 - 85.255.127.255
    Inhoster hosting company
    OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

    Andrei Kislizin
    OOO Inhoster,
    ul.Antonova 5, Kiev,
    03186, Ukraine
    +38 044 2404332

    Fast Web Hosting Support
    01110, Ukraine, Kiev, 20Á, Solomenskaya street. room 201.
    UA
    +35 79 91 17 759
    support@fwebhost.net

    a+++
    0
  2. Christ79200 Messages postés 7 Statut Membre
     
    Merci pour ta réponse rapide.
    J'ai fixé et supprimé les lignes que tu m'as indiquées (en mode sans échec).
    La recherche des fichiers "z1642" et "dmrjn" ne donne rien.
    J'ai lancé aussi Smitfraudfix car j'ai eu des soucis avec celui là il y a quelques temps et raz.
    J'ai rebouté et lancé dans l'ordre AVG qui ne détecte rien puis Spyboot qui détecte un cheval de troie qui se nomme "Pipas".
    Il arrive à le supprimer mais lorsque je reboot il se réactive.

    Voici le nouveau rapport Hijackthis. En ce qui concerne les adresses Ip, il s'agit bien de mon fai, j'ai vérifié dans les paramètres de connexion.

    Logfile of HijackThis v1.99.1
    Scan saved at 13:46:01, on 26/12/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\CoSine Communications\IPSec Dial Client\IPSecMon.exe
    C:\Program Files\CoSine Communications\IPSec Dial Client\IreIKE.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    C:\Program Files\Equant\Dialer\EACSvrMngr.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
    C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
    C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\CoSine Communications\IPSec Dial Client\SafeCfg.exe
    C:\Program Files\Donjon de Naheulbeulk\Mise à jour\dist\majdemarrage.exe
    C:\Program Files\Logitech\Video\FxSvr2.exe
    C:\WINDOWS\System32\wbem\wmiapsrv.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Documents and Settings\Christophe\Bureau\Hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
    O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
    O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
    O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
    O4 - HKLM\..\Run: [adwarealert] C:\Program Files\AdwareAlert\AdwareAlert.exe -boot
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [dmhar.exe] C:\WINDOWS\system32\dmhar.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - Startup: ddnupdate.lnk = ?
    O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: SoftRemote.lnk = C:\Program Files\CoSine Communications\IPSec Dial Client\SafeCfg.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6ACA663E-B90C-4D13-8632-BFF924BC9803}: NameServer = 85.255.115.30,85.255.112.150
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D66A28D3-01E5-4A48-87A4-1CB25D433A65}: NameServer = 85.255.115.30,85.255.112.150
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    O23 - Service: (Equant Access Companion) Services Manager (EACSvrMngr) - Equant - C:\Program Files\Equant\Dialer\EACSvrMngr.exe
    O23 - Service: (Equant Access Companion) Devices and Services Monitoring (EACSys) - Equant - C:\Program Files\Equant\Dialer\EACSys.exe
    O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Program Files\CoSine Communications\IPSec Dial Client\IPSecMon.exe
    O23 - Service: SafeNet IKE Service (IREIKE) - SafeNet - C:\Program Files\CoSine Communications\IPSec Dial Client\IreIKE.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

    Merci d'avance pour ton aide
    -1
  3. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    Bonjour :) on viens tout just de me donner l'info il ne s'agis pas de ton fai mais d'une infection Wareout

    * Télécharge FixWareout d'un de ces deux sites sur le bureau:
    http://downloads.subratam.org/Fixwareout.exe
    http://swandog46.geekstogo.com/Fixwareout.exe

    * Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
    Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

    *Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis! dans ta prochaine réponse.

    a+++
    -1
  4. Christ79200 Messages postés 7 Statut Membre
     
    Bonjour,

    J'ai suivi tes instructions et voici les deux rapports :

    Fixwareout
    Last edited 12/06/2006
    Post this report in the forums please
    ...
    Prerun check
    [HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"="cswge.exe"

    ...
    ...
    Reg Entries that were deleted
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\bopmd
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xevol
    ...

    Random Runs removed from HKLM
    "dmpob.exe"=-
    ...
    ...

    Logfile of HijackThis v1.99.1
    Scan saved at 17:05:14, on 26/12/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\CoSine Communications\IPSec Dial Client\IPSecMon.exe
    C:\Program Files\CoSine Communications\IPSec Dial Client\IreIKE.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    C:\Program Files\Equant\Dialer\EACSvrMngr.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
    C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
    C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
    C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\CoSine Communications\IPSec Dial Client\SafeCfg.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\Donjon de Naheulbeulk\Mise à jour\dist\majdemarrage.exe
    C:\Program Files\Logitech\Video\FxSvr2.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\WINDOWS\System32\wbem\wmiapsrv.exe
    C:\Documents and Settings\Christophe\Bureau\Hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
    O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
    O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
    O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
    O4 - HKLM\..\Run: [adwarealert] C:\Program Files\AdwareAlert\AdwareAlert.exe -boot
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - Startup: ddnupdate.lnk = ?
    O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: SoftRemote.lnk = C:\Program Files\CoSine Communications\IPSec Dial Client\SafeCfg.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6ACA663E-B90C-4D13-8632-BFF924BC9803}: NameServer = 85.255.115.30,85.255.112.150
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D66A28D3-01E5-4A48-87A4-1CB25D433A65}: NameServer = 85.255.115.30,85.255.112.150
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    O23 - Service: (Equant Access Companion) Services Manager (EACSvrMngr) - Equant - C:\Program Files\Equant\Dialer\EACSvrMngr.exe
    O23 - Service: (Equant Access Companion) Devices and Services Monitoring (EACSys) - Equant - C:\Program Files\Equant\Dialer\EACSys.exe
    O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Program Files\CoSine Communications\IPSec Dial Client\IPSecMon.exe
    O23 - Service: SafeNet IKE Service (IREIKE) - SafeNet - C:\Program Files\CoSine Communications\IPSec Dial Client\IreIKE.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

    Merci d'avance,
    Christophe.
    -1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    maintenant ouvre hijack coches ces lignes puis clic sur fix checked

    O17 - HKLM\System\CCS\Services\Tcpip\..\{6ACA663E-B90C-4D13-8632-BFF924BC9803}: NameServer = 85.255.115.30,85.255.112.150
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D66A28D3-01E5-4A48-87A4-1CB25D433A65}: NameServer = 85.255.115.30,85.255.112.150
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150

    a++++++++
    -1
    1. Christ79200 Messages postés 7 Statut Membre
       
      Voilà c'est fait. Voici le nouveau rapport Hijackthis
      Pour le moment j'ai toujours cette fenêtre d'alerte de Kerio qui s'ouvre.
      Merci d'avance,
      Christophe.

      Logfile of HijackThis v1.99.1
      Scan saved at 17:37:47, on 26/12/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\CoSine Communications\IPSec Dial Client\IPSecMon.exe
      C:\Program Files\CoSine Communications\IPSec Dial Client\IreIKE.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
      C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
      C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
      C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
      C:\Program Files\Equant\Dialer\EACSvrMngr.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
      C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
      C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
      C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
      C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
      C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
      C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
      C:\WINDOWS\system32\LVCOMSX.EXE
      C:\Program Files\Logitech\Video\LogiTray.exe
      C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
      C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      C:\Program Files\CoSine Communications\IPSec Dial Client\SafeCfg.exe
      C:\Program Files\WinZip\WZQKPICK.EXE
      C:\Program Files\Donjon de Naheulbeulk\Mise à jour\dist\majdemarrage.exe
      C:\Program Files\Logitech\Video\FxSvr2.exe
      C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
      C:\WINDOWS\System32\wbem\wmiapsrv.exe
      C:\Documents and Settings\Christophe\Bureau\Hijackthis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
      O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
      O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
      O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
      O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
      O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
      O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
      O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
      O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
      O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
      O4 - HKLM\..\Run: [adwarealert] C:\Program Files\AdwareAlert\AdwareAlert.exe -boot
      O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
      O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
      O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
      O4 - Startup: ddnupdate.lnk = ?
      O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
      O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: SoftRemote.lnk = C:\Program Files\CoSine Communications\IPSec Dial Client\SafeCfg.exe
      O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
      O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
      O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
      O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
      O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
      O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
      O23 - Service: (Equant Access Companion) Services Manager (EACSvrMngr) - Equant - C:\Program Files\Equant\Dialer\EACSvrMngr.exe
      O23 - Service: (Equant Access Companion) Devices and Services Monitoring (EACSys) - Equant - C:\Program Files\Equant\Dialer\EACSys.exe
      O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Program Files\CoSine Communications\IPSec Dial Client\IPSecMon.exe
      O23 - Service: SafeNet IKE Service (IREIKE) - SafeNet - C:\Program Files\CoSine Communications\IPSec Dial Client\IreIKE.exe
      O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
      -1
  7. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    bonsoir telecharge

    AVG anti spyware
    https://www.01net.com/telecharger/

    (n'oublie pas de le mettre a jour avant de lancer le scan)

    Relance AVG AS puis choisis l'onglet "Analyse"
    Puis l'onglet "Paramètres"
    Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
    Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

    /!\ Si un fichier est infecté en fin d'analyse /!\
    Clique sur "Appliquer toutes les actions "

    Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
    Enregistre ce fichier texte sur ton bureau ensuite colle le raport ici

    SmitfraudFix

    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport

    Clik send et colle le rapport stp Copie/colle le sur le poste stp.

    a+++
    -1
  8. Christ79200 Messages postés 7 Statut Membre
     
    Voici les deux rapports

    ---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 21:40:34 26/12/2006

    + Résultat de l'analyse:

    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041332.exe -> Downloader.Agent.uj : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041344.exe -> Downloader.Delf.aeu : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041333.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041334.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041335.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041336.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041337.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041338.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041339.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041340.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041341.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041342.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041343.exe -> Downloader.DNSChanger : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041345.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041346.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041347.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041348.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041349.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041350.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041351.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041352.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041353.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041354.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041355.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041356.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041357.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.
    C:\System Volume Information\_restore{54FE9CEF-2261-4814-8C27-C33E8ACB9932}\RP54\A0041358.dll -> Not-A-Virus.Hoax.Win32.Renos.fk : Ignoré.

    Fin du rapport

    Le second :
    SmitFraudFix v2.125

    Rapport fait à 21:41:50,71, 26/12/2006
    Executé à partir de C:\Documents and Settings\Christophe\Bureau\SmitFraudFix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Christophe

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Christophe\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\CHRIST~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Merci pour ton analyse
    -1
  9. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    bonsoir fait un scan en ligne ici

    scan kaspersky https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

    Clic sur l'image Kaspersky Online Scanner
    Clic sur J'accepte
    Installes le ActiveX
    Tu attends que la mise à jour se termine, une fois terminé,
    clic sur Suivant
    Clic sur Paramètres d'analyse
    Coche la case Étendue >> Ok
    Clic sur Poste de travail pour faire un scan complet
    Une fois le scan fini à 100%, clic sur Enregistrer rapport
    sous...
    Enregistrer le rapport au format .txt (en nom tu mets rapport ou
    ce que tu veux et en type tu choisis fichier texte (*.txt)
    Tu ouvres le fichier que tu viens de sauvegarder, copie et colle
    le rapport ici si tu es infecté

    a+++
    -1
  10. Christ79200 Messages postés 7 Statut Membre
     
    Je vois ça se soir. Je suis au boulot pour le moment (fo bien !). Merci à toi.
    -1
  11. Christ79200 Messages postés 7 Statut Membre
     
    Merci à salwa5.
    Je n'ai plus de problème.
    Après avoir suivi tes recommandations, j'ai relancé mon pc puis j'ai de nouveau fait un scan avec :
    avg antispyware, avg pro, spyboot, ccleaner. J'ai lancé à nouveau Smitfraudfix et depuis je n'ai plus de problème.
    Je ne comprend pas trop parce que les différents softs n'ont rien détecté.
    les lignes fixées en utilisant au préalable Fixwareout sont surement à l'origine de mes soucis. Mais c'est seulement après avoir installé et utilisé avg anti spyware que la fameuse fenêtre a disparu.
    Merci beaucoup pour l'aide.
    Joyeuses fêtes à tous,
    Christophe.
    -1
  12. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    de rien :)

    pour finir quelque conseilles de base

    - passe reglierement les antispyware (adaware , spybot , avg .. ect) pense a les mettre ajour avant de les lancé c'est tres important

    -supprime regulierement les fichiers inutiles (fichiers temporaire , cookies .. ect a l'aide de CCleaner https://www.malekal.com/tutoriel-ccleaner/

    -maintenant que ton ordinateur est propre je te conseille de creer un point de restauration comme ca en cas de probleme (virus , plantage ..ect) tu poura tjr revenir en arriere
    http://www.aidoforum.com/tutoriaux-371-creer-un-point-de-restauration-sous-windows.html

    a++
    -1
  13. jeannem
     
    Bonjour,
    j'ai lu les infos concernant system 32 et svchost : j'ai moi-même ces "mots" lorsque je vais voir mon gestionnaire de tâches. Si j'ai bien compris, l'un des deux serait un virus ? Lequel ? merci d'avance : comme vous le voyez je suis très nulle ...
    0
  14. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    bonjour SVCHOST.EXE n'est pas un virus . c'est un fichier system necessaire au bon fonctionnement de l'ordi donc ne le supprime pas !!

    a++++
    -1
  15. fiere
     
    slt javais les memes problemes et g suivi tes conseils le rapport me donne sa:
    Statistiques de l'analyse:
    Total d'objets analysés: 41888
    Nombre de virus trouvés: 3
    Nombre d'objets infectés: 14 / 0
    Nombre d'objets suspects: 0
    Durée de l'analyse: 00:24:10

    Nom de l'objet infecté / Nom du virus / Dernière action
    C:\Documents and Settings\Administrateur\Local Settings\Temp\eraseme_35484.exe Infecté : Backdoor.Win32.SdBot.cnn ignoré
    C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\RABC4WO7\cowboy[1].jpg Infecté : Trojan.Win32.Dialer.us ignoré
    C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\aya diatta\Application Data\Microsoft\Modèles\Normal.dot L'objet est verrouillé ignoré
    C:\Documents and Settings\aya diatta\Bureau\new line.doc L'objet est verrouillé ignoré
    C:\Documents and Settings\aya diatta\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\aya diatta\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\aya diatta\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\aya diatta\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\aya diatta\Local Settings\Historique\History.IE5\MSHist012008010120080102\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\aya diatta\Local Settings\Temp\hpodvd09.log L'objet est verrouillé ignoré
    C:\Documents and Settings\aya diatta\Local Settings\Temp\~DFBBA7.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\aya diatta\Local Settings\Temp\~DFBE61.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\aya diatta\Local Settings\Temporary Internet Files\Content.IE5\9CW79LOT\cowboy[1].jpg Infecté : Trojan.Win32.Dialer.us ignoré
    C:\Documents and Settings\aya diatta\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\aya diatta\Local Settings\Temporary Internet Files\Content.IE5\JJYL1VGC\wr-1-1148[1].jpg Infecté : Trojan-Downloader.Win32.Small.hcu ignoré
    C:\Documents and Settings\aya diatta\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\aya diatta\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Program Files\Fichiers communs\Carlson\carlton Infecté : Trojan.Win32.Dialer.us ignoré
    C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
    C:\System Volume Information\_restore{18DBF873-BEA3-49A0-8179-722766762D65}\RP11\A0000509.exe Infecté : Trojan.Win32.Dialer.us ignoré
    C:\System Volume Information\_restore{18DBF873-BEA3-49A0-8179-722766762D65}\RP13\A0000795.exe Infecté : Trojan-Downloader.Win32.Small.hcu ignoré
    C:\System Volume Information\_restore{18DBF873-BEA3-49A0-8179-722766762D65}\RP15\A0000884.exe Infecté : Trojan.Win32.Dialer.us ignoré
    C:\System Volume Information\_restore{18DBF873-BEA3-49A0-8179-722766762D65}\RP16\change.log L'objet est verrouillé ignoré
    C:\System Volume Information\_restore{18DBF873-BEA3-49A0-8179-722766762D65}\RP2\A0000107.exe Infecté : Trojan-Downloader.Win32.Small.hcu ignoré
    C:\WINDOWS\Britney_Spears_jpg.zip/www.Britney_Spears_jpg_Msn.com Infecté : Backdoor.Win32.SdBot.cnn ignoré
    C:\WINDOWS\Britney_Spears_jpg.zip ZIP: infecté - 1 ignoré
    C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
    C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
    C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
    C:\WINDOWS\svchost.exe Infecté : Backdoor.Win32.SdBot.cnn ignoré
    C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
    C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
    C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
    C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
    D:\Document de FIZZY\FIZZY\TOF BIJOUX\Britney_Spears_jpg.zip/www.Britney_Spears_jpg_Msn.com Infecté : Backdoor.Win32.SdBot.cnn ignoré
    D:\Document de FIZZY\FIZZY\TOF BIJOUX\Britney_Spears_jpg.zip ZIP: infecté - 1 ignoré
    D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

    Analyse terminée.
    0
  16. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    poste le raport de avg antispyware+ smitfraudfix

    ensuite telecharge hijackthis et colle le resultat ici :

    http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download
    demo :
    http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

    a+++
    -1
  17. Supermoi
     
    \??\C:\WINDOWS\system32\winlogon.exe(new line) J' ai cette alerte de Sunbelt Personnal Firewall toute les cinqs secondes à peu près. Et j'arrive toujours pas à me débarrasser de NTOS.EXE qui me fait chier à un point...
    0