Infection Win32.Trojan.RX

Résolu
joebarteam Messages postés 51 Date d'inscription   Statut Membre Dernière intervention   -  
 IZL -
Bonjour,

Suite à mon gros problème de plantage (plantage complet et bizarre)

j'ai récupéré un ordinateur portable.

Mais depuis 2-3 jours j'ai Avast! qui m'annonce tout les 10min. pour me dire qu'il a détecté un virus. Les actions "supprimer" et "mettre en quarantaine" ne fonctionnent pas et le message réapparait, donc je ne peux que cliquer sur "Ne rien faire"...
Pour beaucoup de virus Avast! réagit de la sorte...

De plus, j'ai un icône dans la barre de tache, sorte de triangle jaune avec un "!" au centre qui apparait de temps a autre, ainsi qu'une fenetre Windows Sécurity Center qui me dit que je suis infecté par Win32.Trojan.RX .....

J'ai beau faire des scans et nettoayge avec Ad-Aware, AVG anti-spyware, Spybot Search&Destroy, CClearner et Avast! mais tous ces salop**** de virus ne disparaissent pas....

Auriez-vous une idée de comment je peux nettoyer de fond en comble ce portable pour ne plus etre perturbé avec les alertes Avast! et plantage consécutif d'internet????

En vous remerciant d'avance pour toute votre aide.

39 réponses

Précédent
  • 1
  • 2
Réponse 21 / 39
joebarteam Messages postés 51 Date d'inscription   Statut Membre Dernière intervention  
 
Re,

voici les logs demandés :

VBG


[05/01/2007, 15:30:56] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\jean-pierre\Desktop\VirtumundoBeGone.exe" )
[05/01/2007, 15:31:09] - Detected System Information:
[05/01/2007, 15:31:09] - Windows Version: 5.1.2600, Service Pack 1
[05/01/2007, 15:31:09] - Current Username: jean-pierre (Admin)
[05/01/2007, 15:31:09] - Windows is in NORMAL mode.
[05/01/2007, 15:31:09] - Searching for Browser Helper Objects:
[05/01/2007, 15:31:09] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[05/01/2007, 15:31:09] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[05/01/2007, 15:31:09] - BHO 3: {2265EED7-6022-4d6c-ADF2-E932FEFD433C} (H Class)
[05/01/2007, 15:31:09] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
[05/01/2007, 15:31:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:09] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[05/01/2007, 15:31:09] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[05/01/2007, 15:31:09] - BHO 5: {6D7526E8-2DC8-4015-9A48-BD9363877342} ()
[05/01/2007, 15:31:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:09] - Checking for HKLM\...\Winlogon\Notify\geedb
[05/01/2007, 15:31:09] - Key not found: HKLM\...\Winlogon\Notify\geedb, continuing.
[05/01/2007, 15:31:09] - BHO 6: {85C6A8FB-5286-4D46-96B2-BE452E984C32} ()
[05/01/2007, 15:31:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:09] - Checking for HKLM\...\Winlogon\Notify\awvvt
[05/01/2007, 15:31:09] - Found: HKLM\...\Winlogon\Notify\awvvt - This is probably Virtumundo.
[05/01/2007, 15:31:10] - Assigning {85C6A8FB-5286-4D46-96B2-BE452E984C32} MSEvents Object
[05/01/2007, 15:31:10] - BHO list has been changed! Starting over...
[05/01/2007, 15:31:10] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[05/01/2007, 15:31:10] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[05/01/2007, 15:31:10] - BHO 3: {2265EED7-6022-4d6c-ADF2-E932FEFD433C} (H Class)
[05/01/2007, 15:31:10] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
[05/01/2007, 15:31:10] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:10] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[05/01/2007, 15:31:10] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[05/01/2007, 15:31:10] - BHO 5: {6D7526E8-2DC8-4015-9A48-BD9363877342} ()
[05/01/2007, 15:31:10] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:10] - Checking for HKLM\...\Winlogon\Notify\geedb
[05/01/2007, 15:31:10] - Key not found: HKLM\...\Winlogon\Notify\geedb, continuing.
[05/01/2007, 15:31:10] - BHO 6: {85C6A8FB-5286-4D46-96B2-BE452E984C32} (MSEvents Object)
[05/01/2007, 15:31:10] - ALERT: Found MSEvents Object!
[05/01/2007, 15:31:10] - BHO 7: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
[05/01/2007, 15:31:10] - BHO 8: {BFBA1D3E-30F9-4965-922D-72D67616691D} ()
[05/01/2007, 15:31:10] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:10] - Checking for HKLM\...\Winlogon\Notify\wvuvvsr
[05/01/2007, 15:31:10] - Found: HKLM\...\Winlogon\Notify\wvuvvsr - This is probably Virtumundo.
[05/01/2007, 15:31:11] - Assigning {BFBA1D3E-30F9-4965-922D-72D67616691D} MSEvents Object
[05/01/2007, 15:31:11] - BHO list has been changed! Starting over...
[05/01/2007, 15:31:11] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[05/01/2007, 15:31:11] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[05/01/2007, 15:31:11] - BHO 3: {2265EED7-6022-4d6c-ADF2-E932FEFD433C} (H Class)
[05/01/2007, 15:31:11] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
[05/01/2007, 15:31:11] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:11] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[05/01/2007, 15:31:11] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[05/01/2007, 15:31:11] - BHO 5: {6D7526E8-2DC8-4015-9A48-BD9363877342} ()
[05/01/2007, 15:31:11] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:11] - Checking for HKLM\...\Winlogon\Notify\geedb
[05/01/2007, 15:31:11] - Key not found: HKLM\...\Winlogon\Notify\geedb, continuing.
[05/01/2007, 15:31:11] - BHO 6: {85C6A8FB-5286-4D46-96B2-BE452E984C32} (MSEvents Object)
[05/01/2007, 15:31:11] - ALERT: Found MSEvents Object!
[05/01/2007, 15:31:11] - BHO 7: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
[05/01/2007, 15:31:11] - BHO 8: {BFBA1D3E-30F9-4965-922D-72D67616691D} (MSEvents Object)
[05/01/2007, 15:31:11] - ALERT: Found MSEvents Object!
[05/01/2007, 15:31:11] - BHO 9: {C565FB4E-C0AB-487F-BA51-30E605DDD473} ()
[05/01/2007, 15:31:11] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:11] - Checking for HKLM\...\Winlogon\Notify\jeubdmmy
[05/01/2007, 15:31:11] - Key not found: HKLM\...\Winlogon\Notify\jeubdmmy, continuing.
[05/01/2007, 15:31:11] - BHO 10: {D651AFF4-9590-424d-BD1E-8E33E090DFB3} ()
[05/01/2007, 15:31:11] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:11] - Checking for HKLM\...\Winlogon\Notify\srrwxqvf
[05/01/2007, 15:31:11] - Key not found: HKLM\...\Winlogon\Notify\srrwxqvf, continuing.
[05/01/2007, 15:31:11] - Finished Searching Browser Helper Objects
[05/01/2007, 15:31:11] - *** Detected MSEvents Object
[05/01/2007, 15:31:11] - Trying to remove MSEvents Object...
[05/01/2007, 15:31:12] - Terminating Process: IEXPLORE.EXE
[05/01/2007, 15:31:13] - Terminating Process: RUNDLL32.EXE
[05/01/2007, 15:31:13] - Disabling Automatic Shell Restart
[05/01/2007, 15:31:13] - Terminating Process: EXPLORER.EXE
[05/01/2007, 15:31:14] - Suspending the NT Session Manager System Service
[05/01/2007, 15:31:15] - Terminating Windows NT Logon/Logoff Manager
[05/01/2007, 15:31:16] - Re-enabling Automatic Shell Restart
[05/01/2007, 15:31:16] - File to disable: C:\WINDOWS\System32\awvvt.dll
[05/01/2007, 15:31:16] - Renaming C:\WINDOWS\System32\awvvt.dll -> C:\WINDOWS\System32\awvvt.dll.vir
[05/01/2007, 15:31:18] - ! File rename was unsucessful.
[05/01/2007, 15:31:18] - Attempting to Deny Access to C:\WINDOWS\System32\awvvt.dll
[05/01/2007, 15:31:18] - *** IMPORTANT: Delete/Rename/Move on reboot (like Killbox) MAY NOT work.
[05/01/2007, 15:31:18] - processed file: C:\WINDOWS\System32\awvvt.dll

[05/01/2007, 15:31:19] - *** IMPORTANT: The file is disabled and will need to be deleted by the user.
[05/01/2007, 15:31:19] - Removing HKLM\...\Browser Helper Objects\{85C6A8FB-5286-4D46-96B2-BE452E984C32}
[05/01/2007, 15:31:19] - Removing HKCR\CLSID\{85C6A8FB-5286-4D46-96B2-BE452E984C32}
[05/01/2007, 15:31:19] - Adding Kill Bit for ActiveX for GUID: {85C6A8FB-5286-4D46-96B2-BE452E984C32}
[05/01/2007, 15:31:19] - Deleting ATLEvents/MSEvents Registry entries
[05/01/2007, 15:31:19] - Removing HKLM\...\Winlogon\Notify\awvvt
[05/01/2007, 15:31:20] - Searching for Browser Helper Objects:
[05/01/2007, 15:31:20] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[05/01/2007, 15:31:20] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[05/01/2007, 15:31:20] - BHO 3: {2265EED7-6022-4d6c-ADF2-E932FEFD433C} (H Class)
[05/01/2007, 15:31:20] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
[05/01/2007, 15:31:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:20] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[05/01/2007, 15:31:20] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[05/01/2007, 15:31:20] - BHO 5: {6D7526E8-2DC8-4015-9A48-BD9363877342} ()
[05/01/2007, 15:31:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:20] - Checking for HKLM\...\Winlogon\Notify\geedb
[05/01/2007, 15:31:20] - Key not found: HKLM\...\Winlogon\Notify\geedb, continuing.
[05/01/2007, 15:31:20] - BHO 6: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
[05/01/2007, 15:31:20] - BHO 7: {BFBA1D3E-30F9-4965-922D-72D67616691D} (MSEvents Object)
[05/01/2007, 15:31:20] - ALERT: Found MSEvents Object!
[05/01/2007, 15:31:20] - BHO 8: {C565FB4E-C0AB-487F-BA51-30E605DDD473} ()
[05/01/2007, 15:31:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:20] - Checking for HKLM\...\Winlogon\Notify\jeubdmmy
[05/01/2007, 15:31:20] - Key not found: HKLM\...\Winlogon\Notify\jeubdmmy, continuing.
[05/01/2007, 15:31:20] - BHO 9: {D651AFF4-9590-424d-BD1E-8E33E090DFB3} ()
[05/01/2007, 15:31:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:20] - Checking for HKLM\...\Winlogon\Notify\srrwxqvf
[05/01/2007, 15:31:20] - Key not found: HKLM\...\Winlogon\Notify\srrwxqvf, continuing.
[05/01/2007, 15:31:20] - Finished Searching Browser Helper Objects
[05/01/2007, 15:31:20] - *** Detected MSEvents Object
[05/01/2007, 15:31:20] - Trying to remove MSEvents Object...
[05/01/2007, 15:31:21] - Terminating Process: IEXPLORE.EXE
[05/01/2007, 15:31:21] - Terminating Process: RUNDLL32.EXE
[05/01/2007, 15:31:22] - Disabling Automatic Shell Restart
[05/01/2007, 15:31:22] - Terminating Process: EXPLORER.EXE
[05/01/2007, 15:31:22] - Suspending the NT Session Manager System Service
[05/01/2007, 15:31:22] - Terminating Windows NT Logon/Logoff Manager
[05/01/2007, 15:31:22] - Re-enabling Automatic Shell Restart
[05/01/2007, 15:31:22] - File to disable: C:\WINDOWS\System32\wvuvvsr.dll
[05/01/2007, 15:31:22] - Renaming C:\WINDOWS\System32\wvuvvsr.dll -> C:\WINDOWS\System32\wvuvvsr.dll.vir
[05/01/2007, 15:31:22] - ! File rename was unsucessful.
[05/01/2007, 15:31:22] - Attempting to Deny Access to C:\WINDOWS\System32\wvuvvsr.dll
[05/01/2007, 15:31:22] - *** IMPORTANT: Delete/Rename/Move on reboot (like Killbox) MAY NOT work.
[05/01/2007, 15:31:22] - ERROR: The system cannot find the file specified.

[05/01/2007, 15:31:22] - *** IMPORTANT: The file is disabled and will need to be deleted by the user.
[05/01/2007, 15:31:22] - Removing HKLM\...\Browser Helper Objects\{BFBA1D3E-30F9-4965-922D-72D67616691D}
[05/01/2007, 15:31:22] - Removing HKCR\CLSID\{BFBA1D3E-30F9-4965-922D-72D67616691D}
[05/01/2007, 15:31:23] - Adding Kill Bit for ActiveX for GUID: {BFBA1D3E-30F9-4965-922D-72D67616691D}
[05/01/2007, 15:31:23] - Deleting ATLEvents/MSEvents Registry entries
[05/01/2007, 15:31:23] - Removing HKLM\...\Winlogon\Notify\wvuvvsr
[05/01/2007, 15:31:23] - Searching for Browser Helper Objects:
[05/01/2007, 15:31:23] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[05/01/2007, 15:31:23] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[05/01/2007, 15:31:23] - BHO 3: {2265EED7-6022-4d6c-ADF2-E932FEFD433C} (H Class)
[05/01/2007, 15:31:23] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
[05/01/2007, 15:31:23] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:23] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[05/01/2007, 15:31:23] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[05/01/2007, 15:31:23] - BHO 5: {6D7526E8-2DC8-4015-9A48-BD9363877342} ()
[05/01/2007, 15:31:23] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:23] - Checking for HKLM\...\Winlogon\Notify\geedb
[05/01/2007, 15:31:23] - Key not found: HKLM\...\Winlogon\Notify\geedb, continuing.
[05/01/2007, 15:31:23] - BHO 6: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
[05/01/2007, 15:31:23] - BHO 7: {C565FB4E-C0AB-487F-BA51-30E605DDD473} ()
[05/01/2007, 15:31:23] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:23] - Checking for HKLM\...\Winlogon\Notify\jeubdmmy
[05/01/2007, 15:31:23] - Key not found: HKLM\...\Winlogon\Notify\jeubdmmy, continuing.
[05/01/2007, 15:31:23] - BHO 8: {D651AFF4-9590-424d-BD1E-8E33E090DFB3} ()
[05/01/2007, 15:31:23] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/01/2007, 15:31:23] - Checking for HKLM\...\Winlogon\Notify\srrwxqvf
[05/01/2007, 15:31:24] - Key not found: HKLM\...\Winlogon\Notify\srrwxqvf, continuing.
[05/01/2007, 15:31:24] - Finished Searching Browser Helper Objects
[05/01/2007, 15:31:24] - Finishing up...
[05/01/2007, 15:31:24] - A restart is needed.
[05/01/2007, 15:31:38] - Attempting to Restart via STOP error (Blue Screen!)



et HijackThis :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:37:43, on 01/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Panda Software\Panda Administrator 3\AdminServer\AdminServer.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\verifier.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Microsoft SQL Server\MSSQL$PADMINISTRATOR\Binn\sqlservr.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Panda Software\Panda Administrator 3\Distribution Server\PadFSvr.exe
C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
C:\WINDOWS\TEMP\odgu.exe
C:\WINDOWS\system32\tmrsrv32.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe
C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe
C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\osskhbd.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\System32\sdservss.exe
C:\WINDOWS\System32\wsmmlog.exe
C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe
C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
C:\WINDOWS\System32\plsitctl.exe
C:\WINDOWS\System32\smcntlwio.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\HijackThis\HiJackThis_v2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\System32\MsiExec.exe
C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\TEMP\ggtm.exe
C:\WINDOWS\System32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: H Class - {2265EED7-6022-4d6c-ADF2-E932FEFD433C} - C:\WINDOWS\System32\mn.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D7526E8-2DC8-4015-9A48-BD9363877342} - C:\WINDOWS\System32\geedb.dll (file missing)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {C565FB4E-C0AB-487F-BA51-30E605DDD473} - C:\WINDOWS\System32\jeubdmmy.dll (file missing)
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\System32\srrwxqvf.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe
O4 - HKLM\..\Run: [PASystemTray] "C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [playclms] C:\WINDOWS\System32\umcyzsor.exe
O4 - HKLM\..\Run: [tymsetvc] C:\WINDOWS\System32\osskhbd.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [cvmsyslpd] C:\WINDOWS\System32\sdservss.exe
O4 - HKLM\..\Run: [winsplog] C:\WINDOWS\System32\wsmmlog.exe
O4 - HKLM\..\Run: [dstiosys] C:\WINDOWS\System32\plsitctl.exe
O4 - HKLM\..\Run: [sacmemds] C:\WINDOWS\System32\smcntlwio.exe
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\System32\aigclidh.dll",realset
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [HP Mobile Printing] C:\Program Files\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [superproxy] C:\WINDOWS\superproxy.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin\npjpi142_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin\npjpi142_02.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - AppInit_DLLs:  C:\WINDOWS\System32\tmp_5r.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Panda AdminSecure Administration Server (AdminServer) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\AdminServer\AdminServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Driver Verification (Driver Verification Service) - Unknown owner - C:\WINDOWS\verifier.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Panda AdminSecure Distribution Server (PadFSvr) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\Distribution Server\PadFSvr.exe
O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Unknown owner - C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Unknown owner - C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
0
Réponse 22 / 39
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Bonjour,

relance vundofix et poste le log.

Ouvre le gestionnaire des tâches (Ctrl Alt Suppr), onglet processus, cherche superproxy.exe, clic droit et terminer le processsus.
Via l'explorateur Windows, tu supprimes : C:\WINDOWS\superproxy.exe
Démarrer, exécuter, regedit. Tu cherches cette clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\superproxy .

Tu la supprimes.


Rends toi sur ce site :
http://www.virustotal.com/xhtml/virustotal_en.html

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\System32\smcntlwio.exe

Clique sur send.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Tu fais la même chose avec :
C:\WINDOWS\System32\plsitctl.exe
C:\WINDOWS\System32\wsmmlog.exe
C:\WINDOWS\System32\osskhbd.exe
C:\WINDOWS\System32\umcyzsor.exe

@+
0
Réponse 23 / 39
joebarteam Messages postés 51 Date d'inscription   Statut Membre Dernière intervention  
 
re,

Voici le log de Vundo demandé :


VundoFix V6.3.20

Checking Java version...

Java version is 1.4.2.2
Old versions of java are exploitable and should be removed.

Scan started at 16:53:31 01/05/2007

Listing files found while scanning....

C:\WINDOWS\system32\awttqrs.dll
C:\WINDOWS\System32\mpqss.bak1
C:\WINDOWS\System32\mpqss.ini
C:\WINDOWS\System32\ssqpm.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awttqrs.dll
C:\WINDOWS\system32\awttqrs.dll Could not be deleted.

Attempting to delete C:\WINDOWS\System32\mpqss.bak1
C:\WINDOWS\System32\mpqss.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\System32\mpqss.ini
C:\WINDOWS\System32\mpqss.ini Has been deleted!

Attempting to delete C:\WINDOWS\System32\ssqpm.dll
C:\WINDOWS\System32\ssqpm.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awttqrs.dll
C:\WINDOWS\system32\awttqrs.dll Could not be deleted.

Performing Repairs to the registry.
Done!


Ouvre le gestionnaire des tâches (Ctrl Alt Suppr), onglet processus, cherche superproxy.exe, clic droit et terminer le processsus.
Le processus superproxy.exe n'apparait pas.

Via l'explorateur Windows, tu supprimes : C:\WINDOWS\superproxy.exe
Impossible de trouver superproxy.exe dans le fichier.
De plus, la fonction recherche ne fonctionne pas ou plus....

Démarrer, exécuter, regedit. Tu cherches cette clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\superproxy .
Clé effacée

Rends toi sur ce site :
http://www.virustotal.com/xhtml/virustotal_en.html
Impossible de se rendre sur le site aussi bien avec I.E qu'avec Firefox.... Je n'ai donc pas pu scans tous les fichiers demandés...

Désolé, que la plupart de manip' tombent en échec à chaque fois, ça devient déprimant !!!

Merci pour l'aide toutefois,

A+
0
Réponse 24 / 39
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Re,

si virustotal ne fonctionne pas (je n'arrive pas à y accéder moi non plus), essaye celui-ci :
Vas sur le site https://virusscan.jotti.org/
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : xxxxxxxxx
- Clic sur submit toujours en haut à droite
- Le scan va se lancer, ça va prendre un petit instant
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici.
Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799

Relance vundofix, il y a un fichier qui résiste;

relance le plusieurs fois, jusqu'à ce qu'il te dise 'plus de fichiers infectés' ou qu'il t'ai refusé 3 fois la suppression d'un fichier.

Après, tu remets un log Hijackthis que l'on fasse un point;
@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 39
afideg Messages postés 10517 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
 
Oh là, Thomas ,

Serais-tu encore en vacances ?
Quand tu pars, n'hésite pas à nous en avertir .

Combien de PC as-tu ?
Dépannerais-tu les PC des copains ?


HISTORIQUE:


1) TOPIC - "fichier notepad32.exe" - par joebarteam
Date: vendredi 9 février 2007 à 16:26:09
Statut: Non résolu ==> Or, il a été résolu par Régis59 le mardi 27 mars 2007

Pour ce topic, tu avais HijackThis v1.99.1, et Internet Explorer v6.00.

Logfile of HijackThis v1.99.1
Scan saved at 14:27:38, on 07/02/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)


2)TOPIC - "Plantage complet et bizarre" - par joebarteam
Date: jeudi 19 avril 2007 à 20:05:12
Statut: Non résolu ===> parce que tu l'as abandonné



3)TOPIC - "Infection Win32.Trojan.RX" - par joebarteam
Date: vendredi 27 avril 2007 à 18:54:05
Statut: Non résolu ... et pour cause !

Pour ce topic, tu as HijackThis v2.0.0 (BETA), et tu annonces seulement Configuration: Windows XP & Firefox 1.5.0.11 ( donc pas de IE )

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:55:17, on 27/04/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)


QUESTIONS:

1°- As-tu Internet Explorer ?

En effet, voici les recommandations pour réussir son scanonline :

-Selon les programmes installés sur votre ordinateur, il se peut que l'antivirus en ligne ne fonctionne pas
• Utilisez Internet Explorer comme navigateur
• Afin d'éviter les conflits, désactivez avant le scan votre propre antivirus
• Désactivez aussi tout guard comme ewido guard, spybot guard, Microsoft Anti-Spywares guard et les antivirus, certains antivirus rentrent en conflit.
• Internet Explorer doit aussi accepter les javacript et les ActiveX,

Peut-être est-ce là, la cause de échecs avec >PANDA online et VirusTotal ?
En effet, tu réponds ceci à Lyonnais92 au post #24 « Impossible de se rendre sur le site aussi bien avec I.E qu'avec Firefox.... Je n'ai donc pas pu scans tous les fichiers demandés... »

Peut-être est-ce là, la cause des soucis de configuration de KERIO, <souligne>à savoir les mises à jour ?</souligne>
Comment fais-tu les mises à jours de tes différents programmes ?


2°- As-tu 2 antivirus ( PANDA et AVAST ) ?

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
------------------
O4 - HKLM\..\Run: [PASystemTray] "C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe"
O23 - Service: Panda AdminSecure Administration Server (AdminServer) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\AdminServer\AdminServer.exe
O23 - Service: Panda AdminSecure Distribution Server (PadFSvr) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\Distribution Server\PadFSvr.exe
O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Unknown owner - C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Unknown owner - C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\PavReport\PavReport.exe


CONCLUSION

Un petit complément d'information de Thomas ne serait pas de refus.

Merci & bonne journée.
Al.

--
Patience-Vigilance-Amour.
0
joebarteam Messages postés 51 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour à vous,

Je vous donnes toutes les explications.

Serais-tu encore en vacances ?
Quand tu pars, n'hésite pas à nous en avertir .
Nan, nan, je ne suis pas en vacances, je suis étudiant. Mais le milieu de la semaine a était très très chargée car j'avais un rendu de projet à présenter à l'oral. Je n'avais plus de temps de venir m'occuper de la désinfection de l'ordinateur, pour cause, j'ai fais une nuit blanche...!!!

Combien de PC as-tu ?
Alors pour l'histoire, j'ai mon PC personnel, un PC fixe. C'est d'ailleurs celui-là qui apparait dans le post "fichier notepad32.exe" résolu grâce à l'aide de Régis59.

Et c'est le même PC qui apparait dans le post "Plantage complet et bizarre". Post, que j'ai "délaissé" puisque l'on me conseil de réparer/réinstaller Windows. Chose que je ne peux pas faire actuellement car je n'ai pas ces CD d'installation. Car, aux risques de choquer/énerver des gens, je n'utilise pas une version officielle de Windows vu que je n'avais pas les moyens à l'époque de me la procurer.

Par conséquent, vu que mon PC fixe a Windows de casser, j'ai récupérer le PC portable de mon frère. Lorsqu'il l'avait formaté la dernière fois, je lui avais installer Ad-Aware, Avast!, AVG, CCleaner afin qu'il fasse des nettoyages toutes les 1-2semaines. Chose qu'il n'a certainement du jamais faire car quand je l'ai récupérer il y a deux semaines, j'ai était infecté et depuis tout s'empire, rien de marche...


QUESTIONS:

1°- As-tu Internet Explorer ?
Oui, j'ai I.E.

En effet, voici les recommandations pour réussir son scanonline :

-Selon les programmes installés sur votre ordinateur, il se peut que l'antivirus en ligne ne fonctionne pas
• Utilisez Internet Explorer comme navigateur
• Afin d'éviter les conflits, désactivez avant le scan votre propre antivirus
• Désactivez aussi tout guard comme ewido guard, spybot guard, Microsoft Anti-Spywares guard et les antivirus, certains antivirus rentrent en conflit.
• Internet Explorer doit aussi accepter les javacript et les ActiveX,
J'avais pourtant suivi la procédure et lu les tutoriels afin de faire bien les manip'. Vu que je suis un peu une quiche en informatique, j'évites de faire mon malin et de ne pas suivre les conseils donnés.


2°- As-tu 2 antivirus ( PANDA et AVAST ) ?
J'ai effectivement ces deux antivirus d'installer. Je sais d'Avast! fonctionne, par contre pour PANDA je ne sais pas trop. Je le trouve bizarre ce logiciel !! lol.


CONCLUSION

Un petit complément d'information de Thomas ne serait pas de refus.
Je vous comprends bien, excusez-moi de n'avoir peut-être pas était assez explicite.

Sinon, pour ce qui est des nouvelles de la désinfection...
Eh bien, c'est la cata...

Je n'ai pas réussi à faire la manip' demandé par Lyonnais92.
J'ai rallumé le pc,hors connexion, hier pour pouvoir regarder un film, le pc à planter et n'a jamais réussi à me lancer le film....
J'ai donc du l'éteindre depuis le bouton de mise sous tension. Bref,aujourd'hui je le rallume, arrivé sur l'écran du choix d'utilisateur, je le reboot tout de suite.
Une fois rallumé, je lance la section administrateur, le bureau apparait puis me renvoie immédiatement sur l'écran de sélection de la section...
Je rééssaye, même résultat.
Finalement, j'ai ouvert la section Utilisateur afin de lancer des scans avec Ad-Aware (qui scan actuellement), AVG et Avast!....

Autre problème, lorsque je lance Mozilla Firefox depuis le portable, la page d'acceuil me lance sur Google USA. C'est a dire que tout les sites français comme "Comment Ca Marche", "Orange" pour ma messagerie, etc...sont presques introuvables, et lorsque je les trouvent, impossible d'y accéder, je tombe sur une page étrange, sorte de moteur de recherches...
J'ai vérifié les options du navigateur, remplacer la page par défault, la page d'ouverture, etc par www.google.fr, mais lorsque je relance, rien à faire la page de Google usa revient...

Donc voilà où en sont les problèmes. Sachez aussi que je vous ecrit actuellement depuis mon pc fixe, vu que je n'accepte plus à la session Administrateur du pc portable...

Voila, en tout cas je vous souhaite bon courage, car mon problème doit etre un véritable casse-tête pour vous...

En tout cas merci de votre aide et de votre dextérité!!!

a+
0
Réponse 26 / 39
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Bonjour,

1) tu relances vundofix (car je crois qu'il en reste encore).

Tu postes le log.

2) Tu remets un log HijackThis.

3) Prends connaissance du contenu le lien suivant:
http://www.f-secure.com/products/license-terms/eult_fra.pdf
Tu as donc pris connaissance et accepté les conditions d'utilisation du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
Maintenant fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Fais l'extraction dans un dossier propre à lui
Ensuite double clique sur navilog1.bat
Laisse-toi guider. Au menu principal, choisis 1 et valides.
ne fais pas le choix 2,3 ou 4 sans notre avis/accord
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
@+

0
Réponse 27 / 39
joebarteam Messages postés 51 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour,

Un message juste pour vous informer que VundoFix est entrain de scanner depuis lundi...

Je post tous les rapports des les opérations terminés.

merci

a+
0
Réponse 28 / 39
afideg Messages postés 10517 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
 
Bonjour

Ce n'est pas normal qu'il faille aussi longtemps pour une analyse VundoFix. Stoppe cette analyse.
Mais qu'as-tu fait sur ce PC entre la demande de Lyonnais92 du vendredi 4 mai 2007 à 18:32:28 ( ==> Bonjour, 1) tu relances vundofix) , et 3 jours plus tard quand tu as lancé VundoFix ( ..VundoFix est entrain de scanner depuis lundi... ) ?


Tu ne peux avoir deux anti-virus actifs sur un même PC !
Si tu as payé "Panda Software\Panda Administrator 3", garde-le et supprime Avast.
Dans le cas contraire, garde Avast, et supprime Panda Software complètement.


Maintenant, je ne vois pas d'autre façon que de relancer les procédures:

1)- •- Télécharge « clean.zip »
http://www.malekal.com/download/clean.zip
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
< http://img227.imageshack.us/img227/9384/screenshot149ih1.gif >


2)- Télécharge SDFix sur ton bureau
Le lien de sauvetage devient : < http://downloads.andymanchesta.com/RemovalTools/SDFix.exe >


3)- Redémarre en mode sans échec.
Tutos: Comment faire pour... à la lettre D
< https://forum.pcastuces.com/default.asp >

( note bien ce que tu as à faire, parce que tu n'auras plus accès à IE durant cette procédure ).


4)- Analyses

•- Ouvre le dossier « clean » qui se trouve sur ton bureau.
- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, suis les consignes
< http://img483.imageshack.us/img483/6285/screenshot210io7.gif >
Choisis l’option 2.
Clean va travailler. Il va produire un rapport.

•- Double-clique sur "RunThis.bat" de SDFix
Tape Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
Presse une touche pour redémarrer en mode normal
Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche


5) Rapports:
- Poste qui se trouve ici C:\rapport_clean.txt. (- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )
- Ouvre le "dossier SDFix" et copie/colle ici le contenu du fichier "Report.txt"


Ensuite, Fais ces deux analyses SVP:

1°- Télécharge Combofix.exe (par sUBs) sur ton Bureau
< http://download.bleepingcomputer.com/sUBs/ComboFix.exe >

Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse

2°- Télécharge SmitfraudFix < http://siri.urz.free.fr/Fix/SmitfraudFix.exe >
* Installe le à la racine de C

* double clic sur l'exe pour le décompresser et lancer le fix.
Utilisation ----- option 1 - Recherche :
* Double clique sur smitfraudfix.cmd * Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
* Poste le rapport ici

NOTE: ( process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. )

Relance ensuite ( après avoir posté le rapport de l'option 1 ) SmitfraudFix en mode sans échec, et choisis l'option 2.
Poste le rapport ici.



Fais ça dans l'immédiat; on poursuivra avec NaviFix/navilog ( nouvelle version ) ensuite; et on relancera VundoFix.
Ne fais rien d'autre sur ce PC SVP.


Merci
Al.
0
Réponse 29 / 39
Jack SPARROW
 
Même Pb Windows Sécurité Center :" Win32.Trojan.RX " sur le Pc de mon père ( QQun a t'il une solution ... )

Analyse Scan Online Bitdefender en cours...
0
Réponse 30 / 39
afideg Messages postés 10517 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
 
Bonjour Jack SPARROW

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procède comme ceci :
< http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm >
ou ainsi < http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm >

Guide du forum < ccmforum >

Inscription CCM < inscription > ; en effet, pour contacter personnellement les seuls membres inscrits sur ce ForumCCM, il faut être également soi-même inscrit !


Al.
0
Réponse 31 / 39
joebarteam Messages postés 51 Date d'inscription   Statut Membre Dernière intervention  
 
bonjour,

je tiens à vous informer qu'un ami m'a proposé de formater l'ordinateur portable.

Je vous remercie quand même pour toute l'aide et le temps que vous avez passé.

Merci beaucoup

a+
0
Réponse 32 / 39
afideg Messages postés 10517 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
 
Bonsoir ,

Je suis content pour toi.
Accepterais-tu de faire ceci, SVP ? Merci à toi.
C'est très rapide.

Télécharge DiagHelp.zip sur ton bureau < http://www.malekal.com/download/DiagHelp.zip >
Ne double-clic pas dessus !! Fais un clic droit sur le fichier et "extraire tout"
1- Un nouveau dossier « chercher » va être créé "DiagHelp"
2- Ouvre le et double-clique sur "go.cmd" (le ".cmd" peut ne pas apparaître) < http://img149.imageshack.us/img149/4927/screenshot173gl8.gif >
3- Une fenêtre va s'ouvrir, choisis l'option 1
4- L 'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
5- A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-notes.. Ce dernier se trouve sur C:\resultat.txt

-Copie/colle le contenu du bloc-notes qui s'ouvre, pour cela :
-- Dans le bloc-notes, cliquez sur le menu Edition / Sélectionner tout
-- A nouveau menu Edition / copier
-- Dans un nouveau message ici, faire un clic droit / coller

Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php


Bonne soirée
Al.
0
Réponse 33 / 39
joebarteam Messages postés 51 Date d'inscription   Statut Membre Dernière intervention  
 
bonsoir,

je viens de voir cotre dernier message . Désolé de cette disparition mais vu que j'ai mon diplome dans un petit mois, je suis en grosse phase de préparation. Bref, toujours est-il que je n'ai plus le pc infecté...

Bonne continuation,

A+
0
Réponse 34 / 39
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Bonjour,

merci d'être venu nous le dire.
@+
0
Réponse 35 / 39
ousmane
 
bon mon ami je vous conseille bien de desinstaller avast et metre kaspersky.cet antivirus bien qu'il ne soit 100 pour 100 puissant est d'une efficacite surprennante.
0
Réponse 36 / 39
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Bonjour ousmane,

avec un oubli de ta part : Kaspersky est payant et pas avst.
@+
0
Réponse 37 / 39
alr
 
salut en effet j'avais egalemet un virus ttes les 10 min...j ai essaye de les elever a la main etc...bref...echec..
j ai donc essaye votre methode ( SDFIX et cleaner)...et voici mon . LOG..Ca a l'air regle parcontre si j'ai bien compris j'a encore un ROOTKIT au cul ?! brefff...je vais me demerder....merci les mecs!!!

SDFix: Version 1.101

Run by alr on 02/09/2007 at 05:03

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
NtmlSvc
runtime
xpdx

ImagePath:
%SystemRoot%\System32\svchost.exe -k netsvcs
\??\C:\WINDOWS\System32\drivers\runtime.sys
\??\C:\WINDOWS\system32\xpdx.sys

NtmlSvc - Deleted
runtime - Deleted
xpdx - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\b122.exe - Deleted
C:\WINDOWS\retadpu1000520.exe - Deleted
C:\WINDOWS\system32\4_exception.nls - Deleted
C:\WINDOWS\Temp\startdrv.exe - Deleted
C:\WINDOWS\system32\xpdx.sys - Deleted


Folder C:\Temp\fse - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------


[COLOR=RED][B]Rootkit runtime2 Found, Use a Rootkit scanner ![/COLOR][/B]

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Disabled:iTunes"
"C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Messenger\\MSMSGS.EXE"="C:\\Program Files\\Messenger\\MSMSGS.EXE:*:Enabled:Windows Messenger"
"C:\\Program Files\\Electronic Arts\\Battlefield 2142\\BF2142.exe"="C:\\Program Files\\Electronic Arts\\Battlefield 2142\\BF2142.exe:*:Enabled:Battlefield 2"
"C:\\WINDOWS\\System32\\PnkBstrA.exe"="C:\\WINDOWS\\System32\\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\\WINDOWS\\System32\\PnkBstrB.exe"="C:\\WINDOWS\\System32\\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\\Program Files\\id Software\\Enemy Territory - QUAKE Wars Beta 2\\etqw.exe"="C:\\Program Files\\id Software\\Enemy Territory - QUAKE Wars Beta 2\\etqw.exe:*:Enabled:Enemy Territory - QUAKE Wars(TM) Beta 2"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\Program Files\Trend Micro\Internet Security 14\Quarantine\2.tmp

Finished
0
Réponse 38 / 39
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Bonjour,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

A bientôt
0
Réponse 39 / 39
IZL
 
je te donne une expérience que j'ai fais moi même!!!
j'avais WINDOWS XP PACK2 , j'avais se problème là de Trojan RX , bah je suis allez chez un ami il ma donné Son WINDOWS du programme File , je l'es remplacé par le mien et depuis plus entendu parlé de se Trojan!
0

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses
Pb Windows 7, .EXE n'est pas app win32 valide
Witeric -
Lio -

15 réponses
PUADlManager:Win32/OfferCore
tenmalade -
tenmalade -

2 réponses