virus dès l'installation de windows XP! Résolu

Question

bonjour, 

J'ai du reinstaller windows xp sur mon ordinateur portable. quelques heures après la reinstallation des virus apparaissent dans le dossier system 32, des messages spyware disan de telecharger un antivirus a l'adresse www.registrycleanerxp.com ou des messages systemes d'erreur fatales qui forcent l'ordinateur a s'eteindre au bout d'un compte a rebours .

Voici mon raport de HijackThis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 01:11:46, on 07/04/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\PROGRA~1\LAUNCH~1\CPLFL32.EXE
C:\Program Files\Aspire Arcade\PCMService.exe
C:\Program Files\CRW\shwicon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\François\Bureau\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer.com/worldwide/selection.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLFL32.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] "C:\Program Files\CRW\shwicon.exe" -t"Chander\CRW Series Driver v1.17r019"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe



Quelle ligne dois-je fixer?

Merci d'avance pour votre aide!

lhionna · Answer

Bonsoir je m'occupe de ton cas !
Laisse moi le temps d'analyser ton rapport d'hijackthis pour verifier 2 ou 3 petites choses ! sinon t'inquiète pas c'est pas bien méchant et c'est plutot facile de s'en débarrassé pour ce qui concerne les pubs
par contre pour le compte a rebours c'est moins facile !
peut tu me dire ce qu'il y a d'ecrit dans la fenetre de compte a rebours surtout le nom du fichier responsable du compte a rebours

pour désactivé ce compte a rebours le temps de pouvoir nettoyer, il faut que tu fasses ceci :

Menu démarrer -> Exécuter -> Taper: SHUTDOWN -a 
et valider par Enter (Return)

Regis59 · Answer

Salut

Tu peux vérifier ceci?

•	Démarrer
•	Panneau de configuration 
•	Outil d’administration
•	Services 
•	Cherche Affichage des Messages 
•	Clique droit dessus puis propriété 
•	Dans le menu déroulant, Mettre « Désactivé », Plus bas dans la fenêtre tu mets « Arrêter »
•	Applique

A+

Mani · Answer

Voici le rapport AVG:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	16:59:06 07/04/2007

 + Résultat de l'analyse:	



HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
:mozilla.35:C:\Documents and Settings\François\Application Data\Mozilla\Firefox\Profiles\l97x9r0m.default\cookies.txt -> TrackingCookie.247realmedia : Ignoré.
:mozilla.39:C:\Documents and Settings\François\Application Data\Mozilla\Firefox\Profiles\l97x9r0m.default\cookies.txt -> TrackingCookie.247realmedia : Ignoré.
:mozilla.40:C:\Documents and Settings\François\Application Data\Mozilla\Firefox\Profiles\l97x9r0m.default\cookies.txt -> TrackingCookie.247realmedia : Ignoré.
:mozilla.41:C:\Documents and Settings\François\Application Data\Mozilla\Firefox\Profiles\l97x9r0m.default\cookies.txt -> TrackingCookie.247realmedia : Ignoré.
:mozilla.42:C:\Documents and Settings\François\Application Data\Mozilla\Firefox\Profiles\l97x9r0m.default\cookies.txt -> TrackingCookie.247realmedia : Ignoré.
C:\Documents and Settings\François\Cookies\françois@247realmedia[1].txt -> TrackingCookie.247realmedia : Ignoré.
:mozilla.52:C:\Documents and Settings\François\Application Data\Mozilla\Firefox\Profiles\l97x9r0m.default\cookies.txt -> TrackingCookie.2o7 : Ignoré.
C:\Documents and Settings\François\Cookies\françois@2o7[1].txt -> TrackingCookie.2o7 : Ignoré.
C:\Documents and Settings\François\Cookies\françois@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Ignoré.
:mozilla.6:C:\Documents and Settings\François\Application Data\Mozilla\Firefox\Profiles\l97x9r0m.default\cookies.txt -> TrackingCookie.Atdmt : Ignoré.
:mozilla.43:C:\Documents and Settings\François\Application Data\Mozilla\Firefox\Profiles\l97x9r0m.default\cookies.txt -> TrackingCookie.Doubleclick : Ignoré.
C:\Documents and Settings\François\Cookies\françois@estat[1].txt -> TrackingCookie.Estat : Ignoré.
:mozilla.64:C:\Documents and Settings\François\Application Data\Mozilla\Firefox\Profiles\l97x9r0m.default\cookies.txt -> TrackingCookie.Smartadserver : Ignoré.
:mozilla.65:C:\Documents and Settings\François\Application Data\Mozilla\Firefox\Profiles\l97x9r0m.default\cookies.txt -> TrackingCookie.Smartadserver : Ignoré.
:mozilla.66:C:\Documents and Settings\François\Application Data\Mozilla\Firefox\Profiles\l97x9r0m.default\cookies.txt -> TrackingCookie.Smartadserver : Ignoré.
C:\Documents and Settings\François\Cookies\françois@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Ignoré.
:mozilla.63:C:\Documents and Settings\François\Application Data\Mozilla\Firefox\Profiles\l97x9r0m.default\cookies.txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\François\Cookies\françois@weborama[2].txt -> TrackingCookie.Weborama : Ignoré.


Fin du rapport



ET voici pour Navilog:

Search Navipromo version 1.1.3 commencé le 07/04/2007 à 16:58:33,46
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\Fran‡ois\Bureau
avilog1
Mise a jour le 31.03.2007 a 08h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Fran‡ois\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 04/07/07 at 16:58:34.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .............
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 04/07/07 at 16:58:51 (return code = 0).


*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 
 
 
*** Analyse Terminé le 07/04/2007 à 16:58:59,81 *** 




J'ai fait avant tout ca un petit nettoyage avec Spybot, et ni avast ni Bitdefender n'ont trouvé quoique ce soit. J'ai aussi installé Zone Alarm aussi.
Tout semble être rentré dans l'ordre, je n'ai même pas eu besoin de désactiver l'affichage (à moins qu'il n'y ait qque chose de suspect dans les rapports ci-dessus!) , je croise les doigts...Merci pour votre aide en tt cas!

lhionna · Answer

Tu as installé un ativirus et un parefeu ? ( un antivirus en ligne est utile de temps en temps mais ne t'assure pas une protection suffisante et efficace)

Attention, 2 antivirus ensemble peuvent se nuire !

Tu as installé un firewall ? très important afin d'eviter les intrusions !

ensuite fait ceci :
Télécharge CCleaner
 
ftp://ftp.commentcamarche.com/download/ccsetup137.exe
(lors de l'installation pense a décocher la case d'installation de la barre d'outils yahoo)
  Installe le

  Lance le

guide d'utilisation : https://www.malekal.com/tutoriel-ccleaner/

dune · Answer

MOn pc portable st bloqué suite à l'installation de registrycleanerxp key32.com, j'avais pleins de message d'alerte et je me suis laisser avoir. Maintenant tous mes programmes sont bloqués sur "ouvrir avec", je ne peux rien faire, rien désinstaller ni installer??? aidez-moi.

Regis59 · Answer

Salut

Crée ton propre poste.
Pour ton soucis, demarre en sans echec et desinstalles le.

A+

coutureee · Answer

Bonjiour jai un message ki maparais toujours et qui me dit daller sur cleanerxp.com quelque chosse comme sa .. Je me suis di que c'est surment une atrape pour un virus .. Jaimerais ke vous minformer commen eliminer ce problem et si jai raison de penser que c'est un virus

Merci

Regis59 · Answer

Crée ton propre poste

A+

Virus dès l'installation de windows XP!

8 réponses

Votre réponse

Newsletters