[Virus] Infecté avec Trojan Skintrim Fermé

Question

Bonjour,
Malgré mes recherches et déjà pas mal de scans, j'ai découvert que j'étais infectée avec le Trojan skintrim et je ne parviens pas à supprimer ce virus.
Je ne suis pas une pro de l'informatique mais je me débrouille quand même un peu. Pouvez-vous m'aider avec ce problème.
Meric à tous

afideg · Answer

Bonjour  lolaweb 

« déjà pas mal de scans »
Lesquels, s'il te plaît ?
Résultats ?

Télécharge le FixWareout d'un de ces deux sites sur le bureau: 
http://downloads.subratam.org/Fixwareout.exe 
http://swandog46.geekstogo.com/Fixwareout.exe 

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. 
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. 
Ton système mettra un peu plus de temps au démarrage, c'est normal. 

Quand ton système aura redémarré, suis les invites des messages.

Merci
Al

afideg · Answer

Re, Deuxième étape ( je dois m'absenter un moment ) : 1°- Télécharge SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.exe * Enregistre-le sur le bureau * double clic sur l’icône du bureau , puis « exécuter » Sur la page bleue qui s'affiche, tape 4 > ENTER. ( pour mise à jour ) [2.147] Ensuite tape 1 > ENTER. > Copie et colle son rapport sur le forum process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 2°- HijackThis = HJT Une version française disponible : Vous trouverez l'installateur de la version française ici : http://pchelpbordeaux.free.fr/logiciels.html Tu cliques là où montre la flèche : http://img166.imageshack.us/img166/1248/screenshot133rp9.gif http://img84.imageshack.us/img84/4088/screenshot134tm5.gif La mise en place de HijackThis (dans le dossier "\Program Files\Hijackthis Version Française\) est automatique. Un dossier "Hijackthis Version Française" sera créé dans le menu démarrer. Une icône peut être créée sur le bureau si l'on coche la case. Le site fournit également un tutoriel très bien fait : < http://pchelpbordeaux.free.fr/tuto.html > POURQUOI l'installer là ? -Le problème consiste à avoir un dossier dédié à HijackThis; -car lors de l'utilisation il créera un dossier backup permettant de revenir en arrière en cas d'erreur. -L'emplacement de ce dossier importe peu à l'exclusion des dossiers temporaires qui sont vidés pratiquement systématiquement lors d'une procédure de nettoyage. -Ce nettoyage effacerait donc les backups; ce qui empêcherait tout retour en arrière. Exécuter: Lancer le scan et sauver le rapport Ensuite faire un copier/coller de ce rapport ici sur ton topic. Merci. à tout-à-l'heure. Al.

lolaweb · Answer

Merci beaucoup,
je fais tout ce que tu viens de me dire et je reviens tout à l'heure

lolaweb · Answer

Comme tu me l'as indiqué voici tout le process
Voici le rapport Fixwareout

Fixwareout Last edited 2/11/2007
Post this report in the forums please 
...
»»»»»Prerun check

»»»»» System restarted
 
»»»»» Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "System"="" 
....
....
»»»»» Misc files. 
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection. 



Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or https://virusscan.jotti.org/

»»»»» Other



»»»»» Current runs 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe"
"ftutil2"="rundll32.exe ftutil2.dll,SetWriteCacheMode"
"AlwaysReady Power Message APP"="ARPWRMSG.EXE"
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe"
"hpsysdrv"="c:\windows\system\hpsysdrv.exe"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"NvCplDaemon"="RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /installquiet /keeploaded /nodetect"
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE"
"PS2"="C:\WINDOWS\system32\ps2.exe"
"Reminder"="\"C:\Windows\Creator\Remind_XP.exe\""
"HP Software Update"=hex(2):43,3a,5c,50,72,6f,67,72,61,6d,20,46,69,6c,65,73,5c,\
48,50,5c,48,50,20,53,6f,66,74,77,61,72,65,20,55,70,64,61,74,65,5c,48,50,77,\
75,53,63,68,64,32,2e,65,78,65,00
"BDMCon"="c:\progra~1\softwin\bitdef~1\bdmcon.exe"
"BDOESRV"="\"C:\Program Files\Softwin\BitDefender9\bdoesrv.exe\""
"BDNewsAgent"="\"C:\progra~1\softwin\bitdef~1\bdnagent.exe\""
"BDSwitchAgent"="\"C:\progra~1\softwin\bitdef~1\bdswitch.exe\""
"gemstrmw"="C:\WINDOWS\system32\gemstrmw.exe /r"
"CertReg"="C:\Program Files\Fichiers communs\Gemplus\CertReg\certreg.exe"
"TkBellExe"="\"C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe\"  -osboot"
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot"
"DNS7reminder"="\"C:\Program Files\ScanSoft\NaturallySpeaking8\Program\ereg.exe\" -r \"C:\Program Files\ScanSoft\NaturallySpeaking8\Program\ereg.ini\""
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»

Voici le rapport SmitFraudFix

SmitFraudFix v2.148

Rapport fait à 11:20:14,90, 07/03/2007
Executé à partir de C:\Documents and Settings\HP_Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HP_ADM~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="sockspy.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Voici le rapport HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 11:28:29, on 07/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ps2.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\WINDOWS\system32undll32.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\Program Files\Fichiers communs\Gemplus\CertReg\certreg.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ScanSoft\NaturallySpeaking8\Program
atspeak.exe
C:\WINDOWS\arservice.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [gemstrmw] C:\WINDOWS\system32\gemstrmw.exe /r
O4 - HKLM\..\Run: [CertReg] C:\Program Files\Fichiers communs\Gemplus\CertReg\certreg.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [DNS7reminder] "C:\Program Files\ScanSoft\NaturallySpeaking8\Program\ereg.exe" -r "C:\Program Files\ScanSoft\NaturallySpeaking8\Program\ereg.ini"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Dragon NaturallySpeaking.lnk = C:\Program Files\ScanSoft\NaturallySpeaking8\Program
atspeak.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin
pjpi150_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin
pjpi150_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .csd: C:\Program Files\Gemplus\eSigner\Plugin\Npcsig.dll
O12 - Plugin for .i4t: C:\Program Files\Gemplus\eSigner\Plugin\Npcsig.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: CardServer - Unknown owner - C:\Program.exe (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

afideg · Answer

Re, C'est parfait, merci. Avant d'aller plus loin, on doit vérifier s'il y a d'autres trojans & malwares. Continue avec ceci SVP : 1)- •- Télécharge « clean.zip » < http://www.malekal.com/download/clean.zip > •- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ". < http://img227.imageshack.us/img227/9384/screenshot149ih1.gif > 2)- Télécharge SDFix sur ton bureau http://downloads.andymanchesta.com/RemovalTools/SDFix.zip Fais un clic droit sur "SDFix.zip" et choisis "Extraire tout" 3)- Redémarre en mode sans échec. Tutos: Comment faire pour... à la lettre D < https://forum.pcastuces.com/default.asp > ( note bien ce que tu as à faire, parce que tu n'auras plus accès à IE durant cette procédure ). 4)- Analyses •- Ouvre le dossier « clean » qui se trouve sur ton bureau. - Double-clic sur « clean.cmd ». Une fenêtre noire va apparaître, suis les consignes < http://img483.imageshack.us/img483/6285/screenshot210io7.gif > Choisis l’option 2. Clean va travailler. Il va produire un rapport. •- Double-clique sur "RunThis.bat" de SDFix Tape Y pour lancer le script. Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire Presse une touche pour redémarrer en mode normal Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche 5) Rapports: - Poste qui se trouve ici C:\rapport_clean.txt. (- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. ) - Ouvre le "dossier SDFix" et copie/colle ici le contenu du fichier "Report.txt" 6)- Termine par un ScanOnline avec Bitdefender et poster le rapport final complet : < http://www.bitdefender.fr/bd/site/page.php > ou < https://www.bitdefender.fr/ > * En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE * Dans la nouvelle fenêtre, clique sur I agree * La fenêtre change encore, clique sur Click here to scan * Les signatures se chargent, etc. Sauvegarder le rapport au format TEXTE svp. Merci. ( Clic sur "Enregistrer sous..." > enregistrer le rapport au format .txt ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier texte" (*.txt) > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum. ) Aide en image : http://pageperso.aol.fr/rginformatique/mapage/defender.htm Courage. Ce n'est pas si monstrueux qu'il n'y paraît. Pas besoin de courir. Al.

lolaweb · Answer

voilà le rapport clean

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Option 2, executee le 07/03/2007 a 13:01:34,95 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression de fichiers sur C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
tentative de suppression de C:\WINDOWS\system32\bdod.bin 
 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport ! 

voilà le rapport SDFix
SDFix: Version 1.69

Run by HP_Administrateur - 07/03/2007 @ 13:20:25,51

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services: 





Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found...




ADS Check:

C:\WINDOWS\system32
No streams found.


                                 Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"="C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hposid01.exe"="C:\Program Files\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"="C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"="C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"="C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe"="C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe:*:Enabled:hpqdia.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"="C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\Program Files\AOL 9.0\waol.exe"="C:\Program Files\AOL 9.0\waol.exe:*:Enabled:AOL France"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


Remaining Files:
---------------



Checking For Files with Hidden Attributes :

C:\Documents and Settings\HP_Administrateur\Mes documents\fun\smileysmiley.com.packv3\amour\Thumbs.db
C:\Documents and Settings\HP_Administrateur\Mes documents\fun\smileysmiley.com.packv3\cool\Thumbs.db
C:\Documents and Settings\HP_Administrateur\Mes documents\fun\smileysmiley.com.packv3\lol\Thumbs.db
C:\Documents and Settings\HP_Administrateur\Mes documents\fun\smileysmiley.com.packv3
oel\Thumbs.db
C:\Documents and Settings\HP_Administrateur\Mes documents\fun\smileysmiley.com.packv3\pas_drole\Thumbs.db
C:\Documents and Settings\HP_Administrateur\Mes documents\fun\smileysmiley.com.packv3\sourires\Thumbs.db
C:\Documents and Settings\HP_Administrateur\Mes documents\fun\smileysmiley.com.packv3\surprises\Thumbs.db
C:\Program Files\Canon\Canon Setup Utility 2.0\uinstrsc.dll
C:\Program Files\Canon\Canon Setup Utility 2.0\Maint.exe
C:\Program Files\ScanSoft\NaturallySpeaking8\Program\assistant.exe.local
C:\Program Files\ScanSoft\NaturallySpeaking8\Program\audio.exe.local
C:\Program Files\ScanSoft\NaturallySpeaking8\Program\extrnprc.exe.local
C:\Program Files\ScanSoft\NaturallySpeaking8\Program\modmerge.exe.local
C:\Program Files\ScanSoft\NaturallySpeaking8\Program
atlink.exe.local
C:\Program Files\ScanSoft\NaturallySpeaking8\Program
atspeak.exe.local
C:\Program Files\ScanSoft\NaturallySpeaking8\Program
sadmin.exe.local
C:\Program Files\ScanSoft\NaturallySpeaking8\Program
sbrowse.exe.local
C:\Program Files\ScanSoft\NaturallySpeaking8\Program
sencinh.exe.local
C:\Program Files\ScanSoft\NaturallySpeaking8\Program
sencrpt.exe.local
C:\Program Files\ScanSoft\NaturallySpeaking8\Program\sapitst2.exe.local
C:\Program Files\ScanSoft\NaturallySpeaking8\Program\savewave.exe.local
C:\Program Files\ScanSoft\NaturallySpeaking8\Program	gssfile.exe.local
C:\Program Files\ScanSoft\NaturallySpeaking8\Program\vocsav3.exe.local
C:\Program Files\ScanSoft\NaturallySpeaking8\Program\vocsav4.exe.local
C:\Program Files\ScanSoft\NaturallySpeaking8\Program\voctool.exe.local
C:\WINDOWS\meta4.exe
C:\WINDOWS\MOTA113.exe
C:\WINDOWS\x2.64.exe
C:\Documents and Settings\All Users\Documents\TV enregistr‚e\TempRec\TempSBE\SBE1.tmp
C:\Documents and Settings\All Users\Documents\TV enregistr‚e\TempRec\TempSBE\SBE2.tmp

Add/Remove Programs List:

Otto
GemMaster Mystic
Adobe Acrobat 7.0 Professional - English, Fran‡ais, Deutsch
Adobe Illustrator CS2
Adobe InDesign CS2
Adobe SVG Viewer 3.0
ALZip
Microsoft Away Mode
Canon iP4200
CCleaner (remove only)
Combined Community Codec Pack 2006-07-28 (Remove Only)
Gemplus Smart Card Reader Tools
Hijackthis Version Fran‡aise 1.99.0.1
MainConcept for Software Encoder
Correctif Windows XP - KB873339
Correctif Windows XP - KB883667
Correctif Windows XP - KB885250
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB887472
Correctif Windows XP - KB887742
High Definition Audio - KB888111
Correctif Windows XP - KB888113
Correctif Windows XP - KB890175
Correctif Windows XP - KB891781
Correctif Windows XP - KB892050
Correctif Windows XP - KB893066
Correctif Windows XP - KB895961
Correctif nøÿ2 pour Windows XP dition Media Center 2005
Windows XP Media Center Edition 2005 KB925766
Microsoft .NET Framework 1.1
Mozilla Firefox (2.0.0.2)
Microsoft Compression Client Pack 1.0 for Windows XP
NVIDIA Drivers
Intel(R) PRO Network Connections Drivers
PS2
Python 2.2.3
Python 2.2 pywin32 extensions (build 203)
RealPlayer
Lecteur Windows Mediaÿ11
Microsoft User-Mode Driver Framework Feature Pack 1.0
XP Codec Pack
Yahoo! Toolbar
Yahoo! Install Manager
CP_Package_Variety1
Sonic RecordNow Data
CP_Package_Variety3
GemSAFE Libraries v3.2.5
Sonic MyDVD Plus
Macromedia Flash 8
Sonic Update Manager
J2SE Runtime Environment 5.0 Update 5
cp_LightScribeConfig
InterVideo WinDVD Player
Macromedia Extension Manager
GemSAFE eSigner for Smart Cards v2.1.02
Norton 360
Adobe InDesign CS2
Macromedia Flash Player 8
Macromedia Flash 8 Video Encoder
Microsoft Office Professional Edition 2003
Macromedia Flash Player 8 Plugin
LightScribe  1.4.52.1
InterVideo WinDVD Player
Microsoft .NET Framework 1.1 French Language Pack
Sonic RecordNow Audio
Adobe Acrobat 7.0 Professional - English, Fran‡ais, Deutsch
Sonic RecordNow Copy
Adobe Illustrator CS2
CP_Package_Variety2
cp_LightScribePlugin
Microsoft .NET Framework 1.1
HpSdpAppCoreApp
Dragon NaturallySpeaking 8
BitDefender 9 Professional Plus
HPProductAssistant
MainConcept for Software Encoder
Adobe Help Center 1.0
HP Software Update
Adobe Photoshop CS
Realtek High Definition Audio Driver

                                 Finished

afideg · Answer

Re,

N'oublie pas ScanOnline avec Bitdefender

Merci

lolaweb · Answer

il est en train de se faire. (pas de problème si je basse pendant qu'il s'execute?)

afideg · Answer

Re,

???
ça veut dire quoi, ça : « si je basse  » ?


Lol

lolaweb · Answer

heu !! pardon je voulais dire si je bosse (si je travail sur le pc en meme temps )
pardon pour la faute de frappe!!!

afideg · Answer

Re,
Oui, tu peux poursuivre tes travaux.
Mais ne pas surfer sur le Net est souhaitable.

.

afideg · Answer

Allo

ScanOnline avec Bitdefender  trop long si toujours en cours ;
.

afideg · Answer

Bon Lolaweb, voici la suite après ScanOnline avec Bitdefender, dont j'ai besoin du rapport, SVP 2°- Contrôler ce(s) fichier(s) à l'aide de VirusTotal ? » -C:\WINDOWS\system32\ps2.exe -C:\WINDOWS\eHome -C:\WINDOWS\ehome\ehtray.exe -C:\Program Files\ScanSoft\NaturallySpeaking8\Program\ereg.ini -C:\WINDOWS\PCHEALTH\HELPCTR\Vendors Pour cela, vas là :< http://www.virustotal.com/en/virustotalx.html > Procédure à suivre: •- sur la page qui s'affiche tu cliques sur "parcourir" •- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du ( ou des ) fichier(s) ( que Virustotal va analyser un par un, à ta demande; puisque tu devras recommencer la procédure "parcourir", fichier par fichier - s'il y en a plusieurs à analyser!- ) Exemple 1 : C:\WINDOWS\system32\ps2.exe Commence par « Démarrer » > « Poste de Travail » > C:\ > •- suivre le chemin, c'est-à-dire : C:\WINDOWS\system32\ps2.exe •- quand tu as trouvé le fichier ps2.exe ( mis en gras, ici volontairement pour l'exemple ) , tu fais "ouvrir" ( sur cette dernière page affichée) •- le fichier se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse •- là, tu cliques sur "send" ( au-dessus, à droite de la page de Virustotal ) •- et tu attends le résultat ( sois patiente ) •- que tu postes sur le forum DONC, tu refais la même manipulation fichier par fichier. ( PUISQU’IL Y A PLUSIEURS éléments À ANALYSER ! ) Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799 3°- Quel est ton Antivirus ? D’accord, je lis que c’est BitDefender 9 Professional Plus. Mais le lis aussi qu’il lui manque des fichiers ( c’est en tout cas ce que je lis ! ) ici : -O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) -O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) -O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing) -O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Je crois qu’il faudra penser à le réparer . ( Sais-tu encore faire sa mise à jour ?? ) 4°- Il reste des traces de Norton/Symantec à supprimer : -O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) -O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab -O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab ; donc je voudrais que tu accomplisses cette MANIPULATION: ( Attention; bien suivre à la lettre ce qui est demandé ). 1)- sauvegarde l'intégralité du registre comme ceci : "démarrer"/"exécuter"/taper : regedit *clic sur « poste de travail » ( afin d'effectuer une sauvegarde global du registre ) *vas dans le menu fichier / exporter *enregistre-le sur le bureau et donne-lui le nom que tu veux Si tu n’as pas compris suis le tuto en image : https://www.generation-nt.com/ Une autre façon de « Comment faire pour sauvegarder, modifier et restaurer le Registre dans Windows XP » ici : https://support.microsoft.com/fr-fr/help/322756/how-to-back-up-and-restore-the-registry-in-windows 2)- "Démarrer" > "Exécuter" > là, taper " regedit " dans la fenêtre, puis [OK] Tu vois ceci < http://img234.imageshack.us/img234/3155/screenshot224se7.gif > Or, il nous faut retrouver ces éléments à supprimer : -C:\Program Files\Fichiers communs\Symantec Shared -{2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -{644E432F-49D3-41A1-8DD5-E099162EEEC5} - et tous les autres qu'on ne voit pas. Pour cela, clic sur "edition" puis "rechercher", comme ça: < http://img201.imageshack.us/img201/6589/screenshot225wh2.gif > Tu obtiens ceci :< http://img201.imageshack.us/img201/3293/screenshot226jb6.gif > Dans la fenêtre texte, tu colles ceci : Symantec Regarde bien que les trois cases "cles/valeurs/données" soient cochées. Décocher la case "Mot entier seulement" Clic sur "suivant" S'affiche alors des lignes de clés en surbrillance devant contenir le terme " Symantec " Sur cette clé en surbrillance contenant le terme « Symantec », clic droit puis "supprimer" Clic sur F3 pour lancer une nouvelle recherche, et supprime ce qui est en subrillance ( dans la colonne de gauche comme de droite ) La fin est signalée par un message . Fais la même chose avec le mot Symantec Shared et Norton ( j'espère que tu ne trouveras plus rien ). Merci. Al. PS: Il y a encore de la besogne.

lolaweb · Answer

merci à toi le scan de bitdefender vient de se terminer, mais j'ai fait une connerie il s'est exporté en je ne sais quel langage, bon je le colle quand meme ici mais à mon avis ca sert à rien. il m'a indiqué infecte avec trojan skintrim BitDefender Online Scanner -Scan Report

BitDefender Online Scanner

Scan report generated at: Wed, Mar 07, 2007 - 17:52:59

Scan path: C:\;D:\;E:\;F:\;G:\;H:\;I:\;J:\;

Statistics
Time	04:20:47
Files	2151934
Folders	10241
Boot Sectors	3
Archives	21233
Packed Files	288773

Results
Identified Viruses	1
Infected Files	1
Suspect Files	0
Warnings	0
Disinfected	0
Deleted Files	1

Engines Info
Virus Definitions	403195
Engine build	AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)
Scan plugins	14
Archive plugins	38
Unpack plugins	6
E-mail plugins	6
System plugins	1

Scan Settings
First Action	Disinfect
Second Action	Delete
Heuristics	Yes
Enable Warnings	Yes
Scanned Extensions	*;
Exclude Extensions
Scan Emails	Yes
Scan Archives	Yes
Scan Packed	Yes
Scan Files	Yes
Scan Boot	Yes

Scanned File	Status
C:\WINDOWS\pack.epk=>(NSIS 2g)=>lzma_solid_nsis0007	Infected with: Trojan.Skintrim.1WV
C:\WINDOWS\pack.epk=>(NSIS 2g)=>lzma_solid_nsis0007	Disinfection failed
C:\WINDOWS\pack.epk=>(NSIS 2g)=>lzma_solid_nsis0007	Deleted
C:\WINDOWS\pack.epk=>(NSIS 2g)	Update failed

je fais ce que tu viens de me poster

afideg · Answer

OK

J'ai trouvé le vrai coupable.

C:\WINDOWS\pack.epk=>(NSIS 2g)=>lzma_solid_nsis0007

Il vit ses derniers instants !!

lolaweb · Answer

génial je t'écoute
 en attendant voici le premier scan virustotal
Complete scanning result of "ps2.EXE", received in VirusTotal at 03.07.2007, 18:06:18 (CET).
Antivirus	Version	Update	Result
AntiVir	7.3.1.41	03.07.2007	no virus found
Authentium	4.93.8	03.07.2007	no virus found
Avast	4.7.936.0	03.07.2007	no virus found
AVG	7.5.0.447	03.07.2007	no virus found
BitDefender	7.2	03.07.2007	no virus found
CAT-QuickHeal	9.00	03.07.2007	no virus found
ClamAV	devel-20060426	03.07.2007	no virus found
DrWeb	4.33	03.07.2007	no virus found
eSafe	7.0.14.0	03.07.2007	no virus found
eTrust-Vet	30.6.3461	03.07.2007	no virus found
Ewido	4.0	03.07.2007	no virus found
FileAdvisor	1	03.07.2007	No threat detected
Fortinet	2.85.0.0	03.07.2007	no virus found
F-Prot	4.3.1.45	03.07.2007	no virus found
F-Secure	6.70.13030.0	03.07.2007	no virus found
Ikarus	T3.1.1.3	03.07.2007	no virus found
Kaspersky	4.0.2.24	03.07.2007	no virus found
McAfee	4978	03.06.2007	no virus found
Microsoft	1.2204	03.07.2007	no virus found
NOD32v2	2100	03.07.2007	no virus found
Norman	5.80.02	03.07.2007	no virus found
Panda	9.0.0.4	03.07.2007	no virus found
Prevx1	V2	03.07.2007	no virus found
Sophos	4.15.0	03.07.2007	no virus found
Sunbelt	2.2.907.0	03.05.2007	no virus found
Symantec	10	03.07.2007	no virus found
TheHacker	6.1.6.072	03.07.2007	no virus found
UNA	1.83	03.07.2007	no virus found
VBA32	3.11.2	03.07.2007	no virus found
VirusBuster	4.3.19:9	03.07.2007	no virus found
Aditional Information
File size: 90112 bytes
MD5: ff8ccc86c4e42f59b189bd28d362b599
SHA1: 851da138dbe8288037e3a9d24bd4d423fada5c06
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=ff8ccc86c4e42f59b189bd28d362b599

lolaweb · Answer

Complete scanning result of "ehtray.exe", received in VirusTotal at 03.07.2007, 18:34:09 (CET).

Antivirus	Version	Update	Result
AntiVir	7.3.1.41	03.07.2007	no virus found
Authentium	4.93.8	03.07.2007	no virus found
Avast	4.7.936.0	03.07.2007	no virus found
AVG	7.5.0.447	03.07.2007	no virus found
BitDefender	7.2	03.07.2007	no virus found
CAT-QuickHeal	9.00	03.07.2007	no virus found
ClamAV	devel-20060426	03.07.2007	no virus found
DrWeb	4.33	03.07.2007	no virus found
eSafe	7.0.14.0	03.07.2007	no virus found
eTrust-Vet	30.6.3461	03.07.2007	no virus found
Ewido	4.0	03.07.2007	no virus found
FileAdvisor	1	03.07.2007	No threat detected
Fortinet	2.85.0.0	03.07.2007	no virus found
F-Prot	4.3.1.45	03.07.2007	no virus found
F-Secure	6.70.13030.0	03.07.2007	no virus found
Ikarus	T3.1.1.3	03.07.2007	no virus found
Kaspersky	4.0.2.24	03.07.2007	no virus found
McAfee	4978	03.06.2007	no virus found
Microsoft	1.2204	03.07.2007	no virus found
NOD32v2	2101	03.07.2007	no virus found
Norman	5.80.02	03.07.2007	no virus found
Panda	9.0.0.4	03.07.2007	no virus found
Prevx1	V2	03.07.2007	no virus found
Sophos	4.15.0	03.07.2007	no virus found
Sunbelt	2.2.907.0	03.05.2007	no virus found
Symantec	10	03.07.2007	no virus found
TheHacker	6.1.6.072	03.07.2007	no virus found
UNA	1.83	03.07.2007	no virus found
VBA32	3.11.2	03.07.2007	no virus found
VirusBuster	4.3.19:9	03.07.2007	no virus found

Aditional Information
File size: 64512 bytes
MD5: 9c69e6a25f5500501b14af43311f8d8b
SHA1: 931eca440bf46c85596a9922b0ad9632612c6f5e
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=9c69e6a25f5500501b14af43311f8d8b

lolaweb · Answer

Complete scanning result of "ereg.ini", received in VirusTotal at 03.07.2007, 18:55:46 (CET).

Antivirus	Version	Update	Result
AntiVir	7.3.1.41	03.07.2007	no virus found
Authentium	4.93.8	03.07.2007	no virus found
Avast	4.7.936.0	03.07.2007	no virus found
AVG	7.5.0.447	03.07.2007	no virus found
BitDefender	7.2	03.07.2007	no virus found
CAT-QuickHeal	9.00	03.07.2007	no virus found
ClamAV	devel-20060426	03.07.2007	no virus found
DrWeb	4.33	03.07.2007	no virus found
eSafe	7.0.14.0	03.07.2007	no virus found
eTrust-Vet	30.6.3461	03.07.2007	no virus found
Ewido	4.0	03.07.2007	no virus found
FileAdvisor	1	03.07.2007	no virus found
Fortinet	2.85.0.0	03.07.2007	no virus found
F-Prot	4.3.1.45	03.07.2007	no virus found
F-Secure	6.70.13030.0	03.07.2007	no virus found
Ikarus	T3.1.1.3	03.07.2007	no virus found
Kaspersky	4.0.2.24	03.07.2007	no virus found
McAfee	4978	03.06.2007	no virus found
Microsoft	1.2204	03.07.2007	no virus found
NOD32v2	2101	03.07.2007	no virus found
Norman	5.80.02	03.07.2007	no virus found
Panda	9.0.0.4	03.07.2007	no virus found
Prevx1	V2	03.07.2007	no virus found
Sophos	4.15.0	03.07.2007	no virus found
Sunbelt	2.2.907.0	03.05.2007	no virus found
Symantec	10	03.07.2007	no virus found
TheHacker	6.1.6.072	03.07.2007	no virus found
UNA	1.83	03.07.2007	no virus found
VBA32	3.11.2	03.07.2007	no virus found
VirusBuster	4.3.19:9	03.07.2007	no virus found

Aditional Information
File size: 368 bytes
MD5: 9cb1be77e4ab64b2329bd4a15016faac
SHA1: cce33e6685f67f11d49a4decace04f2e27e559f7

afideg · Answer

Re,

1°- L'analyse de ces deux dossiers est-elle acceptée ou refusée par VirusTotal :

-C:\WINDOWS\eHome 
-C:\WINDOWS\PCHEALTH\HELPCTR\Vendors  ?
Merci.

2°- Je voudrais tester ceci, SVP :
Démarrer > Exécuter > dans le champ ouvert, faire un copier/coller de ceci :

cmd /c del /a c:\windows\ pack.epk

Ensuite, relance un ScanOnline Bitdefender pour verification.
Merci.

L’autre méthode un peu plus longue est prête à l’expédition.

3°- Es-tu satisfaite du Dragon NaturallySpeaking 8 ??

lolaweb · Answer

C:\WINDOWS\eHome est un dossier avec une centaine de sous éléments (dois je les scanner 1 par 1 ?? )
quand à C:\WINDOWS\PCHEALTH\HELPCTR\Vendors c'est la même chose alors je l'ai balancé à la poubelle ( c'est un truc inutile à mon avis, c'est la liste des revendeur HP... c'est pas une bétise de le jeter??)
je fais ce que tu me dis mais saches que le scann de bitdefender mets au moins 3h30 ( j'ai énorméménts de logitiels et de dossiers) donc réponse demain.
oui je suis super satisfaite du Dragon NaturallySpeaking 8 
bon j'essaie la méthode que tu m'a donné, tu seras là demain?

afideg · Answer

Re,

1°- J'agis et je réfléchis ensuite !!

2°- « C:\WINDOWS\eHome est un dossier avec une centaine de sous éléments (dois je les scanner 1 par 1 ?? ) »
Qui t'as dit de scannner tous les fichiers en eHome ??
Je demande seulement ceci : 
«  L'analyse de ces deux dossiers est-elle acceptée ou refusée par VirusTotal : 
-C:\WINDOWS\eHome 
-C:\WINDOWS\PCHEALTH\HELPCTR\Vendors ? »

Donc, quand tu parcoures le chemin indiqué, je te demande de faire contrôler le DOSSIER eHome ( et non plus un fichier qu'il pourrait contenir ).
Je ne sais vraiment pas si je m'exprime bien.

3°- Donc, je demande aussi le résultat du dossier Vendors par VirusTotal.
« ... je l'ai balancé à la poubelle ( c'est un truc inutile à mon avis, c'est la liste des revendeur HP... ) 
Est-ce le dossier dans son intégralité que tu as supprimé ?
Ce serait du sabotage pour m'empêcher de savoir s'il était infecté ou pas . Dommage !

4°- Il reste du pain sur la planche, et sache que je suis bénévole; et non pas un employé attitré au service clientèle assis devant un PC au nom de CCM.
Pourrais-tu en tenir compte ?
Demain, c'est quand je pourrai.

Fais un effort SVP pour au moins terminer aujourd'hui ce qui est demandé.

Pour ce que je demande en premier lieu ( c'est-à-dire terminer le post # 13 au minimum ), il n'y a pas à attendre des heures que Bitdefender agisse.

Merci
à+..

lolaweb · Answer

excuses moi je ne pensais pas t'avoir heurté, je suis débordée de boulot et ce Pc est mon outil de travail.
Je suis désolée et je te remercie encore pour ton aide.
pour ce qui est de la suite
L'analyse de ces deux dossiers est-elle acceptée ou refusée par VirusTotal :
pour -C:\WINDOWS\eHome, 
Pardon mais je ne pige pas, quand je suis l'arborescence, l'inteface me propose seulement seulement "ouvrir" pour le dossier. Donc je peux pas le faire analyser par  VirusTotal : ( peut-etre le process m'échappe ou alors je suis débile mais je n'arrive pas à le faire scanner

Pour -C:\WINDOWS\PCHEALTH\HELPCTR\Vendors
j'ai détruit la totalité du dossier, je suis désolée je ne pensais pas que c'était une connerie si grave.-C:\WINDOWS\PCHEALTH\HELPCTR\Vendors 

de plus j'ai un souci suplémentaire, je ne peux plus faire descan en ligne avec bitdefender (il me met que le controleX n'est pas valide pour cette opération) j'ai désinstallé mon bitdefender et réinstallé avec mis à jour ok, dois-je faire un scan avec pour remplacer le bitdefender online?
merci pour ta patience

afideg · Answer

Re,

« l'inteface me propose seulement seulement "ouvrir" pour le dossier. »

C'est exactement le même que pour un fichier; quand tu arrives à eHome, tu cliques sur 'ouvrir', et le dossier devrait se retrouver à droite sur la page VirusTotal pour analyse ( clic sur SEND ) .
Essaie.

Peut-être faut-il que le dossier soit vide pour qu'il se transfère vers VirusTotal ??
ATTENTION!!!! je n'ai pas dit de le vider.
Laisse ainsi .
Je profiterai d'une autre occasion.



.........Pour ce que je demande en premier lieu ( c'est-à-dire terminer le post # 13 au minimum ), 

Ce soir, fatigue = dodo
À +..

lolaweb · Answer

écoutes je n'y arrive pas, il ne prends pas le dossier seul, il ouvre automatiquement vers les fichier contenu dans C:\WINDOWS\eHome

afideg · Answer

Re,

Oui, c'est moi qui suis dans l'erreur.
Je viens de tester.
Il faut que le dossier soit vide pour que ça marche.
NE LE VIDE PAS !
Preuve que je dois me reposer.
Pardonne-moi SVP.

;)

Ne surfe pas trop sur le Net; tu n'as pas de pare-feu.
C'est au programme.

lolaweb · Answer

pour ce qui est du reste du post 13 j'ai tout effectué mais il reste une seule clé de symantec qu'il n'est pas possible de supprimer dans le registre, sinon tout les reste est ok

lolaweb · Answer

ah ok je commencer à me dire que je devais être super débile parce que ça fait 20 minutes que j'éssaie comme une dingue et que ça ne marche pas

afideg · Answer

il reste une seule clé de symantec qu'il n'est pas possible de supprimer dans le registre,
Laquelle ?

afideg · Answer

dois-je faire un scan avec pour remplacer le bitdefender online?


Oui, tu peux

lolaweb · Answer

DeviceDesc 
Symantec Lic NetConnect service ( c’est dans SYSTEM/ControlSet001/Enum/Root/LEGACY_CLTNETCNSERVICE/0000

afideg · Answer

Tu aurais ceci :

[ HKLM ??   \SYSTEM\ControlSet001\Enum\Root\LEGACY_CLTNETCNSERVICE\0000]

Quel est le chemin à gauche de \system ?
Où se situe ceci : "DeviceDesc 
Symantec Lic NetConnect service"
dans le panneau de gauche ou de droite ?

Sais-tu faire une capture écran ?

Registre ( autorisations ) :
 "Démarrer" > "Exécuter" > "regedit" > OK ==> l'éditeur de registre s'ouvre.
Menu "Edition" > " Autorisations "> Utilisateur ( administrateur ) > "autorisations pour Administrateurs" ==> autoriser
Avec ça, tu dois pouvoir effacer la valeur ( que tu ne savais pas effacer avant )

lolaweb · Answer

non dis moi comment on fait une capture d'écran
DeviceDesc et Symantec Lic NetConnect service c'est dans le panneau de droite
HKEY_LOCAL _MACHINE
\SYSTEM/ControlSet001/Enum/Root/LEGACY_CLTNETCNSERVICE/0000]

afideg · Answer

Pour faire une capture d'écran : 

Clic sur les touches [ALT+PrintScrSys] qui se trouve en haut à droite du clavier. 
À ce moment elle est en mémoire. 

Ensuite ouvre un logiciel graphique. Si tu n'en a pas, ouvre "PAINT" , 
en suivant ce chemin : démarrer/tous les programmes/ accessoires/"PAINT" 

Après l'ouverture de "PAINT , vas dans : « édition » et clic sur "coller" 
( Tu as à ce moment l'image en PAINT visible )
Puis « fichier »/ « enregistrer sous » , 
Enregistrer le fichier sur le bureau. Lui donner un nom :choisir de préférence l'extention « jpg » . 

Ensuite, afin qu'on puisse voir l'image il faut l'héberger sur un site que voici 
https://imageshack.com/ 
( Ou https://www.hiboox.com/ 
Ou http://www.image-dream.com/ ) 

Avec ImageShack , clic sur « parcourir » 
Et dans la page qui s’affiche, tu cible le bureau, tu retrouves la sauvegarde de l’image ( par exemple « Test.jpg ), clic dessus, et ensuite [ouvrir] 
< http://img187.imageshack.us/img187/797/screenshot250pv7.gif > 
Retourne sur la page ImageShack , puis clic sur [host it] Attends. 
Copier le lien dans "direct link to image" et le colle ici sur le post.

lolaweb · Answer

http://img65.imageshack.us/img65/9531/captureecranregistreyy9.jpg

afideg · Answer

Fais ceci :

Procédure : Ouvre le bloc-notes et fais un copier/coller de ce qui est en citation ci-dessous (copie tout d'un trait) :

REGEDIT4

[-HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_CLTNETCNSERVICE\0000] 



Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

L'icône de "fix.reg" doit ressembler à cela < https://www.hiboox.com >

Quitte internet et double-clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"

Si c'est bien le cas, clique sur "oui"

Contrôle ensuite par une dernière recherche sous symantec.

lolaweb · Answer

je mets REGEDIT4 devant [-HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_CLTNETCNSERVICE\0000] 
ok?

afideg · Answer

NON
attends

lolaweb · Answer

OK

afideg · Answer

Re

Copier/coller !!!!

< http://img62.imageshack.us/img62/4615/screenshot257qt1.gif >

Dans le coin supérieur gauche

Tu as toujours une copie de ton registre sauvegardée sur ton bureau , n'est-ce pas ?

lolaweb · Answer

je viens de suivre à la lettre mais il trouve toujours ce même truc
DeviceDesc 
Symantec Lic NetConnect service  et impossible à supprimer

afideg · Answer

Avec clic droit ?
Avec autorisations comme expliqué plus haut ?
Je n'ai rien vu sur la capture .
à droite dans les valeurs ?

As-tu encore les OOOO ?

lolaweb · Answer

j'ai un truc bizarre aprés une recherche de Symantec il trouve dans HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/SECURITY CENTER/MONITORING/SYMANTECANTIVIRUS
et 
HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/SECURITY CENTER/MONITORING/SYMANTECFIREWALL
je les avaient supprimé mais ils sont de nouveaux là !!!
quant à la procédure pour effacer l'autre clé avec le fix ça marche pas 
http://img250.imageshack.us/img250/1516/captureecranregistre2gy9.jpg

afideg · Answer

OK
Ça va aller

Copier/coller ( tout en une fois ) ceci dans la précédente procédure :


REGEDIT4 

[-HKEY_LOCAL _MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CLTNETCNSERVICE\0000] 
[HKEY_LOCAL_MACHINE\SOFTWARE/MICROSOFT\SECURITY CENTER\MONITORING]
"SYMANTECANTIVIRUS"=-
"SYMANTECFIREWALL"=-  


Vérification ensuite
Courage

afideg · Answer

Attention
j'ai fait une correction

lolaweb · Answer

mauvaise nouvelle c'est idem
il accepte d'éffacer les deux valeurs de gauche 
[HKEY_LOCAL_MACHINE\SOFTWARE/MICROSOFT\SECURITY CENTER\MONITORING] 
"SYMANTECANTIVIRUS"=- 
"SYMANTECFIREWALL"=- 
mais dés que je veux effacer à la recherche suivante avec clic droit 

[-HKEY_LOCAL _MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CLTNETCNSERVICE\0000]
il refuse
peut-être pourrait-on faire ce process en mode sans echec?

afideg · Answer

Attends
Tu es trop speed pour mes doigts déformés. ( 64 ans )

As-tu bien vu la correction ?

lolaweb · Answer

trop tard j'avais pas vu la modif
M....... je craque
maintenant il veut plus du fix

afideg · Answer

Tu as un MP 
messagerie privée est en rouge
clic dessus

lolaweb · Answer

oui mais je l'ai vu trop tard
je n'en peux plus !!! pourquoi c'est si compliqué !!!
ce truc de Norton c'est l'enfer.
C'est un virus ? ou c'est juste un truc qui pollue mon ordi?
bitdefender est à 67% donc je pense que je posterai le résultat demain si vous êtes Ok

lolaweb · Answer

j'ai utilsé le premier avant la modification

lolaweb · Answer

Bonjour à vous,
une nuit un peu courte mais un rapport de Bitdefender qui semble ne plus afficher Trojan skintrim. Je vous colle le rapport.

//-----------------------------------------------------------------
//
//	Product: BitDefender 9 Professional Plus
//	Version: 9.5
//
//	Créé le: 	07/03/2007	21:42:44
//
//-----------------------------------------------------------------


Statistiques

Chemin cible: 	C:\
		D:\
		E:\
		F:\
		G:\
		H:\
		I:\
		J:\
Dossiers	 : 10216
Fichiers	 :  2151729
Archives	: 21306 
Fichiers empaquetés	 : 288810
Virus trouvés 	 : 1
Fichiers infectés 	 : 1
Alertes 	 : 0
Fichiers suspects 	 : 0
Fichiers désinfectés 	 : 0
Fichiers effacés 	 : 0
Fichiers copiés 	 : 0
Fichiers déplacés	: 1
Fichiers renommés 	 : 0
Erreurs I/O 	 : 57
Temps d'analyse 	 := 03:53:03
Fichiers/seconde 	 :153

Définitions virus 	: 436321
Plugins d'analyse	: 16
Plugins archives	: 41
Plug-ins décompression	: 6
Plug-ins messagerie	: 6
Plug-ins système	: 5

Options d'analyse

Détection
[X] Analyser le secteur de boot
[X] Analyser les archives
[X] Analyser les fichiers en paquets
[X] Analyser la messagerie

Masque fichiers
[ ] Programmes
[X] Tous les fichiers
[ ] Extensions définies par l'utilisateur: 
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Copier
[ ] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action

Seconde action
[ ] Ignorer
[ ] Effacer
[ ] Copier
[X] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[X] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal : C:\Program Files\Softwin\BitDefender9\Logs\vscan_1173300164.log


Sommaire :

C:\Documents and Settings\HP_Administrateur\Bureau\Sécurité\clean\pskill.exe	Détecté: Application.Prockill.D
C:\Documents and Settings\HP_Administrateur\Bureau\Sécurité\clean\pskill.exe	Désinfection impossible
C:\Documents and Settings\HP_Administrateur\Bureau\Sécurité\clean\pskill.exe	Déplacé

Par contre il y a ce problème de clé de registre. Est-ce grave?

afideg · Answer

Bonjour lolaweb,
Donc bien dormi, c'est parfait.
Sommeil profond de 2 heures suffit.


Commence par ceci, s'il te plaît ( on revient à la récupération registre ultérieurement  == > tu ne m'as pas répondu quand j'ai demandé confirmation de la sauvegarde du registre sur le bureau ):

Voici la première partie de la suite :
1°- Prends connaissance du contenu le lien suivant:
http://www.f-secure.com/products/license-terms/eult_fra.pdf
Tu as donc pris connaissance et accepté les conditions d'utilisation du programme BlackLight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
Maintenant fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip  
« Fichier » > "Enregistrer la cible (du lien) sous... " >  et enregistre-le "sur ton bureau".
Fais un clic droit  sur "navilog1.zip" et choisis "tout extraire" 
Fais l'extraction dans un dossier propre à lui ( je le fais sur le bureau ) 
Ensuite double-clic sur "navilog1.bat " ( qui est donc sur ton bureau ) 
Laisse-toi guider. Au menu principal, choisis 1 et valide. 
( ne fais pas le choix 2,3 ou 4 sans notre avis/accord ) 
Patiente jusqu'au message : *** Analyse : Terminé le ..... *** 
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir. 
Copier/coller l'intégralité dans une réponse. 
Referme le bloc-notes. 
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

D'abord ceci.
Merci.
Al.

PS: Je risque des interruptions aujourd'hui.
Je t'avertirai à chaque fois.

lolaweb · Answer

bonjour,
oui la sauvegarde du registre est sur mon bureau ... ouf
je fais ce que vous venez de me dire

lolaweb · Answer

Search Navipromo version 1.0.5 commencé le 08/03/2007 à  9:28:08,17
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\HP_Administrateur\Bureau
avilog
Mise a jour le 03.03.2007 a 23h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***


C:\WINDOWS\msskinner trouvé !
 

*** Recherche dossiers dans C:\Program Files ***


 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***


 

*** Recherche dossiers dans C:\Documents and Settings\HP_Administrateur\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1055.

[+] Started on 03/08/07 at 09:28:09.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ..................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 03/08/07 at 09:33:06 (return code = 0).


*** Recherche fichiers *** 




*** Recherche cles registre *** 


Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
 
 
*** Module de recherche complémentaire *** 
(recherche fichiers spécifiques) 
 
1)Recherche nouveaux fichiers connus:

2)Recherche Heuristique :
* 
** 
*** 
**** 
 
 
*** Analyse Terminé le 08/03/2007 à  9:33:26,54 ***

afideg · Answer

Re,

Parfait.
Voici le responsable de tout tes malheurs :
C:\WINDOWS\msskinner trouvé ! 

Je constate avec plaisir que la commande 
cmd /c del /a c:\windows\ pack.epk 
( pack.epk  détecté par BitDefender étant un produit de MailSkinner ) a fait son boulot.


Pour la suite, tu n’auras pas accès à Internet, ni donc à CCM ; copie (dans un fichier texte sur ton bureau) ou imprime donc la procédure suivante pour ne rien oublier .
2°- Redémarrer en mode sans échec
:<  http://www.coupdepoucepc.com/modules/news/article.php?storyid=253    >   C-à-d.
-Redémarrer votre ordinateur, et dès que les premières lignes apparaissent, « mitrailler » ( = cliquer à répétition ) la touche F8 de façon à ce qu’un menu apparaisse. 
-Sélectionner à l’aide des flèches « Mode sans échec » et appuyer sur [Enter].

• Double-clic sur "navilog1.bat" ( qui est toujours sur le bureau )
Se laisser guider. Au menu principal, choisis 2 et valide. 
Se laisser guider et répondre aux questions éventuelles 
Ton bureau va disparaître, c'est normal. 
Patiente jusqu'au message : *** Nettoyage : Terminé le ..... *** 
Appuier sur une touche comme demandé, le bloc-notes va s'ouvrir. 
Sauvegarder le rapport de manière à le retrouver ( « fichier » > « enregistrer sous » > choisis « bureau » )
Refermer le bloc-notes. 
Le bureau va réapparaître 
• Redémarrer normalement et copier/coller l'intégralité dans une réponse. 
Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt) 

Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. 
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter" 
Taper « explorer » et valider. Cela fera apparaître ton bureau

• Fermer "internet explorer", puis clic sur "Démarrer"/"panneau de configuration"/"options internet" 
- onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs : 
electronic-group 
egroup 
Montorgueil 
VIP 
"Sunny Day Design Ltd" 

Tu les supprimes.




Merci

lolaweb · Answer

ok j'y vais... je reviens dés que c'est terminé

lolaweb · Answer

voici le rapport 
Clean Navipromo version 1.0.5 commencé le 08/03/2007 à  9:58:18,85

Fix lancé depuis C:\Documents and Settings\HP_Administrateur\Bureau
avilog
Mise a jour le 03.03.2007 a 23h00 by IL-MAFIOSO

Executé en mode sans echec

Mode suppression automatique avec prise en charge résultats Blacklight
 
 
*** fsbl1.txt non trouvé *** 
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche) 
 

*** Suppression dossiers dans C:\WINDOWS ***

C:\WINDOWS\msskinner ...suppression... 
C:\WINDOWS\msskinner supprimé ! 


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\HP_Administrateur\Application Data ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\HP_Administrateur\Local Settings\Temp effectué !

 
*** Sauvegarde du registre vers dossier Backupnavi*** 
 
 
sauvegarde du registre réalisée avec succès !


*** Nettoyage registre ***

 
Nettoyage registre Ok 

*** Traitement Recherche complémentaire *** 

1)Recherche/Suppressions nouveaux fichiers connus:

2)Recherche Heuristique (Fichiers à supprimer si nécéssaire):
*
**
***
****
 
*** Nettoyage termine le 08/03/2007 à  9:58:44,31 *** 

Par contre pour ce qui est de la recherche suivante
Démarrer"/"panneau de configuration"/"options internet" 
- onglet "Contenu" puis onglet "Certificats" 
electronic-group 
egroup 
Montorgueil 
VIP 
"Sunny Day Design Ltd" 
je n'ai pas trouvé les noms ci-dessus dans l'onglet certificats, j'ai bien épluché, rien.

afideg · Answer

C'est parfait

1°- Supprimer les outils utilisés ( sans oublier certains de ceux que tu aurais pu utiliser toi-même ; mais dont je ne sais rien , à défaut de ne pas avoir reçu ta réponse à mon post 1 ) : 
SmitfraudFix et ses composants
FixWareout
clean.zip et ses composants
SDFix et ses composants
Navifix/navilog1.zip et ses composants
Le fichier fix.reg créé hier soir 
Chez moi, pour supprimer ce que je place sur le bureau, je pointe l’élément avec la souris, et je glisse le tout vers la corbeille. Puis vider la corbeille.

2°- Relance HJT ( Scan seulement ), coche la case devant ces lignes, et termine par clic sur le bouton radio [Fixer objets] ( en bas à gauche ) : 

-O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
-O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
-O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
-O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEB utton\support.htm
-O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEB utton\support.htm
-O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
-O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
-O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
-O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

3°- C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
Ce qui veut dire que ta console Java n'est pas à jour ! 
Pour corriger cela, va chez Java Sun < https://www.java.com/fr/download/manual.jsp > et télécharge la dernière version. 
Après installation et redémarrage, vas dans le panneau de configuration/Ajouter-Supprimer des programmes afin de désinstaller l'ancienne version, (et reste aussi à ôter dans "program files" dans Java le vieux dossier qui n'est pas ôter lors de la désinstallation ) ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version. 
Retourne alors chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre



Ensuite, ensemble, on récupère le registre, on efface les traces de ce foutu Norton, on installe un vrai pare-feu, et on adresse un plainte pour l'infection. On termine par créer un nouveau point de restauration.

.

lolaweb · Answer

ok merci je m'execute.
Pour ce qui est des scans, j'avais fais bitdefender, adaware pro et ccleaner pour nettoyer

afideg · Answer

Ceux-là sont à garder

lolaweb · Answer

ok tout est fait

afideg · Answer

Re,

Restauration du registre sauvegardé sur le bureau:
- sélectionnez votre fichier ( du nom que vous lui avez donné ) de sauvegarde, qui porte l'extension .reg 
( me confirmer si c'est bien comme ça, SVP )

lolaweb · Answer

comment voit -on qu'il porte l'extension .reg ?
je l'ai nommé hier clés registre ok en ayant fait une sauvegarde

afideg · Answer

Clic droit , puis propriétés
Qu'est-ce que ça livre ?

afideg · Answer

Continue comme ceci:

- Faites un double-clique dessus ( sur l'icône du fichier de sauvegarde sur bureau ) et confirmer la restauration du registre ( en répondant OUI ).


Registre ( autorisations ) : 
Donnez-vous les autorisations pour accéder aux fonctions.
"Démarrer" > "Exécuter" > "regedit" > OK ==> l'éditeur de registre s'ouvre. 
Menu "Edition" > " Autorisations "> Utilisateur = ligne administrateur  > "autorisations pour Administrateurs" ==> cochez les cases actives « autoriser » 
Avec ça, vous devez pouvoir effacer ce qui est nécessaire ( dont la valeur dans le panneau de droite ).

Tu peux commencer les recherches de Norton/Symantec comme hier soir , et tu supprimes étape par étape ce qui se met en surbrillance.
Note bien tout ce qui ne se supprime pas ( comme hier )
N'hésite pas à confirmer par captures écran des éléments récalcitrants.


Je reviens d'ici 30 minutes

lolaweb · Answer

http://img137.imageshack.us/img137/3516/sanstitrejc2.jpg

afideg · Answer

Re,

Désolé.
Je repasse ici dans une bonne heure.

Oui, c'est sur l'icône que tu as montré qu'il faut faire double-clic pour l'exécuter ; et répondre OUI à la question de fusionner.


Après la recherche dans l'éditeur, et m'en rapporter les détails, poster un nouveau log HJT .

à+..
Al.

lolaweb · Answer

j'ai un problème il répond 
Menu "Edition" > " Autorisations "> Utilisateur = ligne administrateur > "autorisations pour Administrateurs" ==> cochez les cases actives « autoriser » 
Autorisations est grisé, je ne peut pas aller sur le fonction autorisations pour Administrateurs 
de plus Impossible d'importer C:\Documents and Settings\HP_Administrateur\Bureau\cles registre ok.reg : toutes les données n'ont pas été inscrites correctement dans le registre. Certaines clés sont ouvertes par le système ou par d'autres processus

afideg · Answer

Re,

1°- Le fichier de sauvegarde avait-il bien été construit ainsi :

Sauvegarde de toute la base de registre : 
• Cliquez sur Démarrer / Exécuter
• Dans le champ « Ouvrir » tapez : « regedit » et cliquez sur « OK ».
• Ne sélectionnez rien d'autre que ( = mettre en surbrillance ) le « Poste de travail ».
( Ici, dans la suite logique, le Poste de travail , est celui en tête de la liste des clés du registre ; puisqu’à cette étape, on est dans l’éditeur de registres )

• Dans le menu « Fichier » cliquez sur « Exporter.... »
• Dans « Enregistrer dans »,  spécifier le dossier de sauvegarde. C’est-à-dire :
• Dans le champ Nom de fichier : tapez le nom de votre fichier de sauvegarde. ex : registre
• Cochez la case « Tout ».
• Cliquez sur Enregistrer. Puis fermer le registre.

?


2°- Pour ceci:
« de plus Impossible d'importer C:\Documents and Settings\HP_Administrateur\Bureau\cles registre ok.reg : toutes les données n'ont pas été inscrites correctement dans le registre. Certaines clés sont ouvertes par le système ou par d'autres processus »

Quitte la session internet en cours.
Qu'il ne te reste que le bureau.


3°- As-tu toujours cette clé :
[HKEY_LOCAL_MACHINE\SOFTWARE/MICROSOFT\SECURITY CENTER\MONITORING] , MONITORING ??


Merci
Al.

afideg · Answer

( Suite ) Aucun pare-feu actif n'a été trouvé sur votre système Alors corrige ce défaut. •- télécharge-le ici http://www.dsi12.fr/telechargements/vnc/kerio-kpf-4.2.2-911-win.exe •- Ensuite, quitter Internet ( IE ) pour lancer l'installation de ce pare-feu. Pour cela: - tu dois impérativement couper la connexion de ton modem (débranche-le), - ensuite installer ce pare-feu téléchargé en C:\ . - et l'activer ( vérifier à ce moment que celui de Windows soit bien désactivé - si non, fais-le manuellement-) - tu lances alors l'installation ( ça devient urgent !!! ) - et l'activer - et enfin si tout s'est bien déroulé, rétablir ta connexion à Internet. . - Eventuellement mettre à jour Kério. -Tutorials: pour configurer et comprendre l'utilisation de Kerio -< http://kerio.probb.fr/Securiser-et-desinfecter-c6/Configurer-parametrer-Kerio-4-version-gratuite-f2/Tutoriel-pour-Kerio-43635-p1012.htm > Merci Boulepate. Ou aussi - http://www.chez.com/leppa/scripts/kpfV4.html Pour le pare-feu Windows, - Démarrer ->panneau de config (en affichage classique) -> pare-feu windows et tu le mets sur "désactiver". - Mais il ne suffit pas de le désactiver... sinon effectivement il émet en permanence des alertes - Il faut que tu ailles dans panneau configuration -> centre sécurité - Sur la page qui s'ouvre en cliquant sur l'écusson "centre de contrôle Windows" ( où qu'il se trouve ) : < http://img332.imageshack.us/img332/1042/screenshot086rg4.gif > tu cliques l'encadré, « Modifier la façon dont le centre de sécurité me prévient » - Tu obtiens ceci < http://img67.imageshack.us/img67/1192/screenshot087vf7.gif > où tu ne coches aucune case ( donc tu ne reçois pas d'alerte, puisque tu ne demandes pas au "centre de contrôle Windows" de surveiller des protections )

lolaweb · Answer

Pour ce qui est de la première réponse, j'ai bien suivi le tuto pour sauvegarder le registre ( mais je ne me souviens plus du tout de cette case "Tout") je pense que j'ai bien suivi le process car je sais que c'est important, donc normalement je l'ai fait correctement.

2° j'ai bien Quitter la session internet en cours. 
et il ne reste que le bureau mais toujours même réponse
Impossible d'importer C:\Documents and Settings\HP_Administrateur\Bureau\cles registre ok.reg : toutes les données n'ont pas été inscrites correctement dans le registre. Certaines clés sont ouvertes par le système ou par d'autres processus

3°- Pour la clé : 
[HKEY_LOCAL_MACHINE\SOFTWARE/MICROSOFT\SECURITY CENTER\MONITORING] , MONITORING 
a gauche en sous dossier de Monitoring, il y a :
-AhnlabAntivirus
-ComputerAssociatesAntivirus
-KasperskyAntivirus
-McAfeeAntivirus
-McAfeeFirewall
-PandaAntivirus
-PandaFirewall
-SophosAntivirus
-SymantecAntivirus
-SymantecFirewall
-TinyFirewall
-TrendAntivirus
-TrendFirewall
-ZonelabsFirewall

SymantecAntivirus et SymantecFirewall, je les avais supprimé mais ils sont de nouveau là.

lolaweb · Answer

Pour le pare-feu  c'est ok, il est en place et j'ai effectué tout le process comme indiqué

afideg · Answer

Re,

1)- L'important dans la compréhension, est là :
«  Ne sélectionnez rien d'autre que ( = mettre en surbrillance ) le « Poste de travail ». 
( Ici, dans la suite logique, le Poste de travail , est celui en tête de la liste des clés du registre ; puisqu’à cette étape, on est dans l’éditeur de registres )  » 
C'est ça que le "tout" signifie .

Certains pourraient en effet confondre celui ci-avant, avec celui en "démarrer" > "Poste de travail" .
Il ne s'agit que de cela.


2)- Pour ceci : [HKEY_LOCAL_MACHINE\SOFTWARE/MICROSOFT\SECURITY CENTER\MONITORING] ,
ma demande d'information est : « As-tu toujours cette clé : 
[HKEY_LOCAL_MACHINE\SOFTWARE/MICROSOFT\SECURITY CENTER\MONITORING] ??
Contient-elle toujours sa sous-clé : MONITORING ?? 

Je ne demandais pas ce que contenait Monitoring - et pour cause , je le croyais supprimé -( quoique Monitoring exite encore puisque tu m'en donnes le contenu ! ).
Entre nous, je reste pantois devant tous ces programme; d'autant que je ne trouve aucun pare-feu sur ton PC .

As-tu la possibilité de lancer les recherches Symantec comme hier et de supprimer tout ce qui se met en surbrillance , SVP ?

Je ne sais revenir que ce soir.

Installe Kerio ( puisque HJT ne trouve aucun pare-feu actif sur ton PC )

Apparemment, il n'y a eu aucune conséquence d'éventuelle fausse manœuvre d'hier. Puisque si fausse manœuvre il y eût, elle aurait  agi  sur la sous-clé MONITORING qui aurait pu être supprimée; ce n'est pas le cas.

Finalement, il te faut maintenant CREER un nouveau point de restauration. 
Toutes les explications sont dans ces deux tutos ( imprime-les ): 
< http://perso.orange.fr/jesses/Docs/Bases/CreerRestaur.htm > 



à+

lolaweb · Answer

voilà le dernier rapport de HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 15:03:36, on 08/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\arservice.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\ARPWRMSG.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\ps2.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\Program Files\Fichiers communs\Gemplus\CertReg\certreg.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ScanSoft\NaturallySpeaking8\Program
atspeak.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [gemstrmw] C:\WINDOWS\system32\gemstrmw.exe /r
O4 - HKLM\..\Run: [CertReg] C:\Program Files\Fichiers communs\Gemplus\CertReg\certreg.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [BDNewsAgent] "C:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DNS7reminder] "C:\Program Files\ScanSoft\NaturallySpeaking8\Program\ereg.exe" -r "C:\Program Files\ScanSoft\NaturallySpeaking8\Program\ereg.ini"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Dragon NaturallySpeaking.lnk = C:\Program Files\ScanSoft\NaturallySpeaking8\Program
atspeak.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (file missing)
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .csd: C:\Program Files\Gemplus\eSigner\Plugin\Npcsig.dll
O12 - Plugin for .i4t: C:\Program Files\Gemplus\eSigner\Plugin\Npcsig.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - 
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - 
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: CardServer - Unknown owner - C:\Program.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

en ce qui concerne la clé monitoring, je n'ai jamis installé tous ces antivirus, je ne sais pas d'où ça sort ???
Merci encore pour votre aide. Je ne serai pas là ce soir, je pars vers 20h, mais plus tard je repasserai

afideg · Answer

Re,

As-tu encore cette sous-clé ? 
[-HKEY_LOCAL _MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CLTNETCNSERVICE\0000]  ?

Bientôt, encore devoir stopper.
Réponds SVP
Merci

lolaweb · Answer

oui je n'arrive pas à enlever ce truc, il n'y a rie à faire

afideg · Answer

1°- Registre a)- Sauvegarde de toute la base de registre : • Cliquez sur Démarrer / Exécuter • Dans le champ « Ouvrir » tapez : « regedit » et cliquez sur « OK ». • Ne sélectionnez rien d'autre que ( = mettre en surbrillance ) le « Poste de travail ». ( Ici, dans la suite logique, le Poste de travail , est celui en tête de la liste des clés du registre ; puisqu’à cette étape, on est dans l’éditeur de registres ) • Dans le menu « Fichier » cliquez sur « Exporter.... » • Dans « Enregistrer dans », spécifier le dossier de sauvegarde. C’est-à-dire : • Dans le champ "Nom de fichier" : tapez le nom de votre fichier de sauvegarde. (ex : registre1) • Cochez la case « Tout » (si tu la vois). • Cliquez sur Enregistrer. Puis fermer le registre. b)- Ouvre le bloc-notes et fais un copier/coller de ce qui est en caractères gras ci-dessous (copie tout d'une traite) : REGEDIT4 [-HKEY_LOCAL _MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CLTNETCNSERVICE\0000] [HKEY_LOCAL_MACHINE\SOFTWARE/MICROSOFT\SECURITY CENTER\MONITORING] "AhnlabAntivirus"=- "ComputerAssociatesAntivirus"=- "KasperskyAntivirus"=- "McAfeeAntivirus"=- "McAfeeFirewall"=- "PandaAntivirus"=- "PandaFirewall"=- "SophosAntivirus"=- "SymantecAntivirus"=- "SymantecFirewall"=- "TinyFirewall"=- "TrendAntivirus"=- "TrendFirewall"=- "ZonelabsFirewall"=- c)- Puis "fichier"/"enregistrer sous" : dans : sur le bureau Nom du fichier : fix.reg Type de fichier : "tous les fichiers" clique sur "enregistrer" L'icône de "fix.reg" doit ressembler à cela < https://www.hiboox.com > d)- Quitte internet et double-clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?" Si c'est bien le cas, clique sur "oui" e)- Contrôle ensuite par une dernière recherche sous symantec. 2°- Redémarre en mode sans échec. - Relance HJT ( Scan seulement ), coche la case devant ces lignes, et termine par clic sur le bouton radio [Fixer objets] ( en bas à gauche ) : -R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) - Yahoo! Companion BHO -O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) - Yahoo! Companion BHO -O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) - Yahoo! Companion BHO -O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe -O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE - ( "Sypware" file used surreptitiously monitor one's actions ) -O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) -O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) -O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (file missing) -O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (file missing) -O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - ( Symantec AntiVirus scanner ) -O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab -O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - ( Symantec AntiVirus scanner ) -O23 - Service: CardServer - Unknown owner - C:\Program.exe (file missing) - ( Added by an unidentified TROJAN! of the Sdbot family. Note: This worm rojan is located in C: folder. ) Redémarre normalement 3°- Désactive ce CardServer ; ainsi: Pour desactiver le service, tu dois aller dans le "panneau de configuration", là tu vas dans les "outils d'administration". Une fois dans les "outils d'administration", tu choisis le raccourci "Services". A ce moment-là, tu n'as plus qu'à sélectionner le service correspondant à CardServer ; et dans les "propriétés" il y aura une page pour choisir de le désactiver, de l'activer ou de le mettre en manuel ( parfois de l'arrêter ). 4°- Exécuter ComboFix < http://www.techsupportforum.com/sectools/combofix.exe >, et poster le rapport . À ce soir. Al.

lolaweb · Answer

bon j'ai un problème encore lorsque je fais la première procédure aprés la sauvegarde, c'est à dire b), 
l'éditeur de registre me marque erreur
impossible d'importer C:\Documents and Settings\HP_Administrateur\Bureau\fix.reg :erreur d'accés au Registre
je ne comprends pas pourquoi, je suis exactement le process à la lettre

lolaweb · Answer

Merci pour votre aide, je suis désolée que vous soyez malade, je vous souhaite le meilleur pour votre santé.
Fixer les lignes en HJT = ok
Désactive rce CardServer = ok
Exécuter ComboFix = ok
 voici le rapport
Start Time= 08/03/2007 23:24:16,89

QuickScan did not find any signs of infected files

((((((((((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-03-08     14:30:20                       ( .D... )   "C:\Program Files\Kerio"
2007-03-07     20:35:50        73728       ( A.... )   "C:\WINDOWS\system32\sockspy.dll"
2007-03-07     20:35:30        77824       ( A.... )   "C:\WINDOWS\system32\xcomm.dll"
2007-03-07     12:44:52                       ( .D... )   "C:\Program Files\WinZip"
2007-03-07     11:24:40                       ( .D... )   "C:\Program Files\Hijackthis Version Fran‡aise"
2007-03-07     11:20:18         4560       ( A.... )   "C:\WINDOWS\system32	mp.reg"
2007-03-06     14:23:08                       ( .D... )   "C:\Program Files\Combined Community Codec Pack"
2007-03-06     14:22:28          119       ( A.... )   "C:\Program Files\satsukidecodersettings.ini"
2007-03-06     14:22:04          534       ( A.... )   "C:\Program Files\mpc5.reg"
2007-03-06     14:22:04          196       ( A.... )   "C:\Program Files\ffdssetts.reg"
2007-03-06     12:43:44                       ( .D... )   "C:\Program Files\XP Codec Pack"
2007-03-06     12:17:54                       ( .D... )   "C:\Program Files\Microsoft Works"
2007-03-06     10:48:32                       ( .DS.. )   "C:\Documents and Settings\HP_Administrateur\Application Data\Microsoft"
2007-03-06     10:48:32                       ( .D... )   "C:\Documents and Settings\HP_Administrateur\Application Data\Symantec"
2007-03-06     10:48:32                       ( .D... )   "C:\Documents and Settings\HP_Administrateur\Application Data\Real"
2007-03-06     10:48:32                       ( .D... )   "C:\Documents and Settings\HP_Administrateur\Application Data\Identities"
2007-03-02     20:55:50                       ( .D... )   "C:\Program Files\Trojan Remover"
2007-03-02     09:40:06                       ( .D... )   "C:\Program Files\a-squared Free"
2007-02-25     13:14:20                       ( .D... )   "C:\Program Files\Eltima Software"
2007-02-25     12:27:26                       ( .D... )   "C:\Program Files\Macromedia"
2007-02-06     16:45:36                       ( .D... )   "C:\Program Files\K-Lite Codec Pack"
2007-01-28     14:01:00          196          ( A.... )   "C:\Documents and Settings\HP_Administrateur\Application Data\G-Force Prefs (WindowsMediaPlayer).txt"
2007-01-22     18:35:00                       ( .D... )   "C:\Program Files\RamBoost XP"
2007-01-22     12:02:54                       ( .D... )   "C:\Program Files\Diskeeper Corporation"
2007-01-22     11:47:12                       ( .D... )   "C:\Program Files\Raxco"
2007-01-21     18:46:52                       ( .D... )   "C:\Program Files\Fichiers communs\Logishrd"
2007-01-21     18:20:56                       ( .D... )   "C:\Documents and Settings\HP_Administrateur\Application Data\Iomega Automatic Backup Pro"
2007-01-21     14:16:20                       ( .D... )   "C:\Program Files\FTP Commander"
2007-01-21     13:55:16                       ( .D... )   "C:\Program Files\Microsoft Office"
2007-01-21     13:51:36                       ( .D... )   "C:\Program Files\Microsoft Office 2003 - Edition professionelle - Francais (Word,Excel,PowerPoint,Outlook,Publisher,Access,InfoPath) + FrontPage 2003 - Francais + serials"
2007-01-18     15:58:16                       ( .D... )   "C:\Documents and Settings\HP_Administrateur\Application Data\WengoPhone"
2007-01-18     14:12:44                       ( .D... )   "C:\Documents and Settings\HP_Administrateur\Application Data\Vidalia"
2007-01-18     13:59:34                       ( .D... )   "C:\Documents and Settings\HP_Administrateur\Application Data\Tor"
2006-12-15     03:09:14       127078       ( A.... )   "C:\WINDOWS\system32\javaws.exe"
2006-12-15     01:31:06        53346       ( A.... )   "C:\WINDOWS\system32\javaw.exe"
2006-12-15     01:30:58        49248       ( A.... )   "C:\WINDOWS\system32\java.exe"


(((((((((((((((((((((((((((((((((((((((((((((   Reg Loading Points   )))))))))))))))))))))))))))))))))))))))))))))))))))
 
*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe"
"ftutil2"="rundll32.exe ftutil2.dll,SetWriteCacheMode"
"AlwaysReady Power Message APP"="ARPWRMSG.EXE"
"hpsysdrv"="c:\windows\system\hpsysdrv.exe"
"RTHDCPL"="RTHDCPL.EXE"
"NvCplDaemon"="RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /installquiet /keeploaded /nodetect"
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE"
"PS2"="C:\WINDOWS\system32\ps2.exe"
"Reminder"="\"C:\Windows\Creator\Remind_XP.exe\""
"HP Software Update"=hex(2):43,3a,5c,50,72,6f,67,72,61,6d,20,46,69,6c,65,73,5c,\
  48,50,5c,48,50,20,53,6f,66,74,77,61,72,65,20,55,70,64,61,74,65,5c,48,50,77,\
  75,53,63,68,64,32,2e,65,78,65,00
"BDMCon"="c:\progra~1\softwin\bitdef~1\bdmcon.exe"
"BDOESRV"="\"C:\Program Files\Softwin\BitDefender9\bdoesrv.exe\""
"BDSwitchAgent"="\"c:\progra~1\softwin\bitdef~1\bdswitch.exe\""
"gemstrmw"="C:\WINDOWS\system32\gemstrmw.exe /r"
"CertReg"="C:\Program Files\Fichiers communs\Gemplus\CertReg\certreg.exe"
"TkBellExe"="\"C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe\"  -osboot"
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot"
"BDNewsAgent"="\"c:\progra~1\softwin\bitdef~1\bdnagent.exe\""
"DNS7reminder"="\"C:\Program Files\ScanSoft\NaturallySpeaking8\Program\ereg.exe\" -r \"C:\Program Files\ScanSoft\NaturallySpeaking8\Program\ereg.ini\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
 

Contents of the 'Scheduled Tasks' folder 
C:\WINDOWS	asks\Check Updates for Windows Live Toolbar.job

Completion time: 08/03/2007 23:25:36,12
ComboFix ver 06.06.17 - This logfile is located at C:\ComboFix.txt

pour le registre j'attends 
merci à vous

lolaweb · Answer

Bonjour à vous,
j'espère que vous allez mieux...
Pour ce qui est de mon Pc, on dirait qu'il est comme neuf, il va beaucoup plus vite. Moi qui suis graphiste et qui travail avec des programmes trés lourds, c'est vraiment plus agréable. j'ai ce PC depuis 2 ans, et mis à part ce Trojan Skintrim, il n'y avait pas apparement de choses trés graves.
Il y a encore ce petit problème de clé de symantec. Est-ce que l'on peut les laisser ou est ce que cela est mauvais pour pour l'ordinateur ?

afideg · Answer

Re, Bonjour lolaWeb En vitesse. 1)- utiliser l'utilitaire de symantec < http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924 > ; et la manip de Tesgaz < https://forum.zebulon.fr/index.php?act=ST&f=38&t=57795 > Fais-le; il s'impose ( lenteurs PC ) de supprimer TOUTE trace de Symantec. Ainsi, il n'y a plus besoin de jouer dans la BdR. 2)- N'oublie pas ensuite de créer un nouveau point de restauration Combofix montre que le PC est aujourd'hui propre. CREER un nouveau point de restauration. Toutes les explications sont dans ces deux tutos ( imprime-les ): < http://perso.orange.fr/jesses/Docs/Bases/CreerRestaur.htm > < https://www.vulgarisation-informatique.com/creer-point-restauration.php > < https://support.microsoft.com/fr-fr/allproducts > 3)- Lis bien les tutos de Kerio , pou appliquer le meilleurs paramètres; à+..

[Virus] Infecté avec Trojan Skintrim

81 réponses

Discussions similaires