Win32 : système endommagé !

Résolu
Lucile -  
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour!
J'aurais besoin de l'aide d'une âme charitable pour m'expliquer comment réparer mon PC endommagé après un virus...
Je me suis débarrassée d'un virus appelé Win32.puce (ou quelque chose comme ça) que j'ai eu via Emule. AVG l'a repéré, et quand j'ai rescanné le virus n'était plus sur le système.
Mais je crois qu'il a eu le temps d'endommager mon PC étant donné que dès que je l'allume, la colonne fait des "bips" inquiétants et pendant 5 minutes, plein de fenêtres de programmes s'ouvrent sans que je clique dessus. J'ai l'impression que le curseur ou que la commande de tâche buguent... et je pense que c'est dû à ce virus.
Il n'y a qu'en ouvrant le gestionnaire de tâches que tout se calme et que je peux correctement travailler dessus. Etant donné que je suis étudiante et j'ai un mémoire à rendre la semaine prochaine, j'aimerais bien m'assurer qu'il ne me lâche pas!
Merci par avance! Lucile
PS : Je tiens à préciser que j'ai une version non conforme de Windows XP1 installée par mon informaticien...
Configuration: Windows XP
Firefox 2.0.0.3

22 réponses

  • 1
  • 2
  1. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Bienvenue sur le forum d’entraide de CommentCaMarche.net

    Nous connaissons votre situation et nous vous conseillons de ne surtout pas vous inquiéter.
    De plus, au vu du nombre croissant de désinfections effectuées sur le forum, nous vous demandons un peu de patience et surtout de ne pas créer plusieurs postes pour le même problème.
    Merci de votre compréhension.

    Super informaticien ;)

    Sauvegarde ton mémoire ailleurs que sur ton disque dur !

    Télécharge HijackThis ici:
    http://telechargement.zebulon.fr/138-hijackthis-1991.html

    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre le bien dans c : !
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Lance le puis:
    clique sur "do a system scan and save logfile" (cf démo)
    faire un copier coller du log entier sur le forum

    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    Bon courage

    A+
    0
    1. franckygoesto...
       
      Peux tu m'aider pour éradiquer Win32:Rjump ?
      0
    2. Lucile
       
      Merci pour ta réponse! :)
      J'ai fait comme tu m'as dit, et voilà le résultat :

      Logfile of HijackThis v1.99.1
      Scan saved at 23:37:41, on 23/05/2007
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
      C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
      C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\Program Files\Unlocker\UnlockerAssistant.exe
      C:\Program Files\PeerGuardian2\pg2.exe
      C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
      C:\Program Files\RALINK\Common\RaUI.exe
      C:\Program Files\OpenOffice.org 2.1\program\soffice.exe
      C:\Program Files\OpenOffice.org 2.1\program\soffice.BIN
      C:\Program Files\iPod\bin\iPodService.exe
      C:\Program Files\Grisoft\AVG7\avgcc.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\Program Files\MSN Messenger\usnsvc.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\Program Files\eMule\emule.exe
      C:\Program Files\iTunes\iTunes.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Documents and Settings\x\Bureau\hijackthis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O1 - Hosts: 66.98.148.65 auto.search.msn.com
      O1 - Hosts: 66.98.148.65 auto.search.msn.es
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
      O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
      O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe
      O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe
      O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
      O4 - Global Startup: Device Detector 3.lnk = C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
      O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
      O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
      O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
      O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe


      J'avoue que c'est du chinois pour moi...
      0
  2. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Reste sur ton poste !

    A+
    0
  3. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Un scan avec AVG AS est ok?

    A+
    0
  4. Lucile
     
    AVG antispyware ne détecte plus rien simplement des cookies de temps en temps. Le virus semble avoir été chassé de mon PC, seulement je crois qu'il avait déjà commencé à faire des siennes...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Re,

    Qu'est ce qui ne fonctionne plus?

    Télécharge ceci (clique droit sur le lien < enregistrer sous)
    https://www.silentrunners.org/Silent%20Runners.vbs
    Exécute le, attends quelques minutes, il va créer ensuite un dossier juste a coté de Silent runner sous format texte, copie/colle le rapport.

    A+
    0
  7. Lucile
     
    En fait ce qu'il se passe c'est dès que j'allume mon ordinateur, le curseur commence à clignoter, et dès que je le fais glisser devant une icône, il l'ouvre en plusieurs exemplaires sans que j'ai même cliqué sur l'icône.
    Un autre exemple : quand je clique sur la petite flèche de la barre d'outils en bas de l'écran, elle se met à glisser à gauche (dévoilant toutes les icônes), puis à droite, puis à gauche, puis à droite...
    Dernier exemple : quand j'ouvre un document OpenOffice, ça commence à buguer, comme si je restais appuyée sur la touche "entrée" et tout mon document se décale vers le bas. Quand je ferme le document, il se réouvre juste après, et je suis obligée de faire ctrl alt suppr et fin de tâche pour que tout ça s'arrête.
    Au bout de quelques minutes, tout se calme et je peux enfin travailler dessus, mais je n'ose même plus m'éteindre de peur qu'il ne se rallume plus.
    Ah, et dernière chose : la colonne fait des "bips" et des espèces de grattements qu'elle ne faisait pas avant...
    C'est grave docteur?
    0
  8. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Ca a l'air grave oui.

    Tu me fais le rapport?

    A+
    0
  9. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Nan celui la:

    Télécharge ceci (clique droit sur le lien < enregistrer sous)
    https://www.silentrunners.org/Silent%20Runners.vbs
    Exécute le, attends quelques minutes, il va créer ensuite un dossier juste a coté de Silent runner sous format texte, copie/colle le rapport.

    A+
    0
    1. Lucile
       
      Voilà le rapport :

      "Silent Runners.vbs", revision R50, https://www.silentrunners.org/
      Operating System: Windows XP
      Output limited to non-default values, except where indicated by "{++}"


      Startup items buried in registry:
      ---------------------------------

      HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
      "WOOKIT" = "C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx" [file not found]
      "PeerGuardian" = "C:\Program Files\PeerGuardian2\pg2.exe" ["Methlabs"]

      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
      "iTunesHelper" = ""C:\Program Files\iTunes\iTunesHelper.exe"" ["Apple Inc."]
      "QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
      "AVG7_CC" = "C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]
      "UnlockerAssistant" = ""C:\Program Files\Unlocker\UnlockerAssistant.exe"" [null data]
      "!AVG Anti-Spyware" = ""C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized" ["Anti-Malware Development a.s."]

      HKLM\Software\Microsoft\Active Setup\Installed Components\
      >{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
      \StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]
      >{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
      \StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]
      {306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
      \StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Program Files\Messenger\msgsc.dll",ShowIconsUser" [MS]

      HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
      {02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided)
      -> {HKLM...CLSID} = "Yahoo! Toolbar Helper"
      \InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
      {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
      -> {HKLM...CLSID} = "Aide pour le lien d'Adobe PDF Reader"
      \InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
      {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
      -> {HKLM...CLSID} = (no title provided)
      \InProcServer32\(Default) = "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

      HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
      "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
      -> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"
      \InProcServer32\(Default) = "deskpan.dll" [file not found]
      "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
      -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
      \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" [file not found]
      "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
      -> {HKLM...CLSID} = (no title provided)
      \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
      "{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
      -> {HKLM...CLSID} = (no title provided)
      \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
      "{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
      -> {HKLM...CLSID} = (no title provided)
      \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
      "{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
      -> {HKLM...CLSID} = (no title provided)
      \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
      "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
      -> {HKLM...CLSID} = "Mes dossiers de partage"
      \InProcServer32\(Default) = "C:\Program Files\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
      "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
      -> {HKLM...CLSID} = "WinRAR"
      \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
      "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
      -> {HKLM...CLSID} = "iTunes"
      \InProcServer32\(Default) = "C:\Program Files\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
      "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
      -> {HKLM...CLSID} = "AVG7 Shell Extension Class"
      \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
      "{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
      -> {HKLM...CLSID} = "AVG7 Find Extension Class"
      \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
      "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}" = "UnlockerShellExtension"
      -> {HKLM...CLSID} = "UnlockerShellExtension"
      \InProcServer32\(Default) = "C:\Program Files\Unlocker\UnlockerCOM.dll" [null data]

      HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
      <<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
      -> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
      \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["Anti-Malware Development a.s."]

      HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
      {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
      -> {HKLM...CLSID} = (no title provided)
      \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
      {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
      -> {HKLM...CLSID} = "PDF Shell Extension"
      \InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

      HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
      AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
      -> {HKLM...CLSID} = "CContextScan Object"
      \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]
      AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
      -> {HKLM...CLSID} = "AVG7 Shell Extension Class"
      \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
      WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
      -> {HKLM...CLSID} = "WinRAR"
      \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

      HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
      AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
      -> {HKLM...CLSID} = "CContextScan Object"
      \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]
      WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
      -> {HKLM...CLSID} = "WinRAR"
      \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

      HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
      AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
      -> {HKLM...CLSID} = "AVG7 Shell Extension Class"
      \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
      UnlockerShellExtension\(Default) = "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}"
      -> {HKLM...CLSID} = "UnlockerShellExtension"
      \InProcServer32\(Default) = "C:\Program Files\Unlocker\UnlockerCOM.dll" [null data]
      WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
      -> {HKLM...CLSID} = "WinRAR"
      \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

      HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
      UnlockerShellExtension\(Default) = "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}"
      -> {HKLM...CLSID} = "UnlockerShellExtension"
      \InProcServer32\(Default) = "C:\Program Files\Unlocker\UnlockerCOM.dll" [null data]


      Group Policies {GPedit.msc branch and setting}:
      -----------------------------------------------

      Note: detected settings may not have any effect.

      HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

      "DisableRegistryTools" = (REG_DWORD) hex:0x00000000
      {User Configuration|Administrative Templates|System|
      Prevent access to registry editing tools}

      HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

      "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
      {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
      Shutdown: Allow system to be shut down without having to log on}

      "undockwithoutlogon" = (REG_DWORD) hex:0x00000001
      {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
      Devices: Allow undock without having to log on}


      Active Desktop and Wallpaper:
      -----------------------------

      Active Desktop may be disabled at this entry:
      HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

      Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
      HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
      "Wallpaper" = "C:\Documents and Settings\x\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

      Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
      HKCU\Control Panel\Desktop\
      "Wallpaper" = "C:\Documents and Settings\x\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"


      Enabled Screen Saver:
      ---------------------

      HKCU\Control Panel\Desktop\
      "SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssstars.scr" [MS]


      Startup items in "x" & "All Users" startup folders:
      ---------------------------------------------------

      C:\Documents and Settings\x\Menu Démarrer\Programmes\Démarrage
      "OpenOffice.org 2.1" -> shortcut to: "C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe" [null data]

      C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
      "Adobe Reader Synchronizer" -> shortcut to: "C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe" [null data]
      "Device Detector 3" -> shortcut to: "C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe" ["OLYMPUS IMAGING CORP."]
      "Lancement rapide d'Adobe Reader" -> shortcut to: "C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
      "Ralink Wireless Utility" -> shortcut to: "C:\Program Files\RALINK\Common\RaUI.exe -s" ["Ralink Technology, Corp."]


      Enabled Scheduled Tasks:
      ------------------------

      "AppleSoftwareUpdate" -> launches: "C:\Program Files\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]


      Winsock2 Service Provider DLLs:
      -------------------------------

      Namespace Service Providers

      HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
      000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
      000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
      000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

      Transport Service Providers

      HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
      0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
      %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
      %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


      Toolbars, Explorer Bars, Extensions:
      ------------------------------------

      Toolbars

      HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
      "{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
      -> {HKLM...CLSID} = "Yahoo! Toolbar"
      \InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

      HKLM\Software\Microsoft\Internet Explorer\Toolbar\
      "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
      -> {HKLM...CLSID} = "Yahoo! Toolbar"
      \InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]


      Miscellaneous IE Hijack Points
      ------------------------------

      C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

      Added lines (compared with English-language version):
      [Strings]: SAFESITE_VALUE="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2ffr%2f%3f"

      Missing lines (compared with English-language version):
      [Strings]: 1 line


      HOSTS file
      ----------

      C:\WINDOWS\System32\drivers\etc\HOSTS

      maps: 3 domain names to IP addresses,
      2 of the IP addresses are *not* localhost!


      Running Services (Display Name, Service Name, Path {Service DLL}):
      ------------------------------------------------------------------

      AVG Anti-Spyware Guard, AVG Anti-Spyware Guard, "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe" ["Anti-Malware Development a.s."]
      AVG E-mail Scanner, AVGEMS, "C:\PROGRA~1\Grisoft\AVG7\avgemc.exe" ["GRISOFT, s.r.o."]
      AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe" ["GRISOFT, s.r.o."]
      AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe" ["GRISOFT, s.r.o."]
      Service de l'iPod, iPod Service, "C:\Program Files\iPod\bin\iPodService.exe" ["Apple Inc."]
      Service Messenger Sharing Folders USN Journal Reader, usnjsvc, "C:\Program Files\MSN Messenger\usnsvc.exe" [MS]


      ----------
      <<!>>: Suspicious data at a malware launch point.

      + This report excludes default entries except where indicated.
      + To see *everywhere* the script checks and *everything* it finds,
      launch it from a command prompt or a shortcut with the -all parameter.
      + To search all directories of local fixed drives for DESKTOP.INI
      DLL launch points, use the -supp parameter or answer "No" at the
      first message box and "Yes" at the second message box.
      ---------- (total run time: 223 seconds, including 17 seconds for message boxes)
      0
  10. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    ok

    ¤Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

    Coche « afficher les fichiers et dossiers cachés »

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décoche « masquer les extensions dont le type est connu »
    Puis fais «Ok» pour valider les changements.

    Et appliquer !

    Rends toi ici:
    C:\WINDOWS\System32\drivers\etc\HOSTS

    Ouvre le avec le bloc note, copie colle le rapport.

    a+
    0
  11. Lucile
     
    Voilà!

    # Copyright (c) 1993-1999 Microsoft Corp.
    #
    # Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP
    # pour Windows.
    #
    # Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.
    # Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée
    # dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse
    # IP et le nom d'hôte doivent être séparés par au moins un espace.
    #
    # De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des
    # lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le
    # symbole '#'.
    #
    # Par exemple :
    #
    # 102.54.94.97 rhino.acme.com # serveur source
    # 38.25.63.10 x.acme.com # hôte client x

    127.0.0.1 localhost

    66.98.148.65 auto.search.msn.com
    66.98.148.65 auto.search.msn.es
    0
  12. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    oki

    Lance ce scan en ligne:
    http://www.bitdefender.fr/scan8/ie.html
    Copie/colle le rapport
    Aide en image : http://pageperso.aol.fr/rginformatique/mapage/defender.htm
    0
  13. Lucile
     
    Je ne peux pas lancer le scan... :( Une fenêtre s'ouvre et me dit "The web site is not authorized to host this ActiveX control".
    0
  14. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    ok

    Fais un scan en ligne Kaspersky avec Internet Explorer :
    - Clique sur Démarrer Online-Scanner

    - Clique maintenant sur J'accepte.
    - Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
    - Patiente pendant l'installation des Mises à jour.
    - Choisis par la suite l'analyse du Poste de travail.
    - Sauvegarde puis colle le rapport généré en fin d'analyse.

    AIDE : Configurer le contrôle des ActiveX

    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
    0
  15. Lucile
     
    Ok, j'attends que la mise à jour s'achève.
    En attendant je te remercie pour ton coup de main. Il y a encore des gens qui offrent leur aide comme tu le fais... Comme quoi, il y a encore un espoir!
    0
  16. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    oui :)

    A+
    0
  17. Lucile
     
    Enfin! Le scan est terminé :
    KASPERSKY ON-LINE SCANNER REPORT
    Thursday, May 24, 2007 2:19:30 PM
    Système d'exploitation : Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
    Kaspersky On-line Scanner version : 5.0.83.0
    Dernière mise à jour de la base antivirus Kaspersky : 24/05/2007
    Enregistrements dans la base antivirus Kaspersky : 308080
    Paramètres d'analyse
    Analyser avec la base antivirus suivante standard
    Analyser les archives vrai
    Analyser les bases de messagerie vrai
    Cible de l'analyse Poste de travail
    A:\
    C:\
    D:\
    E:\
    Statistiques de l'analyse
    Total d'objets analysés 34708
    Nombre de virus trouvés 0
    Nombre d'objets infectés 0 / 0
    Nombre d'objets suspects 0
    Durée de l'analyse 02:10:26

    Nom de l'objet infecté Nom du virus Dernière action
    C:\Documents and Settings\All Users\Application Data\avg7\Log\emc.log L'objet est verrouillé ignoré
    C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log L'objet est verrouillé ignoré
    C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log.lck L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\x\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\x\Local Settings\Application Data\Microsoft\Messenger\lulubeetlejuice@hotmail.com\SharingMetadata\Logs\Dfsr00005.log L'objet est verrouillé ignoré
    C:\Documents and Settings\x\Local Settings\Application Data\Microsoft\Messenger\lulubeetlejuice@hotmail.com\SharingMetadata\pending.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\x\Local Settings\Application Data\Microsoft\Messenger\lulubeetlejuice@hotmail.com\SharingMetadata\Working\database_A25C_7E6F_5C7E_3DDB\dfsr.db L'objet est verrouillé ignoré
    C:\Documents and Settings\x\Local Settings\Application Data\Microsoft\Messenger\lulubeetlejuice@hotmail.com\SharingMetadata\Working\database_A25C_7E6F_5C7E_3DDB\fsr.log L'objet est verrouillé ignoré
    C:\Documents and Settings\x\Local Settings\Application Data\Microsoft\Messenger\lulubeetlejuice@hotmail.com\SharingMetadata\Working\database_A25C_7E6F_5C7E_3DDB\fsrtmp.log L'objet est verrouillé ignoré
    C:\Documents and Settings\x\Local Settings\Application Data\Microsoft\Messenger\lulubeetlejuice@hotmail.com\SharingMetadata\Working\database_A25C_7E6F_5C7E_3DDB\tmp.edb L'objet est verrouillé ignoré
    C:\Documents and Settings\x\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\x\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\x\Local Settings\Application Data\Microsoft\Windows Live Contacts\lulubeetlejuice@hotmail.com\real\members.stg L'objet est verrouillé ignoré
    C:\Documents and Settings\x\Local Settings\Application Data\Microsoft\Windows Live Contacts\lulubeetlejuice@hotmail.com\shadow\members.stg L'objet est verrouillé ignoré
    C:\Documents and Settings\x\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\x\Local Settings\Historique\History.IE5\MSHist012007052420070525\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\x\Local Settings\Temp\svibn.tmp\svibo.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\x\Local Settings\Temp\svibn.tmp\svibp.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\x\Local Settings\Temp\~DFE2C3.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\x\Local Settings\Temp\~DFE353.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\x\Local Settings\Temp\~DFF2F0.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\x\Local Settings\Temp\~DFF2FB.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\x\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\x\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\x\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Program Files\eMule\Temp\001.part L'objet est verrouillé ignoré
    C:\Program Files\eMule\Temp\002.part L'objet est verrouillé ignoré
    C:\Program Files\eMule\Temp\003.part L'objet est verrouillé ignoré
    C:\Program Files\eMule\Temp\004.part L'objet est verrouillé ignoré
    C:\Program Files\eMule\Temp\005.part L'objet est verrouillé ignoré
    C:\Program Files\eMule\Temp\006.part L'objet est verrouillé ignoré
    C:\Program Files\eMule\Temp\007.part L'objet est verrouillé ignoré
    C:\Program Files\eMule\Temp\009.part L'objet est verrouillé ignoré
    C:\Program Files\eMule\Temp\010.part L'objet est verrouillé ignoré
    C:\Program Files\eMule\Temp\011.part L'objet est verrouillé ignoré
    C:\Program Files\eMule\Temp\012.part L'objet est verrouillé ignoré
    C:\Program Files\eMule\Temp\013.part L'objet est verrouillé ignoré
    C:\Program Files\eMule\Temp\014.part L'objet est verrouillé ignoré
    C:\Program Files\eMule\Temp\015.part L'objet est verrouillé ignoré
    C:\Program Files\eMule\Temp\016.part L'objet est verrouillé ignoré
    C:\Program Files\eMule\Temp\017.part L'objet est verrouillé ignoré
    C:\Program Files\eMule\Temp\022.part L'objet est verrouillé ignoré
    C:\Program Files\PeerGuardian2\history.db L'objet est verrouillé ignoré
    C:\System Volume Information\_restore{5FB52CF6-6CC3-4BBE-BDFA-E062730A1D6A}\RP93\change.log L'objet est verrouillé ignoré
    C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré
    C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
    E:\Mémoire\Chap 1 & 2 bis.doc L'objet est verrouillé ignoré
    E:\Mémoire\Plan définitif bis.doc L'objet est verrouillé ignoré
    Analyse terminée.
    0
  18. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    C'est clean pourtant !

    Quel soucis veux tu résoudre en 1er
    0
  19. Lucile
     
    Eh bien écoute je viens de rallumer mon PC juste pour voir, et tout fonctionne normalement. Pas de "bips" alarmants, pas de fenêtres qui débarquent de n'importe où... Donc je ne sais pas trop quoi penser!
    Est-ce qu'il pourrait juste avoir eu un moment de faiblesse parce qu'en ce moment je l'utilise quasi 24h/24 et 7j/7? Et la découverte du virus en même temps que les bugs ne serait qu'une coïncidence?
    Pour l'instant tout va bien, c'est le principal. Désolée d'avoir usé de ton temps pour rien... en tout cas merci encore, c'est très gentil à toi!
    0
  20. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut,

    ok tant mieux ^^

    vient me dire demain si tout est ok

    A+
    0
  • 1
  • 2