Sujet Précédent Sujet Suivant

Trojan-downloader.win age

Résolu/Fermé
cartmanpro Messages postés 38 Date d'inscription lundi 5 février 2007 Statut Membre Dernière intervention 29 juillet 2011 - 11 févr. 2007 à 22:06
 cartmanpro - 22 févr. 2007 à 01:14
Bonjour a tous ,y a quelque jours d'ici mon antivirus a aperçu trojan-downloader.win age donc je l'ai supprimé (kapersky l'a fait) et avant j'avais 45 60 de ping a counter-strike et maintenant j'ai des montées entre 80 et 1300 de ping.Des fois ca se stabilise à 50 et des fois ça remonte entre 90 et 300..
le trojan-downloader.win age était dans un de met sv_chost.exe donc voila je viens vers vous pour que vous m'aidiez merci d'avance voila un post HiJackThis :



Logfile of HijackThis v1.99.1
Scan saved at 22:06:02, on 11/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Valve\Steam\Steam.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\Giovanni\LOCALS~1\Temp\Rar$EX00.625\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvdaf.dll,startup
O4 - HKLM\..\Run: [{320D180E-0BFA-1036-0328-060622050020}] "C:\Program Files\Fichiers communs\{320D180E-0BFA-1036-0328-060622050020}\Update.exe" mc-110-12-0000272
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Valve\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winzwr32 - winzwr32.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

vOila merci pour votre aide
A voir également:

22 réponses

  • 1
  • 2
Réponse 1 / 22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
12 févr. 2007 à 00:43
Bonsoir,

* Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

* Installe le à la racine de C

* double clic sur l'exe pour le décompresser et lancer le fix.
Utilisation ----- option 1 - Recherche :
* Double clique sur smitfraudfix.cmd
* Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
* Poste le rapport ici
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

0
cartmanpro Messages postés 38 Date d'inscription lundi 5 février 2007 Statut Membre Dernière intervention 29 juillet 2011
12 févr. 2007 à 02:39
merci pour ta réponse voila :

SmitFraudFix v2.141

Rapport fait à 2:36:45,20, lun. 12/02/2007
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Giovanni


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Giovanni\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\GIOVANNI\FAVORIS


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 2 / 22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
12 févr. 2007 à 17:00
Bonjour,

* Télécharge ce fichier (par ejvindh)
* sauvegarde-le sur ton Bureau.

* Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
* Copie colle le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis



0
cartmanpro
12 févr. 2007 à 17:23
Il a rien trouver :s
************************* Rustock.b-fix -- By ejvindh *************************
lun. 12/02/2007 17:21:27,96

No Rustock.b-rootkits found

******************************* End of Logfile ********************************
0
Réponse 3 / 22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
12 févr. 2007 à 17:26
re

tant mieux
fait un scan complet avec AVG et poste le rapport stp
0
cartmanpro
13 févr. 2007 à 17:40
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 19:46:00 12/02/2007

+ Résultat de l'analyse:



C:\Program Files\Fichiers communs\{320D180E-0BFA-1036-0328-060622050020}\Update.exe -> Adware.Softomate : Ignoré.
C:\Program Files\Fichiers communs\{320D180E-0BFA-1036-0328-060622050020}\system.dll -> Adware.Softomate : Ignoré.
[1972] C:\Program Files\Fichiers communs\{320D180E-0BFA-1036-0328-060622050020}\Update.exe -> Adware.Softomate : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@247realmedia[1].txt -> TrackingCookie.247realmedia : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@amazonsearsca.122.2o7[1].txt -> TrackingCookie.2o7 : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@adbrite[1].txt -> TrackingCookie.Adbrite : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@adtech[2].txt -> TrackingCookie.Adtech : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@advertising[1].txt -> TrackingCookie.Advertising : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@adviva[1].txt -> TrackingCookie.Adviva : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@atdmt[1].txt -> TrackingCookie.Atdmt : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@bluestreak[1].txt -> TrackingCookie.Bluestreak : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@casalemedia[1].txt -> TrackingCookie.Casalemedia : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@fl01.ct2.comclick[2].txt -> TrackingCookie.Comclick : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@doubleclick[2].txt -> TrackingCookie.Doubleclick : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@estat[1].txt -> TrackingCookie.Estat : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@estat[2].txt -> TrackingCookie.Estat : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@fastclick[2].txt -> TrackingCookie.Fastclick : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@media.fastclick[2].txt -> TrackingCookie.Fastclick : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@ehg-cogemag.hitbox[1].txt -> TrackingCookie.Hitbox : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@ehg-telecomitalia.hitbox[2].txt -> TrackingCookie.Hitbox : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@ehg-youtube.hitbox[1].txt -> TrackingCookie.Hitbox : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@hitbox[2].txt -> TrackingCookie.Hitbox : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@searchportal.information[1].txt -> TrackingCookie.Information : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@image.masterstats[1].txt -> TrackingCookie.Masterstats : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@mediaplex[1].txt -> TrackingCookie.Mediaplex : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@stat.onestat[2].txt -> TrackingCookie.Onestat : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@paycounter[2].txt -> TrackingCookie.Paycounter : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@revenue[2].txt -> TrackingCookie.Revenue : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@serving-sys[2].txt -> TrackingCookie.Serving-sys : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@counter15.sextracker[1].txt -> TrackingCookie.Sextracker : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@sextracker[1].txt -> TrackingCookie.Sextracker : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@statcounter[2].txt -> TrackingCookie.Statcounter : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@weborama[1].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@yadro[1].txt -> TrackingCookie.Yadro : Ignoré.
C:\Documents and Settings\Giovanni\Cookies\giovanni@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Ignoré.
C:\Documents and Settings\Giovanni\Mes documents\CS\vac2base.rar/Debug\VAC2 Proof Base.exe -> Trojan.Mygot : Ignoré.


Fin du rapport
0
Réponse 4 / 22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
13 févr. 2007 à 21:35
Bonsoir,

j'aimerai avoir un rapport AVG avec le paramétrage demandé stp

Puis sur l'onglet Paramètres,
sous : "Comment réagir "clique sur Actions recommandées. Sélectionne Quarantaine.

Reviens à l'onglet Analyse. Clique sur Analyse complète du système.

A la fin du scan, choisis l'option 3

"Appliquer toutes les actions " en bas.
0
cartmanpro
14 févr. 2007 à 18:23
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 18:22:50 14/02/2007

+ Résultat de l'analyse:



C:\Program Files\Fichiers communs\{320D180E-0BFA-1036-0328-060622050020}\Update.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Fichiers communs\{320D180E-0BFA-1036-0328-060622050020}\system.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
[328] C:\Program Files\Fichiers communs\{320D180E-0BFA-1036-0328-060622050020}\Update.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Giovanni\Cookies\giovanni@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@amazonsearsca.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@advertising[2].txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@adviva[1].txt -> TrackingCookie.Adviva : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@casalemedia[2].txt -> TrackingCookie.Casalemedia : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@fl01.ct2.comclick[2].txt -> TrackingCookie.Comclick : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@doubleclick[2].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@estat[2].txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@fastclick[1].txt -> TrackingCookie.Fastclick : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@media.fastclick[2].txt -> TrackingCookie.Fastclick : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@ehg-cogemag.hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@ehg-telecomitalia.hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@ehg-youtube.hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@searchportal.information[2].txt -> TrackingCookie.Information : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@image.masterstats[1].txt -> TrackingCookie.Masterstats : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@stat.onestat[2].txt -> TrackingCookie.Onestat : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@paycounter[2].txt -> TrackingCookie.Paycounter : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@revenue[2].txt -> TrackingCookie.Revenue : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@counter15.sextracker[1].txt -> TrackingCookie.Sextracker : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@counter5.sextracker[1].txt -> TrackingCookie.Sextracker : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@sextracker[2].txt -> TrackingCookie.Sextracker : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@statcounter[2].txt -> TrackingCookie.Statcounter : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@xxxcounter[1].txt -> TrackingCookie.Xxxcounter : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@yadro[1].txt -> TrackingCookie.Yadro : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyé.
C:\Documents and Settings\Giovanni\Mes documents\CS\vac2base.rar/Debug\VAC2 Proof Base.exe -> Trojan.Mygot : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
14 févr. 2007 à 22:08
Bonsoir,

reposte un nouveau rapport hijackthis stp
0
cartmanpro
14 févr. 2007 à 22:39
Logfile of HijackThis v1.99.1
Scan saved at 22:39:09, on 14/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Valve\Steam\Steam.exe
C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe
c:\program files\valve\steam\steamapps\cartmanpro\condition zero\hl.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Giovanni\LOCALS~1\Temp\Rar$EX00.563\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Valve\Steam\Steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winzwr32 - winzwr32.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
0
Réponse 6 / 22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
14 févr. 2007 à 22:44
re

que dit ton antivirus actuellement ? te trouve t il encore le trojan ?

lance hijackthis, coche et fixe ces lignes


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/...
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O20 - Winlogon Notify: winzwr32 - winzwr32.dll (file missing)

puis

fait une recherche avec windows et vois si tu trouves
winzwr32.dll supprime le



0
cartmanpro
18 févr. 2007 à 13:43
je n'ai rien trouvé mon antivirus pareil...
Par contre mon sv_chost utilise + ou - 101.000ko de mémoire lol..
c'est pas normal...voila xD
0
Réponse 7 / 22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
18 févr. 2007 à 18:07
Bonsoir,

le processus dont tu me parles c'est un trojan
sv_chost.exe
le bon process c'est svchost.exe

je ne le vois pas apparaitre dans ton rapport Hijackthis.

reposte un rapport stp

0
cartmanpro
18 févr. 2007 à 19:09
svchost.exe c'est le bon terme..mais il prend beaucoup de mémoire..
Ce que je trouve louche c'est que mon ping sur counter-strike s'éleve a 50 60 70 max et des fois il monte à 150 200 300 1500 1000 ping c'est abusé et je pense que c'est à cause d'un virus qui se cache sous svchost.exe ... Mais bon aucune idée merci pour ton aide j'espère trouver la cause... merci
0
Réponse 8 / 22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
18 févr. 2007 à 21:06
bonsoir,

fait un scan antivirus en ligne et poste le rapport ici ensuie

http://www.bitdefender.fr/scan8/ie.html
0
cartmanpro
18 févr. 2007 à 21:14
J'arrive pas :s désoler :s serais-tu m'expliqué stp ? désoler...
0
Réponse 9 / 22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
18 févr. 2007 à 21:21
Tu n'arrives pas à quoi ? faire le scan en ligne ?
il faut utiliser IE

puis tu cliques sur mon lien et sur
Clique sur I Agree
attend le chargement puis accepte les activesX
0
cartmanpro
18 févr. 2007 à 21:27
Il me met : " This web site is not authorized to host this ActiveX control.Et il me dise de contacter le webmaster.."
:s

et il y a cela aussi:
Select what you want to check for viruses
By default, your entire computer will be checked for viruses and other threats. To scan just some of your folders, click here.
Settings
By default, BitDefender will try to clean the infected files it finds. Warning If the disinfection fails, the infected files will be deleted without prompt. To change this and other settings, click here. Please use these options with care.
0
Réponse 10 / 22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
18 févr. 2007 à 21:28
OK, laisse tomber bitdefender
essaye ici
https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm

0
cartmanpro
19 févr. 2007 à 10:07
Incident Statut Analyse

Adware:adware/yazzle No Désinfecté Registre Windows
Outil indésirable:application/funweb No Désinfecté HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}
Adware:adware/ist.istbar No Désinfecté Registre Windows
Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\SYSTEM32\Process.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Giovanni\Mes documents\Downloads\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Giovanni\Mes documents\Antivirus\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Giovanni\Mes documents\Antivirus\Process.exe
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@doubleclick[1].txt
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@mediaplex[1].txt
Spyware:Cookie/MetriWeb No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@metriweb[1].txt
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@atdmt[1].txt
Spyware:Cookie/Cgi-bin No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@www6.addfreestats[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@xiti[1].txt
Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@adtech[2].txt
Spyware:Cookie/Statcounter No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@statcounter[2].txt
Spyware:Cookie/Comclick No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@fl01.ct2.comclick[1].txt
Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@advertising[1].txt
Spyware:Cookie/Mammamediasolutions No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@targetnet[2].txt
Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@perf.overture[1].txt
Spyware:Cookie/Go No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@go[2].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@bluestreak[1].txt
Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@ad.yieldmanager[1].txt
Spyware:Cookie/FastClick No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@fastclick[1].txt
Spyware:Cookie/888 No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@888[2].txt
Spyware:Cookie/adultfriendfinder No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@adultfriendfinder[2].txt
Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@247realmedia[1].txt
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@weborama[2].txt
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@drivecleaner[2].txt
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@stats.drivecleaner[2].txt
Spyware:Cookie/ErrorSafe No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@errorsafe[2].txt
Spyware:Cookie/ErrorSafe No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@www.errorsafe[1].txt
Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Giovanni\Cookies\giovanni@tradedoubler[2].txt
Outil indésirable:Application/Processor No Désinfecté C:\Recycled\Dc451.exe
Outil indésirable:Application/Processor No Désinfecté C:\SmitfraudFix\Process.exe
0
Réponse 11 / 22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
19 févr. 2007 à 14:48
Bonjour,

Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.


$$ Télécharge Brute Force Uninstaller (de Merijn)
http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)


$$ FAIS UN CLIC-DROIT sur le lien suivant
http://perso.orange.fr/Chercheur-perso/scripts/toolbar.bfu
et choisis "Enregistrer la cible sous..." afin de télécharger Toolbar.bfu de Chercheur
Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : Toolbar.bfu et BFU.exe (très important).


$$ Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ou F5; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.


$$ Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

Toolbar.bfu

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Toolbar.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.


$$ Redémarre normalement

supprime smitfraud
vide ta corbeille
reposte un nouveau rapport hijackthis
et dit nous où tu en es avec ton processus qui flambe.

0
cartmanpro
20 févr. 2007 à 10:29
Logfile of HijackThis v1.99.1
Scan saved at 10:28:22, on 20/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Valve\Steam\Steam.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Giovanni\LOCALS~1\Temp\Rar$EX00.610\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Valve\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winzwr32 - winzwr32.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

mon processeur annoncé au démarrage svchost a 173.000ko mais il c'est auto supprimé :p bonne nouvel qui s'annonce? .. :p:p:p merci pr ton aide
0
Réponse 12 / 22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
20 févr. 2007 à 14:24
Bonjour,

j'espère en effet.

Hijackthis est mal installé, réinstalle le correctement, il ne doit pas être dans les fichiers temporaires, en cas de backups.

Lance hijackthis et coche :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: winzwr32 - winzwr32.dll (file missing)

puis clique sur fix checked toutes fenêtres fermées y compris internet explorer

refait un scan complet avec AVG, poste le rapport
0
cartmanpro
21 févr. 2007 à 10:48
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 10:47:05 21/02/2007

+ Résultat de l'analyse:



C:\System Volume Information\_restore{EADA2B13-36AE-4518-A8C2-3D8B7D759571}\RP185\A0108307.exe -> Adware.Softomate : Aucune action entreprise.
C:\System Volume Information\_restore{EADA2B13-36AE-4518-A8C2-3D8B7D759571}\RP185\A0108308.DLL -> Adware.Softomate : Aucune action entreprise.
C:\Documents and Settings\Giovanni\Cookies\giovanni@247realmedia[1].txt -> TrackingCookie.247realmedia : Aucune action entreprise.
C:\Documents and Settings\Giovanni\Cookies\giovanni@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Giovanni\Cookies\giovanni@adbrite[1].txt -> TrackingCookie.Adbrite : Aucune action entreprise.
C:\Documents and Settings\Giovanni\Cookies\giovanni@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\Giovanni\Cookies\giovanni@doubleclick[1].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
C:\Documents and Settings\Giovanni\Cookies\giovanni@estat[1].txt -> TrackingCookie.Estat : Aucune action entreprise.
C:\Documents and Settings\Giovanni\Cookies\giovanni@perf.overture[1].txt -> TrackingCookie.Overture : Aucune action entreprise.
C:\Documents and Settings\Giovanni\Cookies\giovanni@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
C:\Documents and Settings\Giovanni\Cookies\giovanni@focusin.ads.targetnet[1].txt -> TrackingCookie.Targetnet : Aucune action entreprise.
C:\Documents and Settings\Giovanni\Cookies\giovanni@targetnet[2].txt -> TrackingCookie.Targetnet : Aucune action entreprise.
C:\Documents and Settings\Giovanni\Cookies\giovanni@trafic[1].txt -> TrackingCookie.Trafic : Aucune action entreprise.
C:\Documents and Settings\Giovanni\Cookies\giovanni@weborama[2].txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\Documents and Settings\Giovanni\Cookies\giovanni@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.


Fin du rapport
0
Réponse 13 / 22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
21 févr. 2007 à 11:58
Bonjour,

"aucune action entreprise" ???....
as tu fait les actions après ?
0
cartmanpro
21 févr. 2007 à 12:06
oui biensur
0
Réponse 14 / 22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
21 févr. 2007 à 12:09
alors justement j'aurai aimé voir ce qu'il avait supprimé ou non.

A t il tout nettoyé ? mis en quarantaine ?
0
cartmanpro
21 févr. 2007 à 12:15
Il a tous supprimer sauf le dernier qu'il a mit en quarantaine (sur sur) j'ai lu le rapport 4 fois xD désoler j'ai mal posté :(
0
Réponse 15 / 22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
21 févr. 2007 à 12:19
re

le dernier de la liste c'est un cookie, je ne pense pas que ce soit celui là

ce qui m'intéressait c'etait ces 2 là 
C:\System Volume Information\_restore{EADA2B13-36AE-4518-A8C2-3D8B7D759571}\RP185\A0108307.exe -> Adware.Softomate : Aucune action entreprise.
C:\System Volume Information\_restore{EADA2B13-36AE-4518-A8C2-3D8B7D759571}\RP185\A0108308.DLL -> Adware.Softomate : Aucune action entreprise.


as tu toujours ton problème initial de trojan win-age ?

0
cartmanpro
21 févr. 2007 à 12:33
Franchement je sais pas tous se que je sais sais que des fois svchost.exe monte fort avant j'avais 21.000ko la des fois j'ai 120.000 150.000 c'est pas normal des fois j'ai des bug son..Teamspeak marche (le son) le son de counter-strike donc je dois reboot et hop sa marche...des fois teamspeak va pas et counter marche..Ainsi de suite je voudrais tout d'abord corriger mes bug intempestif ainsi que régler mon svchost qui augmente imagine toi :( si tu veux je peux te screen mon svchost du début et celui de maintenant. voila merci
0
cartmanpro > cartmanpro
21 févr. 2007 à 15:03
Voilouuuu

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 15:02:30 21/02/2007

+ Résultat de l'analyse:



C:\Documents and Settings\Giovanni\Cookies\giovanni@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@doubleclick[2].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\Giovanni\Cookies\giovanni@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.


Fin du rapport
0
Réponse 16 / 22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
21 févr. 2007 à 15:16
je veux bien te croire. là n'est pas le problème.

je cherche ce qui pourrait t'occasionner ça.

* Télécharge le script "Silent Runners"

clic droit > "enregistrer sous" (et non pas clic gauche) sur le lien suivant :
https://www.silentrunners.org/Silent%20Runners.vbs
clique ensuite 2 fois sur "yes"
Laisse lui le temps de faire son analyse (compte une minute, montre en main)

poste le rapport généré qui se trouve dans le meme dossier que Silent Runners...

Si ton antivirus s'affole, autorise ce script. Ou au pire, désactive-le juste le temps du téléchargement et du scan. Ce script n'est pas dangereux.
0
cartmanpro
21 févr. 2007 à 15:37
"Silent Runners.vbs", revision R50, https://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"MessengerPlus3" = ""C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart" ["Patchou"]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Steam" = ""C:\Program Files\Valve\Steam\Steam.exe" -silent" ["Valve Corporation"]
"msnmsgr" = ""C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SiSPower" = "Rundll32.exe SiSPower.dll,ModeAgent" [MS]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"KAVPersonal50" = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Megaupload Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL" ["MegaUpload"]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Mes dossiers de partage"
\InProcServer32\(Default) = "C:\Program Files\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Program Files\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["Anti-Malware Development a.s."]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]
0
Réponse 17 / 22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
21 févr. 2007 à 15:56
il n'est pas entier visiblement
0
cartmanpro
21 févr. 2007 à 16:56
"Silent Runners.vbs", revision R50, https://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"MessengerPlus3" = ""C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart" ["Patchou"]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Steam" = ""C:\Program Files\Valve\Steam\Steam.exe" -silent" ["Valve Corporation"]
"msnmsgr" = ""C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SiSPower" = "Rundll32.exe SiSPower.dll,ModeAgent" [MS]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"KAVPersonal50" = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Megaupload Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL" ["MegaUpload"]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Mes dossiers de partage"
\InProcServer32\(Default) = "C:\Program Files\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Program Files\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["Anti-Malware Development a.s."]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Program Files\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Program Files\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
a2FreeContMenu\(Default) = "{A155339D-CCCD-4714-85EB-3754B804C9DF}"
-> {HKLM...CLSID} = "a-squared Free Context Menu"
\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2FREE~1.DLL" ["Emsi Software GmbH"]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
a2FreeContMenu\(Default) = "{A155339D-CCCD-4714-85EB-3754B804C9DF}"
-> {HKLM...CLSID} = "a-squared Free Context Menu"
\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2FREE~1.DLL" ["Emsi Software GmbH"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{Prevent access to registry editing tools}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Giovanni\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Enabled Scheduled Tasks:
------------------------

"MATH FR" -> launches: "C:\Documents and Settings\Giovanni\Mes documents\MATH FR.doc" [file not found]
"Maintenance en 1 clic" -> launches: "C:\Program Files\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}"
-> {HKLM...CLSID} = "Megaupload Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL" ["MegaUpload"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}" = (no title provided)
-> {HKLM...CLSID} = "Megaupload Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL" ["MegaUpload"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Rechercher"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Documents and Settings/All Users/Application Data/TuneUp Software/Common/base.css" [file not found]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]


----------
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 34 seconds, including 5 seconds for message boxes)
0
Réponse 18 / 22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
21 févr. 2007 à 20:24
je ne vois rien d'anormal dans silent runner.
TU me poses une colle,
on peut essayer de voir par là

* Télécharge Blacklight
https://europe.f-secure.com/exclude/blacklight/index.shtml
(de F-Secure)
(le premier de la page)

Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence;
clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse.
NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport,
car des fichiers légitimes peuvent être présents, tel wbemtest.exe
0
cartmanpro
21 févr. 2007 à 21:34
02/21/07 21:30:20 [Info]: BlackLight Engine 1.0.55 initialized
02/21/07 21:30:20 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/21/07 21:30:20 [Note]: 7019 4
02/21/07 21:30:20 [Note]: 7005 0
02/21/07 21:30:36 [Note]: 7006 0
02/21/07 21:30:36 [Note]: 7011 1936
02/21/07 21:30:37 [Note]: 7026 0
02/21/07 21:30:37 [Note]: 7026 0
02/21/07 21:30:49 [Note]: FSRAW library version 1.7.1021
02/21/07 21:31:28 [Note]: 2000 1012
0
Réponse 19 / 22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
21 févr. 2007 à 21:39
ras

je suis désolée, mais pour moi, ton pc est sain.

n'aurais tu pas installé récemment des logiciels nouveaux ?
0
cartmanpro
21 févr. 2007 à 22:46
C'est impossible avec un 8méga chz ideatel en belgique que je fasse 1500 de ping sur counter alors qu'avant j'en avais 50...j'ai dl beacoup de film par warez...mon pc et neuf je l'ai depuis début septembre..j'ai installé des new logiciel oui je peux te faire un screen de tous se qui est installé, l'interface de mon explorer change qu'en il en a envi, le son de counter pareil il va ou des fois il va pas . je vais le lancer par la fenêtre xD ^^ , un p4 qui ressemble à a un p2 lol.j'ai beau scanné avec a² ou spybot shearch and...Il trouve que des cookies...tu veux un screen de quoi ? dit moi ? aide moi stp j'en peux plus :(
0
cartmanpro > cartmanpro
21 févr. 2007 à 23:03
AntiVir PersonalEdition Classic
Report file date: mercredi 21 février 2007 22:58

Scanning for 569934 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: Giovanni
Computer name: ACER-FE8B363750

Version information:
BUILD.DAT : 217 12749 Bytes 05/12/2006 17:00:00
AVSCAN.EXE : 7.0.3.2 208936 Bytes 05/12/2006 15:30:08
AVSCAN.DLL : 7.0.3.1 35880 Bytes 05/12/2006 16:00:24
LUKE.DLL : 7.0.3.2 143400 Bytes 31/10/2006 16:07:48
LUKERES.DLL : 7.0.2.0 9256 Bytes 05/12/2006 16:00:24
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 15:30:08
ANTIVIR1.VDF : 6.36.1.24 2212864 Bytes 14/11/2006 09:12:08
ANTIVIR2.VDF : 6.36.1.113 221696 Bytes 01/12/2006 09:12:12
ANTIVIR3.VDF : 6.37.0.3 6144 Bytes 01/12/2006 09:12:14
AVEWIN32.DLL : 7.3.0.15 1982976 Bytes 04/12/2006 17:18:38
AVPREF.DLL : 7.0.2.0 23592 Bytes 03/11/2006 10:53:46
AVREP.DLL : 6.37.0.3 983080 Bytes 01/12/2006 09:05:52
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30/03/2006 08:43:32
AVPACK32.DLL : 7.2.0.5 368680 Bytes 23/10/2006 15:21:32
AVREG.DLL : 7.0.1.1 30760 Bytes 23/10/2006 10:52:28
NETNT.DLL : No Information!
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08/11/2006 12:26:28
RCTEXT.DLL : 7.0.12.1 77864 Bytes 05/12/2006 16:00:22

Configuration settings for the scan:
Jobname..........................: Windows System Directory
Configuration file...............: C:\Program Files\AntiVir PersonalEdition Classic\setupprf.dat
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mercredi 21 février 2007 22:58

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Modules have been scanned
Scan process 'avgnt.exe' - '1' Modules have been scanned
Scan process 'avguard.exe' - '1' Modules have been scanned
Scan process 'sched.exe' - '1' Modules have been scanned
Scan process 'IEXPLORE.EXE' - '1' Modules have been scanned
Scan process 'SVCHOST.EXE' - '1' Modules have been scanned
Scan process 'rsvp.exe' - '1' Modules have been scanned
Scan process 'wuauclt.exe' - '1' Modules have been scanned
Scan process 'MSNMSGR.EXE' - '1' Modules have been scanned
Scan process 'Steam.exe' - '1' Modules have been scanned
Scan process 'CTFMON.EXE' - '1' Modules have been scanned
Scan process 'SOUNDMAN.EXE' - '1' Modules have been scanned
Scan process 'ALG.EXE' - '1' Modules have been scanned
Scan process 'EXPLORER.EXE' - '1' Modules have been scanned
Scan process 'SVCHOST.EXE' - '1' Modules have been scanned
Scan process 'LEXPPS.EXE' - '1' Modules have been scanned
Scan process 'SPOOLSV.EXE' - '1' Modules have been scanned
Scan process 'LEXBCES.EXE' - '1' Modules have been scanned
Scan process 'SVCHOST.EXE' - '1' Modules have been scanned
Scan process 'SVCHOST.EXE' - '1' Modules have been scanned
Scan process 'SVCHOST.EXE' - '1' Modules have been scanned
Scan process 'SVCHOST.EXE' - '1' Modules have been scanned
Scan process 'LSASS.EXE' - '1' Modules have been scanned
Scan process 'SERVICES.EXE' - '1' Modules have been scanned
Scan process 'WINLOGON.EXE' - '1' Modules have been scanned
Scan process 'CSRSS.EXE' - '1' Modules have been scanned
Scan process 'SMSS.EXE' - '1' Modules have been scanned
27 processes with 27 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( 10 files ).


Starting the file scan:

Begin scan in 'C:\WINDOWS\system32'
C:\WINDOWS\system32\msnmgrs.exe
[DETECTION] Contains suspicious code HEUR/Malware
[INFO] The file was moved to '464ac0f7.qua'!


End of the scan: mercredi 21 février 2007 22:59
Used time: 01:36 min

The scan has been done completely.

185 Scanning directories
6982 Files were scanned
1 viruses and/or unwanted programs were found
0 files were deleted
0 files were repaired
1 files were moved to quarantine
0 files were renamed
0 Files cannot be scanned
6981 Files not concerned
12 Archives were scanned
0 Warnings
0 Notes
0
Réponse 20 / 22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
21 févr. 2007 à 23:17 
1 viruses and/or unwanted programs were found


1 files were moved to quarantine


qu'a t il mis en quarantaine ?

je ne dis pas que tu as tort, je dis que je sèche ! ce qui n'est pas la même chose.
0
cartmanpro
21 févr. 2007 à 23:19
Starting the file scan:

Begin scan in 'C:\WINDOWS\system32'
C:\WINDOWS\system32\msnmgrs.exe
[DETECTION] Contains suspicious code HEUR/Malware
[INFO] The file was moved to '464ac0f7.qua'!
0

Discussions similaires

Quel âge pour Vampire Diaries ?
Raphelia -
MPMP10 -

14 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
A quelle age peut on jouer a GTA???
Aucun pseudo -
titou337 -

7 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses