infostealer.gampass

Question

Bonjours à tous...
Mon ordi a détecté un trojan qui se nomme INFOSTEALER.GAMPASS.... j'ai fait certaines procédure qui avais été demandé à une personne qui avais le trojan infostealer.bancos, mais je "bloque" quand c'est le temp de redémarrer en mode sans échec... IMPOSSIBLE... SVP quelqu'un peux m'aider ???
Merci
Anjeme

TropJean · Answer

Salut Anjeme,

Voici ce que tu vas faire…

Pour commencer, télécharge HijackThis. C’est un Outil de diagnostic et de réparation. Voici le lien…
http://telechargement.zebulon.fr/138-hijackthis-1991.html

Dé zippe le dans un dossier prévu à cet effet, sur ton bureau.

Par exemple C:\hijackthis **Enregistre le bien dans C:\>**

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance le - Puis clique sur "Do a system scan and save logfile"
Enregistre le rapport sur ton bureau : En haut à gauche du rapport, tu as l’onglet fichier – Clic dessus et fait - **Enregistrer sous** - Et dans la nouvelle fenêtre tu choisis l’emplacement… **Bureau** (C’est plus facile pour le retrouver ;o) - Clic OK

Avant de poursuivre, j’aimerais que tu me postes ce log/rapport pour que je puisse y voir plus clair…

Programmes à installer…

CCleaner… **Ici c’est la version avec la mise à jour… Pas besoin de mise à jour!**
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

SpyBot Search & Destroy… **Fais une mise à jour avec celui-ci**
http://www.infos-du-net.com/telecharger/Destroy-Search-Spybot,0301-324.html

Maintenant, AVG Anti Spyware… **Une mise à jour à faire ici, très important**
http://www.avgfrance.com/doc/31/fr/crp/0?prd=asw

Comment paramétrer AVG-AS…
Dans l’onglet <Etat>, le bouclier résident et les mises à jour auto, doivent être sur **Actif** - Dans l’onglet <Bouclier résident>, toutes les cases doivent **être coché**– Dans l’onglet <Analyse>, un onglet, <Paramètre> y est, dans celui-ci tu as un premier paragraphe intitulé… <Comment réagir?>. En cliquant droite avec ta souris, tu peux sélectionner l’action que tu veux entreprendre, choisis **Supprimer**

Maintenant, **SUIT** cette directive **à la lettre**

1- Autorise l'affichage des fichiers et dossiers cachés, fais comme suit…
Poste de travail menu Outils - Option des dossiers onglet Affichage - Cocher Afficher les Fichiers et dossiers cachés - Décocher Masquer les fichiers protégés du système d'exploitation (recommandé) - Décocher Masquer les extensions dont le type est connu - Clique sur **Appliquer et Ok** pour valider les changements. Enregistre ces ligne qlq part dans tes dossiers, il va falloir faire le contraire après les scans. Pour remettre le tout comme au début!

2- Désactiver la restauration du système
Voici un lien pour que tu puisses voir exactement comment faire! https://blog.sosordi.net/category/astuces

1er scan avec CCleaner…
Le fonctionnement de CCleaner… Une fois le prog. ouvert!
Clic sur le 1er bouton (Nettoyage) sur ta gauche, ensuite analyse sur la droite en bas - Une fois terminer tu clic sur **Lancer le nettoyage** - Ensuite tu clic sur le bouton **erreurs** sur ta gauche et sur ta droite en bas sur celui **chercher des erreurs** - Une fois terminer clic sur le bouton en bas à droite **réparer les erreurs sélectionnées** - ***Refais cette dernière opération tant qu’il trouve de quoi. Cela peu prendre 2, 3 coups…*** - Une fenêtre va s’ouvrir, clic sur **oui** (C’est pour un backup.) Une autre fenêtre va s’ouvrir, clic sur le bouton **Corriger toutes les erreurs....** Une autre fenêtre va s’ouvrir et tu clic sur ok.- Ensuite tu clic sur fermer - Voilà c’est fait!

2ièm scan avec Spybot S&D…
Maintenant, une fois le prog. ouvert, tu clic sur le 1ier icône sur ta droite qui est, **Search & Destroy** - Ensuite tu clic sur la loupe **Vérifier tout** - Une fois terminer il te reste plus qu’à **corriger les problèmes**, donc tu clic sur le 2ième bouton, sur le tableau de droite, et comme d’habitude dans la fenêtre qui va s’ouvrir tu clic sur OK.- Maintenant, tu clic sur le 3ième icône, **Vaccination**, une fenêtre va s’ouvrir, clic sur OK. - Dans la page d’en dessous tu va voir un carré, coche le et juste en haut tu vas voir un icône avec un gros + vert écrit **Vaccination** clic dessus. Ce que ça fait, c’est bloquer toute les entrées pour ce qu’il vient de supprimer. Voilà, tu viens de régler un bon problème…!

3ièm scan avec AVG Anti Spyware
Maintenant, dans l’onglet <Analyse>, un onglet <Analyse> (Le premier) y est, clic dessus et dans cet onglet tu clic sur la première ligne qui est **Analyse complète du système** - Une fois terminé, **enregistre le rapport sous** - Sur ton bureau, ce sera plus facile d’accès pour un copie/coller du log ici.

Va sur Bit Defender pour un scan en ligne…
https://www.bitdefender.fr/ Tu vas devoir installer un ActiveX, accepte le. À la fin du scan fais comme avec AVG-AS, enregistre le rapport sur ton bureau.

Refais un nouveau scan HJT et enregistre le rapport sur ton bureau.

Pour terminer copie/colle tout tes logs/rapports ici...

En fessant tout ceci (même si c’est long à faire, nous allons sauver du temps!)

Courage et patience sera de mise…!

Merci

À:\+

TropJean ;o)

foufoul · Answer

Bonjour TropJean,
mon ordi vient d'etre infecté par infostealer.gampass (merci la connexion Wi-Fi de ma résidence univ, le virus se balade sur le réseau), je pensais donc suivre tes instructions pour le supprimer. Cependant j'y connais pas grand chose et j'ai peur de faire une boulette. J'ai téléchargé HijackThis et procédé comme indiqué. Voila le rapport. Jje vais utiliser les 3 logiciels que tu as cité au dessus et poster les scans par la suite
Avant ca j'ai 2 questions:
1) Est-ce que je dois faire tout ca en mode sans échec?
2)Quand je suis dans "poste de travail", je double clic sur le disqe dur (C: ou D: meme probleme) et ca m'ouvre une fenetre : "ouvrir avec", au lieu de m'afficher la liste de fichiers. J'arrive quand meme a y accéder via "Mes Documents" mais bon... Est-ce que c'est lié à infostealer.gampass?

Merci d'avance
Foufoul

explorer 7 et firefox
XP familial

rapport HijackThis:
----------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:57:31, on 07/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
c:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe
C:\WINDOWS\Explorer.EXE
c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\Program Files\Norton Internet Security\ISSVC.exe
c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\Program Files\Norton Internet Security\Norton AntiVirus
avapsvc.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\ASUS\PowerForPhone\PowerForPhone.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\ASUS\Splendid\ACMON.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\ACEngSvr.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\ASUS\Asus MultiFrame\MultiFrame.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
c:\Program Files\Norton Internet Security\Norton AntiVirus\NAVW32.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.jeuxvideo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: ASUS Security Protect Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - c:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ItIEAddIn.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - c:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [PowerForPhone] C:\Program Files\ASUS\PowerForPhone\PowerForPhone.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe c:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [ACMON] C:\Program Files\ASUS\Splendid\ACMON.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] c:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: MultiFrame.lnk = ?
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
O20 - AppInit_DLLs: APSHook.dll
O20 - Winlogon Notify: OneCard - c:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWLNPkg.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - c:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus
avapsvc.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

foufoul · Answer

J'ai oublié de préciser que Norton m'indique que le fichier infecté est C:\WINDOWS\system32\avpo0.dll. Je ne sais pas si ca peut aider.
merci
foufoul

TropJean · Answer

Salut Foufoul!

1) Est-ce que je dois faire tout ca en mode sans échec? OUI SANS EXCEPTION ET TU REDÉMARRE TON L'ORDI APRÈS CHAQUE SCAN...

2)Quand je suis dans "poste de travail", je double clic sur le disqe dur (C: ou
D: meme probleme) et ca m'ouvre une fenetre : "ouvrir avec", au lieu de
m'afficher la liste de fichiers. J'arrive quand meme a y accéder via "Mes
Documents" mais bon... Est-ce que c'est lié à infostealer.gampass? LAISSE MOI VÉRIFIER ET JE TE REVIENS SUR CETTE QUESTION.

Je travail jusqu'à tard ce soir mais je vais quand même prendre le temps de voir comment je peux t'aider... Si c'est très ungent (ce que je peux très bien comprendre) r'envois le même message mais sur le forum en général et quelqu'un va pouvoir t'aider c'est sûr!

Je te redonne des nouvelles quand je reviens ce soir... J'habite le Canada alors il y un décalage d'heure... j'espère que tu peux comprendre...!

Merci de ta confiance 

TropJean ;o)

foufoul · Answer

Merci d'avoir répondu si vite. En tout cas ce n'est pas particulierement urgent donc prends tout ton temps, inutile de te surcharger de travail. Je peux avoir accès aux ordis de l'ecole en cas de besoin. Par contre j'ai malheureusement fait toutes les opérations sans me mettre en mode sans échec :) donc je recommencerai tout ce soir et je posterai les rapports. Merci de ton aide et de tes conseils
a+
foufoul

PS: tu connais des sites ou je pourrais en apprendre un peu plus sur toutes ces méthodes de protection?

TropJean · Answer

Salut Foufoul,

Merci de ta patience… Voici ce que tu vas faire…

Pour commencer, des mises à jour importante…! & ensuite me répondre à quelques questions importantes pour que je puisse mieux t’aider!

Si ton XP n’est pas cracker, fait une mise à jour de XP…
http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=en-us

Tu as les programmes Adobe\Acrobat 7.0\Reader et Adobe\Acrobat 7.0\ActiveX … Ils sont rendus à la 8ièm pour ‘Reader’ et 9ièm pour ActiveX… Voici un lien pour la mise à jour mais surtout pour de l’infos concernant ces programmes…! Ça va aider encore plus ta cause.
Adobe: https://www.adobe.com/support/security/bulletins/apsb06-20.html Le lien est pendant la lecture. C’est fait exprès, on n'est jamais trop informé ;o)

Vérifie toutes les mises à jour de Norton concernant ton Anti virus… S’il n’est pas cracker… http://www.symantec.com/avcenter/download/pages/FR-N95.html

Maintenant j’ai besoin de réponse ici (pour mieux t’aider)

1- Combien de gens on accès au pc et s'il y en a d’autre à part toi, ont t’ils leurs propre login, donc, leurs propre accès au pc? (User) Ou, ils ont le même accès que toi? (Même login)

2- Google Gmail… Est-ce ton logiciel de courriel primaire?

3- Asus! Tu peux m’expliquer clairement c’est quoi? J’ai beau allé sur leur site mais je ne comprends pas la liaison de ce que je vois dans ton pc (le prog que tu as) et ce que j’ai vus sur leur site. J’ai lus aussi sur ce forum (CCM) que ton problème (peut être/est) en partie à cause de Asus ou plus précisément le prog Splendid.

4- Norton c’est ton Anti virus (si tu l’as payé, je suis désolé pour toi!) As-tu un Anti spyware (mise à part Avg, si tu l’as installé la dernière fois)?

5- As-tu un Firewall (Parefeu)? Mise à part celui de Windows... Si non, télécharge et installe celui ci. (Zone Alarm) C’est la version gratuite! Regarde sur ta droite, tu y verras un rectangle écrit dedans… Téléchargement gratuit… https://www.zonealarm.com/software
Et pour t’aider à le paramétrer… Config du firewall ZA
zonealarm

Dans approximativement 2h d’ici, tu vas avoir un tutorial à suivre à la lettre… Juste le temps de finir de l’écrire et pour toi, ça devrait te donner assez de temps pour faire les mises à jour et me répondre…! ;o) J’ai besoin de tes réponses pour poursuivre… Si tu ne veux pas que je te fasse faire des choses pour rien… & ça va accélérer le processus en même temps… Comme je n’ai pas grand temps… Ça ne peut qu’être bénéfique pour tout les deux… ;o)

<<PS: tu connais des sites ou je pourrais en apprendre un peu plus sur toutes ces méthodes de protection?>> Si je te dis... Tu es présentement sur Le Forum pour apprendre tout ce dont tu veux savoir à n'importe quel niveau informatique... Choisi ton thème, pose ta question et attend la réponse... Comme tu as fait! ;o)

Bon courage et à+

TropJean ;o)

TropJean · Answer

Re salut Foufoul, Avertissement… Si tu es capable, imprime le tutorial pour que tu puisses mieux travailler hors connection! Voici le programme de la journée…;o) Des programmes à désinstaller et d’autres à installer – Des scans à faire pour nettoyer ton pc et d’autres pour essayer de supprimer la bête virtuelle qu’il y a dedans – Ensuite avec HJT nous/tu vas empêcher des programmes d’ouvrir en même temps que Windows…(Ligne 04-) Ce qui ralentis, considérablement, ton pc à l’ouverture! Tu n’as pas à me le mentionner, je le vois, tu en as plus de 30!!!! C’est beaucoup trop! Tu n’as besoin que de tes principaux Windows et Anti Virus/Spyware. Après tous ça, nous allons voir ce qu’il en reste de cette bête virtuelle et de comment va ton pc… Ne saute pas d’étape et suit à la lettre S.T.P…. C’est pour toi ;o) Tu es prêt? Maintenant on commence par désinstaller des prog. Suit, ce qui suit… Clic sur Démarré – Panneau de control – Ajout/suppression – Une fois la fenêtre ouverte, tout ce qui s’appel et/ou , tu l’es désinstalles sur le champs… Il y a Google et Norton, si tu en as d’autres, désinstalle les. Même s’ils te disent que ça va empêcher certain prog de bien fonctionné… C’est de la frime!!! Les Toolbar/Barre de recherche, ce sont de bons moyens pour y laisser entrer des malwares! (Même Norton!) Si tu veux, je t’expliquerais comment avoir Google ou Yahoo, sans que ça soit un Toolbar et par le fait même plus sécuritaire. Pour éliminer ctfmon.exe au démarrage: comme celles-ci… O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') Tu fais comme suit… Panneau de configuration - Options régionales et linguistiques - Langues - Détails - Barre de langue - Cocher la case **Arrêtez les services de texte avancés** - Clic Ok - & aussi… Démarrer>Exécuter : tape : msconfig/valide OK > onglet : Démarrage : Décoche tous les programmes qui ont cette écriteau… – Clic appliquer et ok – Il va te demander de redémarrer, ne le fait pas, tu vas essayer d’installer le plus de prog avant de redémarré ton pc!!! – Pour le CTFMON… Tu vas gagner en vitesse à l'ouverture de Windows. Au prochain démarrage il n’apparaîtra plus mais sera tjrs fonctionnel quand tu en auras de besoin… ;o) Si ce n’est pas déjà fait… Programmes à installer… CCleaner… **Ici c’est la version avec la mise à jour…!** https://www.01net.com/ SpyBot Search & Destroy… **Fais une mise à jour avec celui-ci** http://www.infos-du-net.com/telecharger/Destroy-Search-Spybot,0301-324.html Si tu as besoin d'aide avec Spybot regarde ce tutorial :  http://www.tutoriaux-excalibur.com/spybot.htm Maintenant, AVG Anti Spyware… **Une mise à jour à faire ici, très important** http://www.avgfrance.com/doc/31/fr/crp/0?prd=asw Comment paramétrer AVG-AS… Dans l’onglet , le bouclier résident et les mises à jour auto, doivent être sur **Actif** - Dans l’onglet , toutes les cases doivent **être coché**– Dans l’onglet , un onglet, y est, dans celui-ci tu as un premier paragraphe intitulé… . En cliquant droite avec ta souris, tu peux sélectionner l’action que tu veux entreprendre, choisis **Supprimer** C’est un Après 30jrs les mises à jour sont disponible seulement à toutes les 2,3 jours et le bouclier résident n’est plus fonctionnel. C’est ok, t’en que tu as un firewall (Zone Alarm) Maintenant, **SUIT** cette directive **à la lettre** 1- Autorise l'affichage des fichiers et dossiers cachés, fais comme suit… Poste de travail menu Outils - Option des dossiers onglet Affichage - Cocher Afficher les Fichiers et dossiers cachés – Décocher - Masquer les fichiers protégés du système d'exploitation (recommandé) – Décocher - Masquer les extensions dont le type est connu - Clique sur **Appliquer et Ok** pour valider les changements. Enregistre ces paragraphes (1-2) qlq part dans tes dossiers, il va falloir faire le contraire après les scans. Pour remettre le tout comme au début! 2- Désactiver la restauration du système Voici un lien pour que tu puisses voir exactement comment faire! https://blog.sosordi.net/category/astuces 3- Une fois les # 1 et 2 faits, l’installation des prog. et les mises à jour faits, redémarre ton PC en **mode sans échec** Tu n’as qu’à tapoter F8 jusqu’attend de voir un écran noir avec une petite ligne blanche dans le haut gauche de l’écran! Ça va prendre près d’une minute (tout dépend du système que tu as) avant de voir les choix, prend le premier en haut… **Mode Sans Échec** Tu n’as pas accès à internet en MSÉ. Cette dernière opération tu devras la faire après chaque scan car il faut redémarrer ton PC après chaque scan en MSÉ! Voilà la raison pour laquelle il faut imprimer le tutorial! 1er scan avec CCleaner… Le fonctionnement de CCleaner… Une fois le prog. ouvert! Clic sur le 1er bouton (Nettoyage) sur ta gauche, ensuite, **analyse**, sur la droite en bas - Une fois terminer tu clic sur **Lancer le nettoyage** - Ensuite tu clic sur le bouton **erreurs** sur ta gauche. & sur ta droite en bas sur celui **chercher des erreurs** - Une fois terminer clic sur le bouton en bas à droite **réparer les erreurs sélectionnées** - Une fenêtre va s’ouvrir, clic sur **oui** (C’est pour un backup.) Une autre fenêtre va s’ouvrir, clic sur le bouton **Corriger toutes les erreurs....** Une autre fenêtre va s’ouvrir et tu clic sur ok. - ***Refais cette dernière opération tant qu’il trouve de quoi. Cela peu prendre 2, 3 coups…*** Clic sur **outil** – Ensuite, **Démarrage** tu as tout ce dont tu as besoin pour empêcher de démarrer un prog en même temps que Windows (certains sont perspicace;o) – Si tu vois encore le fameux, CTFMON.EXE, surligne le en cliquant droit dessus – Ensuite, clic **Effacer l’Entrée** - Une fenêtre va s’ouvrir, clic, ok – Juste en haut de **Démarrage**, tu as la fonction de **Programmes de désinstallations**, c’est la même chose que mais tu peux voir des prog avec CCleaner que tu ne verras pas avec Windows!! Tu peux fermer CCleaner maintenant! Reboot en mode sans échec ton pc avant de passer au suivant! 2ièm scan avec Spybot S&D… Maintenant, une fois le prog. ouvert, tu clic sur le 1ier icône sur ta droite qui est, **Search & Destroy** - Ensuite tu clic sur la loupe **Vérifier tout** - Une fois terminer il te reste plus qu’à **corriger les problèmes**, donc tu clic sur le 2ième bouton, sur le tableau de droite, et comme d’habitude dans la fenêtre qui va s’ouvrir tu clic sur OK.- Maintenant, tu clic sur le 3ième icône, **Vaccination**, une fenêtre va s’ouvrir, clic sur OK. - Dans la page d’en dessous tu vas voir un carré, coche le (s’il ne l’est pas) et juste en haut tu vas voir un icône avec un gros + vert écrit **Vaccination** clic dessus. Ce que ça fait, c’est bloquer toute les entrées pour ce qu’il vient de supprimer. Voilà, tu viens de régler un bon problème…! Reboot en mode sans échec ton pc avant de passer au suivant! 3ièm scan avec AVG Anti Spyware Maintenant, dans l’onglet , un onglet (Le premier) y est, clic dessus et dans cet onglet tu clic sur la première ligne qui est **Analyse complète du système** - Une fois terminé, **enregistre le rapport sous** - Sur ton bureau, ce sera plus facile d’accès pour un copie/coller du log ici. Le bouclier résident n’est pas fonctionnel en mode sans échec… C’est normal! Reboot en mode sans échec ton pc avant de passer au suivant! 4ièm scan avec Norton… Est t’il bien paramétré? (Pour supprimer ce qu’il trouve et non mettre en quarantaine) Tu sais comment faire? Fait le scan et après enregistre le log sur ton bureau! Ensuite, va ds la section et supprime tous ce qui s’y trouve, sans exception! Reboot en mode **normal** ton pc avant de passer au suivant! Pour le 5ièm scan, va sur Bit Defender pour un scan en ligne… Avec IE https://www.bitdefender.fr/ Sur ta gauche un peu plus bas, tu as d’écrit (carré rouge) clic dessus et une nouvelle fenêtre va s’ouvrir – Dans cette fenêtre, clic sur Tu vas devoir installer un ActiveX, accepte le. Et juste avant de faire le scan il va y avoir un onglet prénommé **Scanning Option** – Ds ce paragraphe

foufoul · Answer

Salut. Je voulais d'abord te dire merci, j'ai déjà utilisé AVG, CCleaner et spybot tel que tu l'avais recommandé à Anjeme. Ca m'avait signalé qu'il n'y avait plus aucun probleme mais je vais qd meme suivre ton tutorial à la lettre pour etre sur d'etre débarassé de tout.
Sinon voila les réponses à tes questions


1- Combien de gens on accès au pc et s'il y en a d’autre à part toi, ont t’ils leurs propre login, donc, leurs propre accès au pc? (User) Ou, ils ont le même accès que toi? (Même login) 
Il s'agit de mon lap top donc mis à part moi personne ne l'utilise, et donc un seul login, le mien. En revanche, j'ai une connexion internet via le WiFi de ma résidence universitaire, lequel n'est pas protégé


2- Google Gmail… Est-ce ton logiciel de courriel primaire? 
j'ai une adresse gmail (parmis d'autres) et du coup on m'a conseillé une application qui se lance au démarrage de windows et qui me signale directement dans la barre des taches si j'ai recu un mail.

3- Asus! Tu peux m’expliquer clairement c’est quoi? J’ai beau allé sur leur site mais je ne comprends pas la liaison de ce que je vois dans ton pc (le prog que tu as) et ce que j’ai vus sur leur site. J’ai lus aussi sur ce forum (CCM) que ton problème (peut être/est) en partie à cause de Asus ou plus précisément le prog Splendid. 
Asus est la marque de mon lap top. J'ai un modèle Asus Z53Jseries. Et j'ai donc à chaque démarrage de Windows un programme qui se lance "asus live update" et qui n'a jamais marché ni servi à quoi que ce soit, soit dit en passant. Pour revenir à Splendid dont tu parles, c'est en effet un prog qui se lance à chaque démarrage, mais je ne sais pas trop c'est quoi. En tout cas, c'est un programme qui était déjà installé à l'achat de mon PC(neuf). En tout cas, je crois que c'est un programme qui gere l'affichage

4- Norton c’est ton Anti virus (si tu l’as payé, je suis désolé pour toi!) As-tu un Anti spyware (mise à part Avg, si tu l’as installé la dernière fois)? 
J'ai renouvelé mon abonnement Norton en aout, il est donc mis à jour quotidiennement, et niveau anti spyware, je n'ai que ceux que tu m'as recommandé l'autre jour

5- As-tu un Firewall (Parefeu)? Mise à part celui de Windows... Si non, télécharge et installe celui ci. (Zone Alarm) C’est la version gratuite! Regarde sur ta droite, tu y verras un rectangle écrit dedans… Téléchargement gratuit… https://www.zonealarm.com/ 
Et pour t’aider à le paramétrer… Config du firewall ZA 
zonealarm 
J'ai le firewall de Norton


Merci beaucoup, je vais suivre tes instructions dès maintenant. Je pense que je posterai pas les résultats avant ce soir car je donne un cours dans l'après midi et j'ai des petites choses a faire au centre ville mais je ferai le plus vite possible. 
a plus

TropJean · Answer

Salut Foufoul,

Merci pour les réponses. Même si les nouveaux programmes que tu as installés ne détectent rien… Vaut mieux prévenir que guérir…!

Voici la suite…

1- Combien de gens on accès au pc…
<Il s'agit de mon lap top donc mis à part moi personne ne l'utilise, et donc un seul login, le mien. En revanche, j'ai une connexion internet via le WiFi de ma résidence universitaire, lequel n'est pas protégé> Assure toi que ton firewall est bien fonctionnel ainsi, qu’anti virus/spyware…

2- Google Gmail… Est-ce ton logiciel de courriel primaire?...
<j'ai une adresse gmail (parmis d'autres) et du coup on m'a conseillé une application qui se lance au démarrage de windows et qui me signale directement dans la barre des taches si j'ai recu un mail.> Comme Mirc… Côté pratique c’est bien… Côté sécurité… Pas très bon!!! Aussitôt que tu as une faille ds un de tes prog, tu donnes la chance à un intrus de pénétrer ds ton portable!!!! Tu auras ce que tu voudras comme anti virus/spyware, firewall. Ils vont y pénétrer pareil… Si je serais toi je désinstallerais tout ça et passerais par le site de Google pour avoir accès à mes courriels. Mon avis, pour la protection de ton portable! Je ne veux pas ton Email… Mais si tu me le donne, je peux te prouver que je suis en moins de 2 ds ton portable malgré ta protection!!!! Ce n’est pas sécuritaire…

3- Asus! Tu peux m’expliquer clairement c’est quoi?...
<Asus est la marque de mon lap top. J'ai un modèle Asus Z53Jseries. Et j'ai donc à chaque démarrage de Windows un programme qui se lance "asus live update" et qui n'a jamais marché ni servi à quoi que ce soit, soit dit en passant. Pour revenir à Splendid dont tu parles, c'est en effet un prog qui se lance à chaque démarrage, mais je ne sais pas trop c'est quoi. En tout cas, c'est un programme qui était déjà installé à l'achat de mon PC(neuf). En tout cas, je crois que c'est un programme qui gere l'affichage> Nous allons empêcher Asus de démarrer à l’ouverture de Windows. "Asus live update" C’est un prog d’update pour ta carte mère (bios) https://forum.hardware.fr/hfr/Hardware/carte-mere/asus-live-update-sujet_528486_1.htm Regarde les postes 16 & 18 (il faut que tu les comptes, ils ne sont pas numéroté!) Tu as les manip pour faire la mise à jour nécessaire… Tu n’en as pas besoin au démarrage, puisqu’il ne fait pas ses mises à jour seul…! – Pour Splendid, c’est sensé d’être pour améliorer la qualité des vidéos… De ce que j’ai lus, ce n’est pas très pratique ds le sens où il ne fait pas le travail demandé… Va lire… http://www.infos-du-net.com/forum/149148-6-asus-splendid-technology Tu peux exécuter la manip (qui est incluse) pour l’empêcher de démarré son exécution!

4- Norton c’est ton Anti virus…
<J'ai renouvelé mon abonnement Norton en aout, il est donc mis à jour quotidiennement, et niveau anti spyware, je n'ai que ceux que tu m'as recommandé l'autre jour> Rien à dire mise à part de t’assurer qu’il est vraiment à jour!

5- As-tu un Firewall (Parefeu)?...
<J'ai le firewall de Norton> Rien à dire mise à part de t’assurer qu’il est vraiment à jour!

Maintenant, voici le reste de ce qu’il a à faire avec HJT…

Reboot en **mode sans échec** ton portable!

Maintenant, ouvre HJT – Clic Do a scan only – Coche ces lignes… - Une fois fait, clic Fix checked – Si tu as fais les manip des forums où je t’ai envoyé, certaines de ces lignes peuvent ne plus être là…

O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe c:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [ACMON] C:\Program Files\ASUS\Splendid\ACMON.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

Pour les prog que l’on vient d’empêcher de démarrer à l’ouverture de Windows, ils sont tous fonctionnel au moment où tu en auras besoin… Ils ne sont pas supprimés de ton portable! Je crois que c’est important que tu le saches ;o)

Celle-ci par contre… Supprime la!!!
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/

Une fois fait, clic Fix checked

Reboot en **mode sans échec** ton portable!

Refais un nouveau scan HJT et enregistre le rapport sur ton bureau. Et poste le lui aussi à la suite des autres… Merci!

Comme tu as Firefox, je te suggère fortement d’y faire une mise à jour et t’en que tu as accès aux sites internet avec Firefox, utilise le. Plus stable, plus sécuritaire, beaucoup moins de popups (pour ne pas dire pas du tout) et sérieusement plus pratique que IE. Les Hackers le recommande, c’est pour dire !!! Certains sites internet sont encore configurés à l’ancienne, (en pixel pour IE), comparativement à Firefox (en %). Certains Webmaster ne sont pas à jour et on les appels des Webmaster!!! Non mais…

<Merci beaucoup,> Merci à toi de me faire confiance ;o)

<Je vais suivre tes instructions dès maintenant. Je pense que je posterai pas les résultats avant ce soir car je donne un cours dans l'après midi et j'ai des petites choses a faire au centre ville mais je ferai le plus vite possible.> Je te dis tes propres paroles… Inutile de te surcharger de travail ;o)

Bonne journée (ou soirée)

À:\+

TropJean ;o)

foufoul · Answer

Salut, j'ai fait tout ce que tu m'as recommandé, et en effet le démarrage est plus rapide, merci du tuyau. J'ai viré les toolbars et gmail notifier, etc... Question virus, mon ordi est clean, j'ai refait les scans et les rapports m'affichent aucun probleme, un grand merci.
Seul petit hic, c'est que les boutons de lancement rapide de mon clavier sont devenus inactifs, ainsi que la touche "fn" de mon clavier (entre Ctrl gauche et la touche windows). Du coup je peux plus regler le volume ou la luminosité sans passer par les menus. Est ce que ca peut s'arranger? Parce que je me demandais si ca ne venait pas de la suppression des "ctfmon"?
Merci pour ton aide
foufoul

foufoul · Answer

J'ai oublié de te dire dans le précédent post que je n'ai pas encore effectué le dernier hijack. Je voulais te poser quelques questions avant à propos des lignes suivantes.

Maintenant, ouvre HJT – Clic Do a scan only – Coche ces lignes… - Une fois fait, clic Fix checked – Si tu as fais les manip des forums où je t’ai envoyé, certaines de ces lignes peuvent ne plus être là…

O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe c:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [ACMON] C:\Program Files\ASUS\Splendid\ACMON.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

Pour les prog que l’on vient d’empêcher de démarrer à l’ouverture de Windows, ils sont tous fonctionnel au moment où tu en auras besoin… Ils ne sont pas supprimés de ton portable! Je crois que c’est important que tu le saches ;o)

A propos des 4 lignes en gras, j'ai compris que ca ne les supprimme pas, mais ca les désactive au démarrage. Power 4 gear, c'est ce qui me permet de choisir le mode d'alimentation de mon pc quand je suis sur batterie (éco d'energie, pleine puissance, etc...) et je m'en sers donc bcp donc est-ce vraiment nécessaire de l'empecher de démarrer seul?
Sinon les 3 autres, je crois qu'elles sont liées à ma carte Wi Fi, hors encore une fois, j'apprécie pas mal le fait que la connexion s'etablisse automatiquement au démarrage de windows. Donc là encore, meme question...

merci de ta patience et a+

TropJean · Answer

Salut Foufoul,

Réponse au poste 10...

Tu fais comme suit…
Panneau de configuration - Options régionales et linguistiques - Langues - Détails - Barre de langue - Décocher la case **Arrêtez les services de texte avancés**  - Clic Ok - Reboot ton portable et si tes fonctions de clavier (mentionné) son revenus, ton prob est réglé... Mais...

Pour être bien franc avec toi... Ça n'a jamais fait ça avec mon clavier et je les est tous désactivé ("ctfmon"). J'ai un clavier avec les mêmes particularités que les tiennes!! C'est sûrement pas ça, mais essais ce qui est plus haut et tu vas voir... De mon côté je fais des recherches sur ton 1er log HJT pour voir si je ne m'aurais pas trompé qlq part... Je ne détiens pas la vérité absolus mais... Donne moi des nouvelles sur ce!

Réponse au poste 11...

Power 4 gear, c'est ce qui me permet de choisir le mode d'alimentation de mon pc quand je suis sur batterie (éco d'energie, pleine puissance, etc...) et je m'en sers donc bcp donc est-ce vraiment nécessaire de l'empecher de démarrer seul? À ce moment là, non. Garde le actif! 
Sinon les 3 autres, je crois qu'elles sont liées à ma carte Wi Fi, hors encore une fois, j'apprécie pas mal le fait que la connexion s'etablisse automatiquement au démarrage de windows Si c'est un besoin essentiel au même titre que tes protections, laisse le actif aussi, au démarrage de Windows!

Pour le reste... Ça ma fait plaisir de t'aider et si tout est clean, fait pour le garder clean... ;o)

Je passe le reste du Week End avec ma mère... Je suis en poste dimanche soir (Heure du Canada) pour continuer à t'aider...

J'attend de tes nouvelles sur le CTFMON

Bon Week End

À:\+

TropJean ;o)

foufoul · Answer

Salut Tropjean

bon, j'ai fait la manip que tu m'as suggéré mais le probleme clavier persiste. En fait j'arrive encore à regler la luminosité mais pas le reste... Enfin ce n'est pas bien grave apres tout, c'etait juste une question de confort. ca n'altere en rien le fonctionnement du pc qui est bien meilleur qu'avant grace à ton aide.
a+
foufoul

TropJean · Answer

Salut Foufoul,

Tout le plaisir à été pour moi...

Si jamais tu as un autre pépin ou même une question, souvient toi de C-C-M Le Forum. Nous serons tjrs là pour t'aider...

Prend soin de ton portable... Il te le rendra bien ;o) 

P.S.; Si tu réponds une dernière fois, est ce possible de placer ton poste sur ''Problème Résolu''? Merci! 

AU:\+SIR

TropJean ;o)

matango · Answer

Salut,

Je suis un profane de la chose informatique et mon ordi est infecte par infostealer gampass. Norton na rien pu faire et me dit que le fichier corrompu est /windows/system32/kb1111p.dll.
C est grave? que faire?

Merci d avance

dede

Osecours · Answer

Bonjour Tropjean,
j'ai le même problème qu'Anjeme avec Infostealer.gambpass. J'ai suivi tes instructions mais je n'ai pas réussi à le supprimer de mon ordi. voici le log avec HijackThis..
je te remercie d'avance pour ton aide, ça fait 3 jours que je m'arrache les cheveux avec ça...

Osecours · Answer

avec le log c'est mieux :-)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:30:39, on 23/01/2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet.spim.jussieu.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par le Laboratoire SPIM
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://intranet.spim.jussieu.fr/
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = spim.jussieu.fr
O17 - HKLM\Software\..\Telephony: DomainName = spim.jussieu.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{949793BA-B57D-42C3-976D-CF678931CCF5}: NameServer = 134.157.234.1,134.157.0.129
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = spim.jussieu.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = spim.jussieu.fr
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/jilani/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

TropJean · Answer

Salut Osecours

Pour commencer voici des mises à jour à faire… Pour avoir une meilleure protection les mises à jour sont essentielles et à faire régulièrement!

Tu as IE6 et MS est rendu à IE7. Même si il y a mieux que IE, il faut faire la mise à jour pour plus de sûreté! https://support.microsoft.com/fr-fr/allproducts

Pour Java, la version 1.6.03 est sortie. Tu as la version 1.6.01 https://www.java.com/fr/download/

4 Questions…

Trojan Remover : Tu as acheté le logiciel ou tu es encore sur le ‘’trial’’?

Si tu es encore avec le ‘’trial’’, je te suggère de le désinstaller et d’installer AVG Anti Spyware… Lui aussi a un 30 jours d’essai mais est toujours fonctionnel après les 30 jours. Les mises à jour ne se font plus automatiquement. Tu auras à faire les mises à jour manuellement… http://www.avgfrance.com/doc/downloads-products/fr/crp/0?prd=triasw

Norton est ton Anti Virus! Mais a-t-il les propriétés d’Anti Spyware et/ou de FireWall/PareFeu?

As-tu acheté Norton ou c’est un ‘’trial’’?

Si Norton n’est pas ton FireWall, mise à part celui de Windows, en as-tu un autre?

Si non, voici ZoneAlarm le meilleur FireWall gratuit! http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm Il désinstalle Windows (aucune action de ta part) et vérifie tout ce qui entre et sort de ton Pc par ta connexion internet. Windows le fait d’un sens seulement… Ce qui entre!!! Après 2 ou 3 séances sur le net, ZoneAlarm sera ajusté et ne t’embêtera plus, sauf s’il y danger ;o)

Maintenant la procédure à suivre!

Clic Démarré – Panneau de control – Ajout/Supp - Recherche Yahoo! Et désinstalle le (Toutes toolbar/Barre de recherche rajouté à un navigateur internet n’est pas sécuritaire) – C’est tout!

Si tu veux être mieux protéger quand tu ‘’surf’’ garde IE pour certains sites… Mais si tu n’as pas encore FireFox c’est le temps de l’installer…
http://www.mozilla-europe.org/fr/products/firefox/ Sérieusement plus stable, plus sécure et un vrai Popup Blocker! Plus besoin de Toolbar dorénavant!

Et en installant IE7 cela va aider aussi ;o)

Une fois terminé tout ce qui est en haut…

Maintenant, **SUIT** cette directive **à la lettre**

1- Autorise l'affichage des fichiers et dossiers cachés, fais comme suit…
Poste de travail menu Outils - Option des dossiers onglet Affichage - Cocher Afficher les Fichiers et dossiers cachés – Décocher - Masquer les fichiers protégés du système d'exploitation (recommandé) – Décocher - Masquer les extensions dont le type est connu - Clique sur **Appliquer et Ok** pour valider les changements. Enregistre ces paragraphes (1-2) qlq part dans tes dossiers, il va falloir faire le contraire après les scans. Pour remettre le tout comme au début!

2- Scan ton Pc avec CCleaner…
Le fonctionnement de CCleaner… Une fois le prog. ouvert!
Clic sur le 1er bouton (Nettoyage) sur ta gauche, ensuite, **analyse**, sur la droite en bas - Une fois terminer tu clic sur **Lancer le nettoyage** - Ensuite tu clic sur le bouton **erreurs** sur ta gauche. & sur ta droite en bas sur celui **chercher des erreurs** - Une fois terminer clic sur le bouton en bas à droite **réparer les erreurs sélectionnées** - Une fenêtre va s’ouvrir, clic sur **non** (C’est pour un backup. Pas nécessaire) Une autre fenêtre va s’ouvrir, clic sur le bouton **Corriger toutes les erreurs....** Une autre fenêtre va s’ouvrir et tu clic sur ok. - ***Refais cette dernière opération tant qu’il trouve de quoi. Cela peu prendre 2, 3 coups…***

Reboot en mode sans échec ton pc avant de passer au suivant!

3- Maintenant, ouvre HJT
Clic Do a scan only – Coche ces lignes… - Une fois fait, clic Fix checked – Certaines de ces lignes peuvent ne plus être là…

Celles-ci ne devraient plus y être mais si elles y sont tu les coches aussi.
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

Celle-ci ne devrait plus y être mais si elle y est tu la coches aussi.
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll

Celle ci, si tu ne sais pas ce que c’est, coche la aussi!
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/jilani/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
La photo devrait être sur ton bureau!

4- Une fois terminée, redémarre normalement et va sur https://www.bitdefender.fr/ (avec IE) et fais un scan en ligne…

Sur ta gauche un peu plus bas, tu as d’écrit <scan online> (carré rouge) clic dessus et une nouvelle fenêtre va s’ouvrir – Dans cette fenêtre, clic sur <I agree> Tu vas devoir installer un ActiveX, accepte le. Et juste avant de faire le scan il va y avoir un onglet prénommé **Scanning Option** – Ds ce paragraphe <Select what you want to check for viruses> clic sur <click here> – Ds la nouvelle fenêtre tu vois tout ce que BitD. Scan ds ton PC – Tous doivent être coché – Click OK – Tjrs ds **Scanning Option**, tu as <Settings>, clic sur <click here>. Ds cette fenêtre tu as <scanning option>, tous doivent être coché – Ds <action option>, coche <desinfect> – Ensuite, coche <second action> et <delete> et clic OK – Tu es prêt pour le scan maintenant, clic sur <click here to scan>! Ça peut être long, mais combien efficace! À la fin du scan, enregistre le rapport sur ton bureau.

Reboot en mode sans échec ton pc avant de passer au suivant!

5- Et refait moi un dernier scan avec HJT mais avec save logfile Enregistre le rapport sur ton bureau. Redémarre normalement et poste moi les rapports comme suit…

Bit Defender et ensuite HJT. Delà, je vais voir ce qui reste à faire…

Répond moi aux 4 questions et dis moi ce qui en est des résultats…

En passant… Tu étudies ou tu travailles en médecine?

À:/+

TropJean ;o)

patrickbl1 · Answer

même problème voici mon scan 
besoin d'aide svp 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:04:00, on 2008-12-14
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\Dwm.exe
C:\hp\support\hpsysdrv.exe
C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\system32\schtasks.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\Common Files\Pure Networks Shared\Platform
mctxth.exe
C:\Program Files\Pure Networks\Network Magic
mapp.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files\Search Settings\SearchSettings.exe
C:\Windows\System32undll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Memeo\AutoBackup\MemeoBackup.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\jusched.exe
C:\Program Files\Memeo\AutoSync\MemeoAutoSync.exe
C:\Program Files\Brother\Brmfcmon\BrMfimon.exe
C:\Program Files\Common Files\Symantec Shared\SecurityHistory\mcui32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\hp\kbd\kbd.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Lisa\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://outlook.live.com/owa/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.broadcom.com/support/security-center
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {CFEE97A3-4911-444D-8BE8-E243A23D3DE2} - C:\Program Files\Applications\iebt.dll (file missing)
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
O3 - Toolbar: Afficher Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE
O4 - HKLM\..\Run: [OsdMaestro] "C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [SunJavaUpdateReg] "C:\Windows\system32\jureg.exe"
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Hard Disk Sentinel] C:\Program Files\Hard Disk Sentinel\HDSentinel.exe
O4 - HKLM\..\Run: [nmctxth] "C:\Program Files\Common Files\Pure Networks Shared\Platform
mctxth.exe"
O4 - HKLM\..\Run: [nmapp] "C:\Program Files\Pure Networks\Network Magic
mapp.exe" -autorun -nosplash
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\Applications\iebtm.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Memeo AutoBackup Launcher.lnk = ?
O4 - Startup: Memeo AutoSync Launcher.lnk = C:\Program Files\Memeo\AutoSync\MemeoLauncher.exe
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ierenewals.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ierenewals.com/redirect.php (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\Program Files\Druide\Antidote\Internet Explorer\7\Antidote K - IE 7.htm (HKCU)
O9 - Extra button: Dictionnaires - {F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - C:\Program Files\Druide\Antidote\Internet Explorer\7\Antidote D - IE 7.htm (HKCU)
O9 - Extra button: Guides - {FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - C:\Program Files\Druide\Antidote\Internet Explorer\7\Antidote G - IE 7.htm (HKCU)
O13 - Gopher Prefix: 
O18 - Protocol: intu-ir2007 - {52BAEC6B-9405-46F9-A131-6D50720A3CC4} - C:\Program Files\ImpotRapide 2007\ic2007pp.dll
O23 - Service: Planificateur LiveUpdate automatique (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\Windows\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: lmab_device -   - C:\Windows\system32\LMabcoms.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pure Networks Net2Go Service (nmraapache) - Pure Networks, Inc. - C:\Program Files\Pure Networks\Network Magic\WebServer\bin
mraapache.exe
O23 - Service: Pure Networks Platform Service (nmservice) - Pure Networks, Inc. - C:\Program Files\Common Files\Pure Networks Shared\Platform
msrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Charlo · Answer

se virus est pas mal plus intelligent que vous !!

Tres bien fait ,il utilise plusieurs vulnérabilité de Windows.

exemple : la fonction autoexécute.(lorsque tu met un cd par exemple)

http://www.microsoft.com/security/portal/Entry.aspx?name=Worm%3aWin32%2fTaterf.B

pour bien le compare il faut connaitre son ennemie 

1: tout d'abord, il 'installe dans explorer.exe
2: il se copy sur tout les disques c d e f g h (clé usb incluse) et cree un auto exécute
3:désactive certain anti virus
4:il modifie les option des dosier pour que vous ne puisier plus voir les fichier cacher et les fichier protéger par windows

Charlo · Answer

Jai moi mémé attraper ce virus ,je lais détecter par moi mémé car je nais aucun antivirus .
lors de l'utilisation de ma clé usb jai vue un fichier autorun apparaitre et disparaitre.
jai regarder le contenue et fait des recherches (google) .
https://www.symantec.com?md5=af5e5d4af3655e16af64d77188f275ea

je ne sait qui y a plusieurs antivirus qui le détecte.
Mais je ne sait pas si l'un d'entre eux le corrige correctement.
Alors pour éliminer je compte bien utiliser toute les moyen nécessaire.

1: avoir un ordi avec linux pour nettoyer mes cle usb, disque dur externe car il sest copier sur tout les disque et s'autoexecute
2: formater le plus de partition possible (minimum celle qui contient windows)
3: retirer toute forme d'alimentetion de mon ordinateur pour une période indéterminer.


et pour terminer voici quelque conseil a suivre pour ne pas ravoir ce genre de virus !

Take the following steps to help prevent infection on your system:

    *
      Enable a firewall on your computer.
    *
      Get the latest computer updates for all your installed software.
    *
      Use up-to-date antivirus software.
    *
      Use caution when opening attachments and accepting file transfers.
    *
      Use caution when clicking on links to web pages.
    *
      Avoid downloading pirated software.
    *
      Protect yourself against social engineering attacks.

Infostealer.gampass

21 réponses

Votre réponse

Newsletters