[virus] totour.exe Résolu/Fermé

Question

Bonjour tout le monde, je suis nouveau et je suis nul mais vraiment nul en informatique.
J'ai un probleme avec totour.exe.
Mon antivirus (AVG) me detecte tourjours ce virus.
J'ai essayé de supprimer les fichiers totour.exe et cp1041.nls (que j'ai vu sur d'autre forum) mais je ne les trouvent pas.
Quelqu'un peut-il m'aider s'il vous plait?

Utilisateur anonyme · Answer

Salut à toi,
Tu t'e ramassé un rootkit....
Essayes ceci:
http://fileinfo.prevx.com/spyware/qq9ffc74625582-TOTO34367007/filesearch.asp
-----------------------------------------------------------------------
j'ai trouvé ceci:

redémarrer en mode sans échec
- effacer cp1041.nls sur c:\
- récupérer un fichier ndis.sys sain (taille 164 ko environ, le corrompu fait 257 ko ?). On peut aussi dupliquer celui qui est contenu dans c:\windows\system32\dllcache si il est sain.
J'en ai trouvé un aussi dans :
C:\WINDOWS\ServicePackFiles\i386

- placer le nouveau ndis.sys sur c:\windows\system32\drivers
- redémarrer en mode normal 
--ma source:
http://66.102.9.104/search?q=cache:udCZ2NWtQzgJ:forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/trojan_et_spywares/totourexe-415549/messages-1.html+totour.exe&hl=fr&ct=clnk&cd=1&gl=fr

*****Dans chaque église, il y a toujours quelque chose qui cloche******

gégé002 · Answer

merci à toi
j'ai essayé le logiciel prevx1 mais j'ai toujours le probleme.
Comment redémarrer en mode sans échec ? ( désolé je suis hyper nul en informatique)

Utilisateur anonyme · Answer

Tapottes F8 au reboot de ta machine, et choisis mode sans échec dans la liste du menu

gégé002 · Answer

j'ai tapé f8 mais j'ai autre chose:
boot menu
select a boot first device
+st3200021a
hl-dt-stdv
int.lan

désolé mon ordi est bizarre

Utilisateur anonyme · Answer

probablement ceci ton unité 0
+st3200021a 
essayes comme ça, sinon le second , le trois, non .

gégé002 · Answer

j'ai trouvé un autre moyen :
Démarrer l'ordinateur en mode sans échec 
Cliquez sur Démarrer > Exécuter. 
Dans la boîte de dialogue Exécuter, tapez le texte suivant : msconfig 
Cliquez sur OK.  
Dans l'utilitaire de configuration système, sur l'onglet BOOT.INI, cochez /SAFEBOOT.  
Cliquez sur OK. 
Lorsque vous êtes invité à redémarrer l’ordinateur, cliquez sur Redémarrer.  

 voila, mais je ne trouve pas de fichier cp1041.nls et mon fichier ndis.sys fait 178ko.

Utilisateur anonyme · Answer

Fais ceci avant la recherche:
http://perso.orange.fr/astwinds/astuces/fichiers_caches.html

gégé002 · Answer

merci mais je l'ai deja fait.
le probleme est qu'il ny a aucune presence du fichier cp1041.nls dans c:\ ou dans l'ordi.
Est ce que le fichier aurait un autre nom?
et avg me met le message que lorsque je connecte internet.

Utilisateur anonyme · Answer

fais la suite---->
écupérer un fichier ndis.sys sain (taille 164 ko environ, le corrompu fait 257 ko ?). On peut aussi dupliquer celui qui est contenu dans c:\windows\system32\dllcache si il est sain.
J'en ai trouvé un aussi dans :
C:\WINDOWS\ServicePackFiles\i386

- placer le nouveau ndis.sys sur c:\windows\system32\drivers
- redémarrer en mode normal 
en prenant la précaution de sauvegarder l'ancien,  ndis.sys.old

gégé002 · Answer

j'ai 2 ndis.sys:
-C:\WINDOWS\system32\dllcache  178ko (182 912 octets)
créé le lundi 16 août 2004, 18:40:46
modifié le  jeudi 5 août 2004, 15:00:00
dernier acces dimanche 8 avril 2007, 18:11:44

-C:\WINDOWS\system32\drivers    178ko (182 912 octets)
créé le lundi 16 août 2004, 18:40:46
modifié le jeudi 5 août 2004, 15:00:00
dernier acces le dimanche 8 avril 2007, 19:02:11

et je n'ai pas de C:\WINDOWS\ServicePackFiles\i386

gégé002 · Answer

j'ai trouvé un "NDIS.SY_" dans C:\WINDOWS\I386
taille 88,2 Ko (90 321 octets)
crée le jeudi 5 août 2004, 15:00:00
modifié le jeudi 5 août 2004, 15:00:00
dernier acces le dimanche 8 avril 2007, 19:11:45

Utilisateur anonyme · Answer

- placer le nouveau ndis.sys sur c:\windows\system32\drivers 
le plus petit m'a l'air sain---->
On va travailler avec celui-ci.

j'ai trouvé un "NDIS.SY_" dans C:\WINDOWS\I386
taille 88,2 Ko (à conserver)
---------------------------------------------------
j'ai 2 ndis.sys: (renommes les deux en old---> ndis.sys.old)
de cette manière une marche arrière est possible, restons prudent !

-C:\WINDOWS\system32\dllcache 178ko (182 912 octets)
créé le lundi 16 août 2004, 18:40:46
modifié le jeudi 5 août 2004, 15:00:00
dernier acces dimanche 8 avril 2007, 18:11:44

-C:\WINDOWS\system32\drivers 178ko (182 912 octets)
créé le lundi 16 août 2004, 18:40:46
modifié le jeudi 5 août 2004, 15:00:00
dernier acces le dimanche 8 avril 2007, 19:02:11 
Essayons pour voir ce ça donne....?

gégé002 · Answer

j'ai fait ce que tu as dit mais je ne pouvais plus activer la connexion( ca marquer echec connexion...)
j'ai tout remis comme avant.
je vais essayer de récupérer le fichier ndis sur un autre ordi et le remplacer.
je te tien au courant.

Utilisateur anonyme · Answer

Message reçu,

façe à se truc, je dois dire que il n'y a pas des masses de soluces...
gardons espoir !

gégé002 · Answer

je l'ai remplacer mais  totour est toujour la.

Utilisateur anonyme · Answer

J e verrais plus clair demain...bonne nuit
a+

gégé002 · Answer

up

gégé002 · Answer

je ne sais pas si il ya un rapport mais je ne peux plus faire de restauration du systeme.

salwa5 · Answer

bonjour je pense que tu as mal restauré le fichier 


1.redemare en mode sans echec (redemarrage + tapotte sans arret sur la touche F8 desque l'ordi s'allume) a l'aide des fleches du clavier choisi mode sans echec

2.affiche les fichier cacher comme ceci : 
clicker sur demarrer/panneau de configuration/option des dossiers/affichage 
Cocher afficher les dossiers cacher 
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 
Puis fais «Ok» pour valider les changements. 

3. va dans poste de travail/lecteur C: et supprime ce fichier cp1041.nls  puis vide la corbeille 

4. va dans C:\WINDOWS\system32\dllcache , copie le fichier ndis.sys 

5.ensuite va dans C:\WINDOWS\system32\drivers\ click droit et choisi coller 

il va te dire que ce fichier existe deja .... choisi remplacé et confirme par ok 


redemare en mode normal et dit nous ce que ca donne

a++++

gégé002 · Answer

-> salwa5
j'ai fait ce que tu as dit mais il n'y a pas de cp1041 dans c:\

Utilisateur anonyme · Answer

re,
merci de ton aide   salwa5,
si tu as des idées...je suis preneur !
-----------------------------------------------------
curieux qu'il te manque : cp1041.nls
à ce sujet fait ceci, avec Explorer, recherches dans c:
cp????.nls
donnes-moi le résultat:


----------------------------------------------
Bien, tu es sortis.
-> salwa5
j'ai fait ce que tu as dit mais il n'y a pas de cp1041 dans c:\
--------------------------------------------------

Télécharges sur ton bureau : 
http://www.malekal.com/download/clean.zip
Une fois sur le bureau.
[list]
# Tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu cliques sur extrait tout ou extraire ici.
Cela va créer un dossier clean.
# Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
# Double-clic sur clean. Cela va ouvrir une fenêtre noire.
# Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
Clean va travailler.
# Un rapport va être généré, colle ici  le contenu entier ici.
[/list] 
--------------------------------------------------------------------

salwa5 · Answer

bonjour :) 

quand tu va dans post de travail/lecteur C: 

tu trouve quoi?

as tu bien restauré le fichier ndis.sys ?

a++++

Utilisateur anonyme · Answer

:)
en attente de gégé...

gégé002 · Answer

-> philo2100
je tape 1 et il memet nom du volume ou repertoire incorect...

Rapport clean par Malekal_morte - http://www.malekal.com 
Option 1, executee le 09/04/2007 a 15:54:30,35 
 
*** Recherche de fichiers sur C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
C:\WINDOWS\smdat32m.sys FOUND 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
C:\WINDOWS\impborl.dll FOUND 
 
"C:\Program Files\Dynamic Toolbar\" FOUND 
"C:\Program Files\Viewpoint\" FOUND 
*** Fin du rapport !

Utilisateur anonyme · Answer

Salut à toi,
1)repasses ton ordi en mode sans échec. 
2) relance le même utilitaire en choississant l'option 2
colles le rapport ici

gégé002 · Answer

voila le rapport:

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Option 2, executee le 09/04/2007 a 16:16:00,93 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression de fichiers sur C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
tentative de suppression de C:\WINDOWS\smdat32m.sys 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
tentative de suppression de C:\WINDOWS\impborl.dll 
 
tentative de suppression de "C:\Program Files\Dynamic Toolbar\" 
tentative de suppression de "C:\Program Files\Viewpoint\" 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport !

salwa5 · Answer

bonjour :) esque avast te detect toujour le virus?

peu tu verifié si tu as bien restauré le fichier 


pour cela va dans

C:\WINDOWS\system32\drivers  

click droit sur ndis.sys / proprietes  verifie si le fichier pese 178 ko

si c'est le cas alors telecharge et execute super antispyware :

https://www.malekal.com/tutoriel-et-guide-superantispyware/ 

si le fichier pese plus de 178 alors il faudera le restauré en mode sans echec 

a++++

gégé002 · Answer

Pour l'instant  AVG ne me signal plus rien!
(je confirmerai après pour vraiment etre sur)

Je veux particulierement vous remercier pour m'avoir aider à regler le probleme.

( j'ai 2 processus qui me prennent plus de mémoire qu'avant:
explorer.exe 20 204ko et svchost 27 748ko
est ce normal?)

gégé002 · Answer

->salwa5
mon ndis est bon (178ko)

Utilisateur anonyme · Answer

je voudrais savoir une chose,
----------------------------------------------

*** Suppression des fichiers dans C:\WINDOWS\
tentative de suppression de C:\WINDOWS\smdat32m.sys

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\impborl.dll

tentative de suppression de "C:\Program Files\Dynamic Toolbar\"
tentative de suppression de "C:\Program Files\Viewpoint\" 
-------------------------------------------------------

regarde si c'est vraimant supprimé ?

salwa5 · Answer

ok alors pas besoin de lancer super antispyware 

pour les lenteurs telecharge hijackthis et colle le resultat ici : 

http://www.infos-du-net.com/telecharger/HijackThis.html 
demo : 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm



a+++

gégé002 · Answer

oui
j'ai trouvé un fichier qui ressemble smdat32a.sys

gégé002 · Answer

->salwa5 

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17:19:06, on 09/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32	cpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\apps\ABoard\AOSD.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jérôme\Bureau\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O2 - BHO: (no name) - {AAD8C23A-9F7F-488E-ADFD-2922346C1E73} - C:\WINDOWS\system32\wmpui32.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Network Proxy (ccProxy) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe (file missing)
O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Unknown owner - C:\Program Files\Norton Internet Security\Norton AntiVirus
avapsvc.exe (file missing)
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: SAVScan - Unknown owner - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe (file missing)
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

salwa5 · Answer

rebonjour  je vois que norton a été mal desinstaller car il apparais sur le raport hijacthis 

donc essay de le viré avec l'outil de symantec 

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924


ensuite ouvre hijacthis coches ces lignes puis clic sur fix checked

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O2 - BHO: (no name) - {AAD8C23A-9F7F-488E-ADFD-2922346C1E73} - C:\WINDOWS\system32\wmpui32.dll (file missing)
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll (file missing)


telecharge et executes 

AVG anti spyware 
 https://www.01net.com/telecharger/

(n'oublie pas de le mettre a jour avant de lancer le scan)


Relance AVG AS puis choisis l'onglet "Analyse" 
Puis l'onglet "Paramètres" 
Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine" 
Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système" 
 
/!\ Si un fichier est infecté en fin d'analyse /!\  
Clique sur "Appliquer toutes les actions "  
 
Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous" 
Enregistre ce fichier texte sur ton bureau ensuite colle le raport ici 


supprime les fichiers inutiles (fichiers temporaire , cookies .. ect avec ceci

Ccleaner
https://www.malekal.com/tutoriel-ccleaner/


a++++

gégé002 · Answer

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	19:28:44 09/04/2007

 + Résultat de l'analyse:	



C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP641\A0065459.exe -> Dropper.Small : Nettoyé.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP641\A0065698.exe -> Dropper.Small : Nettoyé.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP641\A0065709.exe -> Dropper.Small : Nettoyé.
C:\Documents and Settings\Jérôme\Cookies\jérôme@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Jérôme\Cookies\jérôme@advertising[1].txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\Jérôme\Cookies\jérôme@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Jérôme\Cookies\jérôme@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Program Files\eMule\LinkCreator.exe -> Worm.Luder.a : Nettoyé.


Fin du rapport

Utilisateur anonyme · Answer

re,
par rapport à ceci--->smdat32m.sys 

il se trouve où ?
dans 
 C:\WINDOWS\smdat32m.sys 
----------------------------------------------------

*** Suppression des fichiers dans C:\WINDOWS\
tentative de suppression de C:\WINDOWS\smdat32m.sys
je ne vois pas supprimé
*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\impborl.dll
je ne vois pas supprimé

tentative de suppression de "C:\Program Files\Dynamic Toolbar\"
tentative de suppression de "C:\Program Files\Viewpoint\" 
je ne vois pas supprimé
----------------------------------------------------------------------
je voudrais que tu refasses un rapport clean option 1 en mode normal.
j'ai un doute avec ça...
J'aimerai une certitude....

gégé002 · Answer

->philo2100
il me redit la meme chose
nom du fichier ou volume ou repertoire incorect

Rapport clean par Malekal_morte - http://www.malekal.com 
Option 1, executee le 09/04/2007 a 20:54:49,12 
 
*** Recherche de fichiers sur C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
 
*** Fin du rapport !

gégé002 · Answer

j'ai refait un clean en sans echec:

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Option 2, executee le 09/04/2007 a 21:01:40,32 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression de fichiers sur C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport !

Utilisateur anonyme · Answer

Bien apparement il a supprimé, ce qui diffère de certains outils qui eux marquent clairement "supprimé".
Je n'ai plus de doute.
-----------------------------------------
Après une session sur le Net, tu dois toujours nettoyé avec AFT-cleaner,
http://www.atribune.org/ccount/click.php?id=1

l'onglet "windows" + "firefox"
ça t'évitera de ramasser et de garder sur ton PC----->
C:\Documents and Settings\Jérôme\Cookies\jérôme@advertising[1].txt -> TrackingCookie.Advertising
etc.....
-------------------------------------------------------
refaits un log Hjackthis.....
-----------------------------------------

gégé002 · Answer

voila le rapport

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12:34:13, on 10/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32	cpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Documents and Settings\Jérôme\Bureau\pr\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Utilisateur anonyme · Answer

--------------------------------------------------------------------
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll 
-----------------------------------------------------------------------
j'ai un doute sur ces lignes...je cherche des infos...

------------------------------------
tu as activé ceci ?
 	O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
-------------------------------------------------------------------
fais ceci:
télécharge/installes/
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    * Déziper le fichier dans un dossier "smitfraudfix.zip" sur le bureau.

    * Double clic sur l'icône "smitfraudfix.cmd" .
    *  Sélectionnes l'option 1 ( intitulé "recherche" ) +"Enter".
      Enregistrer le log pour pouvoir poster le rapport dans le forum. 





*****Dans chaque église, il y a toujours quelque chose qui cloche******
Je n'ai pas la prétention de résoudre les problèmes, j'essaie simplement de rendre service ;-)

Utilisateur anonyme · Answer

re, à propos de ces 022:
la raison est simple , tu as utilisé une nouvelle version HJT !!!

Logfile of Trend Micro HijackThis v2.0.0 (BETA) 
elle n'apparaisse pas dans l'ancienne :"
version Logfile of HijackThis v1.99.1 "
-------------------------------------------------------------------
Les lignes 022 : Shared Task Scheduler
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dl
Microsoft® Windows® Operating System Shell Browser UI Library pour les deux. 

--------------------------------------------------------------
j'aime bien ça "Démon de cache des catégories " !!
-------------------------------------------------------------

ces trois lignes -ci:
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
Ce sont les langues utilisées dans xp pour office. Une par session.

gégé002 · Answer

désolé de te répondre si tard mais j'ai un exam demain + un oral.
on reprendra apres si ca ne te derange pas.

Utilisateur anonyme · Answer

pas de soucis.

gégé002 · Answer

salut je viens de voir que j'avais encore un probleme , avg spyware me signale un virus : 
Downloader.Agent.uj
Je sais pas si ca a un rapport avec totour 
quand j'ouvre explorer il me met une autre page d'un autre site.
(la je poste a partir d'un autre ordi)

salwa5 · Answer

bonsoir philo et gégé

gégé poste un nouveau raport hijacthis

a+++

Utilisateur anonyme · Answer

re,
salut   salwa5 ,
Gégé--->
fais ceci:
http://downloads.subratam.org/Fixwareout.exe

Lancer le fix: cliquer sur Next, puis Install, s'assurer que "Run fixit" est activé, ensuite cliquer sur Finish.
Le fix commencera, suivre les messages à l'écran. Il sera demandé à la fin de redémarrer l'ordinateur (si le système met un peu plus de temps au démarrage, c'est normal ! ) 
--------------------------------------------------------------
ensuite refaits un log Hijackthis, on u y verra plus clair.
a+

gégé002 · Answer

désolé de répondre tard mais j'étais en cours
->salwa5    : tout d'abord voici le rapport 

-> philo2100 : le reste arrive après


Et surtout merci à vous de m'aider encore


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:19:02, on 12/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32	cpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\alg.exe
C:\Documents and Settings\Jérôme\Bureau\pr\HiJackThis_v2.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C80E79A-6B25-4FBF-923E-658617FA1E5E}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBC46C3A-A892-4D03-B61D-31C031DD6205}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.198 85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.198 85.255.112.138
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Windows Management Service - Unknown owner - C:\WINDOWS\system32\.exe (file missing)
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Utilisateur anonyme · Answer

refaits un log Hijackthis après le fixwarout.

gégé002 · Answer

voici le rapport fixwarout.(le reste arrive)

 
Fixwareout Last edited 4/5/2007
Post this report in the forums please 
...
»»»»»Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="csxqu.exe"
Service: "Windows Management Service" = C:\WINDOWS\System32\dmuif.exe 

»»»»» System restarted
 
»»»»» Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "system"="" 
....
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "0mdm"  Deleted 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "1mdm"  Deleted 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\_r "}6D3E9F0705BE-E62A-4D74-A395-CA3E35F4{"  Deleted 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\_r "}33D5787D2E24-0A5B-FCB4-D26A-7FF5A2FD{"  Deleted 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\_r "fiumd"  Deleted 
....
»»»»» Misc files. 
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection. 



Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or https://virusscan.jotti.org/

»»»»» Other
C:\WINDOWS\Temp\csxqu.ren 52776 11/04/2007 
C:\WINDOWS\Temp\dmuif.ren 57920 05/08/2004 



»»»»» Current runs 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="\"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName"
"SoundMan"="SOUNDMAN.EXE"
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"PCMService"="\"c:\Apps\Powercinema\PCMService.exe\""
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe"
"Omnipage"="C:\Program Files\ScanSoft\OmniPageSE\opware32.exe"
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP"
"TkBellExe"="\"C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe\"  -osboot"
"QuickTime Task"="\"C:\Program Files\QuickTime\qttask.exe\" -atboottime"
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe"
"SunJavaUpdateSched"="\"C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe\""
"!AVG Anti-Spyware"="\"C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe\" /minimized"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="\"C:\Program Files\MSN Messenger\MsnMsgr.Exe\" /background"
....
Hosts file was reset, If you use a custom hosts file please replace it
C:\WINDOWSepair\autoexec.nt  missing 
C:\WINDOWSepair\Config.nt  missing 
»»»»» End report »»»»»

gégé002 · Answer

et enfin le rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:44:49, on 12/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32	cpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\apps\ABoard\AOSD.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Jérôme\Bureau\pr\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C80E79A-6B25-4FBF-923E-658617FA1E5E}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBC46C3A-A892-4D03-B61D-31C031DD6205}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.198 85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.198 85.255.112.138
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Utilisateur anonyme · Answer

avec ces lignes faits ceci:
https://leblogdeclaude.blogspot.com/2007/03/informatique-supprimer-des-logiciels-au.html
-------------------------------------------------------------------
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe" 
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" 
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background 
------------------------------------------------------------------------------
faire une sauvegarde de la base de registre:
https://leblogdeclaude.blogspot.com/2006/10/informatique-sauvegarde-de-la-base-de.html
-------------------------------------------------------------------------
Aller dans Démarrer > Panneau de configuration > Connexions > clique droit sur la connexion > Propriétés > onglet Gestion de réseau
Mettre en surbrillance Protocole Internet (tcp/ip) puis cliquer sur le bouton Propriétés.
Dans les options (serveur DNS préféré et serveur DNS auxiliaire) 
cocher : "Obtenir les adresses des serveurs DNS automatiquement" puis cliquer 2 fois sur"Ok" et redémarrer le PC. 
------------------------------------------------------------------------------

gégé002 · Answer

désolé de te demmandé 
c'est pour faire quoi :
'''Aller dans Démarrer > Panneau de configuration > Connexions > clique droit sur la connexion > Propriétés > onglet Gestion de réseau 
Mettre en surbrillance Protocole Internet (tcp/ip) puis cliquer sur le bouton Propriétés. 
Dans les options (serveur DNS préféré et serveur DNS auxiliaire) 
cocher : "Obtenir les adresses des serveurs DNS automatiquement" puis cliquer 2 fois sur"Ok" et redémarrer le PC'''

gégé002 · Answer

quand j'essaye de mettre les mises a jour de spy bot ca me met (apres avoir selectionné les MAJ) "!!!erreur de parité!"

Utilisateur anonyme · Answer

perso :
au sujet de ces lignes:
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.198 85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.198 85.255.112.138 
j'aime pas du tout ça....
si fixwarout ne parviens pas à éliminer, il faut faire l'astuce que je t'ai proposé.
-----------------------------------------------------------------------
 D'abord fais ceci:


coches et fixe ces lignes dans Hijackthis:
--------------------------------------------------------------
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C80E79A-6B25-4FBF-923E-658617FA1E5E}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBC46C3A-A892-4D03-B61D-31C031DD6205}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.198 85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.198 85.255.112.138 
--------------------------------------------------------------------
refaits un fixwarout
------------------------------------------------------
recolles un log Hijackthis
----------------------------------------------

gégé002 · Answer

voila:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 14:57:42, on 12/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32	cpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\apps\ABoard\ABoard.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\apps\ABoard\AOSD.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Jérôme\Bureau\pr\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Utilisateur anonyme · Answer

Bien, les 017 ont disparues...pourvu que ça dure !
---------------------------------------------------------------
tu as faits "refaits un fixwarout"
je ne vois pas le log ?

gégé002 · Answer

oups j'ai oublié de le mettre
j'en refait un tout de suite

gégé002 · Answer

le voila
 
Fixwareout Last edited 4/5/2007
Post this report in the forums please 
...
»»»»»Prerun check

»»»»» System restarted
 
»»»»» Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "system"="" 
....
....
»»»»» Misc files. 
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection. 



Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or https://virusscan.jotti.org/

»»»»» Other
C:\WINDOWS\Temp\csxqu.ren 52776 11/04/2007 
C:\WINDOWS\Temp\dmuif.ren 57920 05/08/2004 



»»»»» Current runs 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="\"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName"
"SoundMan"="SOUNDMAN.EXE"
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe"
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP"
"!AVG Anti-Spyware"="\"C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe\" /minimized"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
....
Hosts file was reset, If you use a custom hosts file please replace it
C:\WINDOWSepair\autoexec.nt  missing 
C:\WINDOWSepair\Config.nt  missing 
»»»»» End report »»»»»

Utilisateur anonyme · Answer

comment se comporte le pc actuellement ?

gégé002 · Answer

pour l'instant aucun probleme
j'ai refait une analyse avec avg AS il ne trouve rien(bon signe).

juste une petite question:
avec tout ce que j'ai installé....
je dois tout désinstaller ou garder des truc?

Utilisateur anonyme · Answer

gardes tout pour le moment....
mets les raccourcis dans dossier "désinfection" sur ton bureau.

salwa5 · Answer

bonjour tout monde 

gégé maintenant que ton ordi est propre je te conseille d'installer un parfeu pour eviter une reinfection 

avant d'installer kerio verifie que le parefeu de windows et bien desactivé pour cela va dans paneau de configuration/ parfeu windows coche desactivé et valide par ok


Kerio (parefeu)

https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html


tuto

http://www.malekal.com/kerio_firewall.php

*pour plus de securité bloques les principaux ports a risque : 

https://www.vulgarisation-informatique.com/bloquer-ports.php 

a+++

Utilisateur anonyme · Answer

Salut  salwa5,
bien vu...
et tant que tu y est gégé, fais ceci...manquerait que celle-là d'infection ...LOL
https://leblogdeclaude.blogspot.com/2007/04/informatique-diter-son-fichier-host.html

gégé002 · Answer

salut 
excuser moi de poster aussi tard
->philo : j'ai bien trouvé le fichier host mais je l'ouvre comment?

gégé002 · Answer

petite precision:
quand je fait un scan avec avg (le normal, pas le anti-spyware) il me met  host    change
il est infecté???

faut le faire, depuis 2ans et demi que j'ai cet ordi j'ai eu aucun probleme et maintenant j'attrape tout.


et sur un autre ordi chez moi il marque la meme chose.

Utilisateur anonyme · Answer

notepad...si tu suis la procédure il va s'ouvrir tout seul !
en particulier ceci:
 Raccourci
Dans le champ "Emplacement" (ou "Cible"), coller ceci (tel quelle!)
"C:\Program Files\Windows NT\Accessoires\wordpad.exe" "C:\WINDOWS\system32\drivers\etc\hosts"
Donnez ensuite le nom; Host ou Editer mon Host En cliquant sur le racourcis , vous obtenez ceci:
la suite ici--------->

https://leblogdeclaude.blogspot.com/2007/04/informatique-diter-son-fichier-host.html

gégé002 · Answer

j'ai fait ce que tu as dit, il me met seulement:
 127.0.0.1  localhost

et rien d'autre

gégé002 · Answer

sur mon ordi (on va dire le numero 2)
il me met ce qui doit y etre ( mais en anglais)
+ 3lignes a la fin
218.5.79.70 www.fdbb.net
218.85.139.74 www.cm8898.net
218.83.155.166 www2.ii55.net

Utilisateur anonyme · Answer

Fais cette procédure sur les deux...
https://leblogdeclaude.blogspot.com/2007/04/informatique-diter-son-fichier-host.html

gégé002 · Answer

->philo : c'est bon

je confirme je n'est plus de probleme
Merci de m'avoir aider

Utilisateur anonyme · Answer

;-)
message reçu.
bonne journée

TheEdge · Answer

Bonjour,
Je suis tombé sur ce thread car j'ai le même souci depuis un moment.
J'ai bien le fichier cp1041.nls sur c:\ et mon ndis.sys fait 275 Ko :(
Mais le gros problème c'est que je n'ai trouvé nulle part une version saine de ce ndsis (j'

TheEdge · Answer

désolé ! j'ai envoyé le message avant d'avoir fini et impossible d'éditer.
Donc suite à une recherche sur ton mon disque, i l n'y a pas d'autre version de ndis.sys
J'ai cherché sur google sans succès. Ou puis-je trouver ce satané fichier en téléchargement ?

Merci d'avance et encore désolé pour ma fausse manip.

Utilisateur anonyme · Answer

désolé ! j'ai envoyé le message avant d'avoir fini et impossible d'éditer.
Donc suite à une recherche sur ton mon disque, i l n'y a pas d'autre version de ndis.sys
J'ai cherché sur google sans succès. Ou puis-je trouver ce satané fichier en téléchargement ?

Merci d'avance et encore désolé pour ma fausse manip.
------------------------------------------------------------------------
faits et crées un nouveau topic pour ton soucis.
celui-ci est résolu.

salwa5 · Answer

bonjour il faut d'abord afficher le fichier caché avant de chercher ndis.sys 




clicker sur demarrer/panneau de configuration/option des dossiers/affichage 
Cocher afficher les dossiers cacher 
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 
Puis fais «Ok» pour valider les changements. 
Decocher masquer les extentions dont le type est connues 

a+++

Utilisateur anonyme · Answer

merci salwa5,
parfois les évidences échappent !
fichier sys....
ta réflèxion m'est trés utile en fait !
 Je me rends compte que j'ai zappé ça dans ma procédure courte !
elle est dans la longue !
https://leblogdeclaude.blogspot.com/2006/10/informatique-procdure-de-nettoyage.html
---------------------
Faites ceci-->
Cliquer sur démarrer/panneau de configuration/outil/option des dossiers/affichage
Cocher « afficher les fichiers et dossiers cachés »
Décocher la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher « masquer les extensions dont le type est connu »
Puis faire «Ok» pour valider les changements.
-----------------------
encore merci à toi....je viens de rectifier cette lacune !

salwa5 · Answer

de rien philo :)

a+++

Utilisateur anonyme · Answer

a+
;-)

Nebukanetzar · Answer

Bonjours, j'ai eu le mm problème que vous, mais j'ai trouvé une solution plus simple, mise à part qu'il faut quand mm supprimer les fichiers indiqués.
Une fois que tout est fait il faut réinstaller que le service pack 2, et tout revient en ordre, plus de Totour.exe qui apparait par l'antivirus.

""" redémarrer en mode sans échec 
- effacer cp1041.nls sur c:\ 
- récupérer un fichier ndis.sys sain (qui ce trouve dans C:\WINDOWS\SYSTEM32\DRIVERS taille 178 ko environ, le corrompu fait 257 ko ). 

On peut aussi dupliquer celui qui est contenu dans c:\windows\system32\dllcache si il est sain (ou encore dans le dossier service pack décompresser, mais il faut réinstaller celui ci une fois fini, sinon la connection internet ne ce fait pas.) """

On peut le trouver sur le site de Microsoft.

Utilisateur anonyme · Answer

merci de l'info.

Utilisateur anonyme · Answer

--
*****Dans chaque église, il y a toujours quelque chose qui cloche******
Je n'ai pas la prétention de résoudre les problèmes, j'essaie simplement de rendre service ;-)

alex · Answer

d'accord mais je voulé juste savoir si je pouvais faire cette manip pr otez se virus

Utilisateur anonyme · Answer

up

Nad081179 · Answer

Au secours ce virus m'envahie

[virus] totour.exe

85 réponses

Discussions similaires