Sujet Précédent Sujet Suivant

[Virus] soupcons d'infection - log HiJackThis

Résolu/Fermé
jonamauve Messages postés 52 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 2 juin 2011 - 24 mai 2007 à 20:01
rudyrital Messages postés 6230 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 10 octobre 2009 - 29 mai 2007 à 20:57
Bonjour,
J'utilise Windows XP Pro SP2. Mon navigateur est Firefox 1.5.0.11. Mon pare-feu est ZoneAlarm 7.0.337.000. Mon antivirus est AVG Free Edition 7.4.467.
Il y a plusieurs analyses par semaine. Elles se finissent toujours par un "no thread found" qui me semble assez suspect puisque l'écran de test affiche pendant l'analyse les lignes suivantes :
kernel32.dll Change C:\WINDOWS\System32\kernel32.dll
wsock32.dll Change C:\WINDOWS\System32\wsock32.dll
user32.dll Change C:\WINDOWS\System32\user32.dll
shell32.dll Change C:\WINDOWS\System32\shell32.dll
ntoskrnl32.dll Change C:\WINDOWS\System32\ntoskrnl32.dll
Comme la liste ne contient que ces fichiers, je suppose qu'ils ont quelque chose de différent des autres, ce qui me fait penser à un virus. Je ne sais sincèrement pas ce que signifie ce Change. Je n'ai trouvé d'explication ni dans l'aide de AVG, ni dans la FAQ de Grisoft. Est-ce que quelqu'un pourrait m'expliquer ce que ça signifie ? Au cas où je serais infectée, je poste un log HiJackThis; pourriez-vous l'analyser ? Merci.
Aurélie

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:48:25, on 24/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\S3tray2.exe
C:\PROGRA~1\HEWLET~1\ONE-TO~1\OneTouch.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\piolot\Bureau\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers

communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft

Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HEWLET~1\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} -

C:\WINDOWS\System32\browseui.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2

Service\ANIWZCSdS.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner -

C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\ISO Recorder\ImapiHelper.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner -

C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
A voir également:

15 réponses

Réponse 1 / 15
rudyrital Messages postés 6230 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 10 octobre 2009 131
24 mai 2007 à 20:36
Tout d'abord Bonjour et bienvenue sur le forum d'entraide COMMENT CA MARCHE

Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
0
Réponse 2 / 15
jonamauve Messages postés 52 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 2 juin 2011 2
24 mai 2007 à 21:18
Rebonsoir,
D'abord merci pour ta réponse. J'ai fait ce que tu disais : voilà le log navilog : il ne fait rien apparaitre.
Aurélie

Search Navipromo version 2.0.2 commencé le 24/05/2007 à 20:47:05,61

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users.WINDOWS\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\xxx\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 05/24/07 at 20:47:07.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ..............................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 05/24/07 at 20:49:43 (return code = 0).


*** Recherche fichiers ***




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********


*** Analyse Terminé le 24/05/2007 à 20:50:05,39 ***
0
Réponse 3 / 15
rudyrital Messages postés 6230 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 10 octobre 2009 131
25 mai 2007 à 16:18
* télécharge AVG Anti-Spyware

avg antispyware
http://www.infos-du-net.com/telecharger/Ewido-Security-Suite,0301-734.html


Tuto : http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html

* tu l'installes

Démarrer AVG antispyware. Cliquer sur "mise à jour", cliquer sur le bouton "Commencer la mise à jour" et attendre la fin de cette mise à jour puis, fermer le programme.

si tu n'arrives pas à le mettre à jour prends ici les Mise à jour:

http://downloads.ewido.net/avgas-signatures-full-current.exe



Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

relancer AVG AS et cliquer sur l'onglet "scanner" puis sur "Analyse complète du système".
Une fois le scan terminé, il t'affiche un rapport. Cliquer sur "configurer..." en bas a gauche et choisir "supprimer". Ensuite cliquer sur "Appliquer toutes les actions ", ca va supprimer toutes les infections détectées.
Ensuite cliquer sur "Enregistrer le rapport d'analyse" -> "enregistrer sous" et enregistrer le rapport où bon te semble, afin de me l'envoyer dans ta prochaine réponse.


Copie Et colle le rapport ici
0
Réponse 4 / 15
jonamauve Messages postés 52 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 2 juin 2011 2
26 mai 2007 à 12:50
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 12:30:00 26/05/2007

+ Résultat de l'analyse:



:mozilla.91:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.92:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.93:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.96:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.100:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.99:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.39:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.11:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Bluestreak :

Nettoyé.
:mozilla.17:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Doubleclick :

Nettoyé.
:mozilla.63:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Estat : Nettoyé.
:mozilla.101:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.102:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.103:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.80:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Liveperson :

Nettoyé.
:mozilla.81:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Liveperson :

Nettoyé.
:mozilla.82:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Liveperson :

Nettoyé.
:mozilla.83:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Liveperson :

Nettoyé.
:mozilla.18:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyé.
:mozilla.32:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Overture : Nettoyé.
:mozilla.113:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Questionmarket :

Nettoyé.
:mozilla.114:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Questionmarket :

Nettoyé.
:mozilla.115:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Questionmarket :

Nettoyé.
:mozilla.21:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Smartadserver :

Nettoyé.
:mozilla.22:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Smartadserver :

Nettoyé.
:mozilla.23:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Smartadserver :

Nettoyé.
:mozilla.26:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.89:C:\Documents and Settings\xxx\Application

Data\Mozilla\Firefox\Profiles\30tjm9s4.default\cookies.txt -> TrackingCookie.Yieldmanager :

Nettoyé.


Fin du rapport

Voilà, il a trouvé plusieurs cookies traceurs.
Aurélie
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 15
jonamauve Messages postés 52 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 2 juin 2011 2
27 mai 2007 à 19:33
Bonsoir,
J'ai fait quelques manips :
- appel de CCleaner, nettoyage et recherche et correction d'erreurs
- scan en ligne avec BitDefender qui a trouvé Generix.Adw.SaveNow.FE450SB dans un fichier que j'ai supprimé
- scan avec AVG AntiSpyware qui trouve un spyware, qu'il a supprimé
et malgré ça AVG trouve toujours des fichiers qu'il qualifie de Change dans C:\Windows\System32.
Aurélie
0
Réponse 6 / 15
rudyrital Messages postés 6230 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 10 octobre 2009 131
27 mai 2007 à 20:01
Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.

Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

0
Réponse 7 / 15
jonamauve Messages postés 52 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 2 juin 2011 2
27 mai 2007 à 20:22
Salut,
Merci pour ta réponse. Voilà le rapport demandé.

SmitFraudFix v2.188

Rapport fait à 20:17:50,50, 27/05/2007
Executé à partir de C:\Documents and Settings\xxx\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\xxx


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\xxx\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\xxx\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32-xpdt



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: ORiNOCO Wireless LAN PC Card (5 volt) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{89DCE95D-1050-476C-B8D1-CA121BC37803}:

DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\..\{B69ECA63-E04D-4203-8755-4ABF4CDC4212}:

DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{89DCE95D-1050-476C-B8D1-CA121BC37803}:

DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B69ECA63-E04D-4203-8755-4ABF4CDC4212}:

DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B69ECA63-E04D-4203-8755-4ABF4CDC4212}:

DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{89DCE95D-1050-476C-B8D1-CA121BC37803}:

DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B69ECA63-E04D-4203-8755-4ABF4CDC4212}:

DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Aurélie
0
Réponse 8 / 15
rudyrital Messages postés 6230 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 10 octobre 2009 131
27 mai 2007 à 20:23
Télécharge « clean.zip »
http://www.malekal.com/download/clean.zip
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".

•- Redémarre en mode sans échec. ( note bien ce que tu as à faire ).
•- Ouvre le dossier « clean » qui se trouve sur ton bureau.
•- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, choisis l’option 1.

Clean va travailler.
•- Redémarre normalement
•- Poste qui se trouve ici C:\rapport_clean.txt.


(- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )
0
Réponse 9 / 15
jonamauve Messages postés 52 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 2 juin 2011 2
27 mai 2007 à 21:05
Ca va être long !

27/05/2007 a 20:50:47,57

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !

Aurélie
0
Réponse 10 / 15
rudyrital Messages postés 6230 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 10 octobre 2009 131
28 mai 2007 à 14:37
ca n'as pas l'air d'etre une infection,

essais ce scan en ligne :

* Rend toi sur ce site https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Clique sur l'image de droite Kaspersky Online scanner
-- Une notice s'affichera , clique sur le bouton j'accepte (après en avoir pris connaissance bien sur)
note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.
-- L'installation et la mise à jour de la base antivirale se feront automatiquement.
* Clique sur Suivant
* Clique sur le bouton paramètres d'analyse
-- à l'option analyser avec la base antivirus suivant :
---- [X] étendue
-- dans les options d'analyse contrôle que les cases suivantes soient cochées
---- [X] analyser les archives
---- [X] analyser les bases de messagerie
-- Clique sur le bouton OK
* choisis Poste de travail pour lancer le scan
* Une fois le scan terminé sauvegarde le rapport Clique sur Enregistrer rapport sous
-- Pour le retrouver facilement met le sur le bureau
-- dans nom de fichier entre Kaspersky
-- A type de fichier choisis text file (*.txt) puis clique sur le bouton enregistrer
* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.

Note :
- En cas de problème vérifies ces quelques points https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId898809
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566




0
jonamauve Messages postés 52 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 2 juin 2011 2
28 mai 2007 à 20:53
Salut,
Je vais faire ce que tu me dis mais j'y pense, ma version de Windows est crackée à la suite de manips qu'il serait trop long d'expliquer ici, cependant rassure-toi, j'ai acheté une licence Windows à Microsoft il y a longtemps et j'ai toujours les CDs de restauration du système, d'ailleurs je compte en faire un bientôt ; bref, je n'ai pas droit aux mises à jour Windows Update depuis Genuine Advantage. Ca ne pourrait pas être ca ? j'ai téléchargé SP2 sur Clubic mais il y a d'autres mises à jour depuis.
Aurélie
0
Réponse 11 / 15
rudyrital Messages postés 6230 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 10 octobre 2009 131
28 mai 2007 à 21:03
ok , fait le scan si tu peu
0
Réponse 12 / 15
jonamauve Messages postés 52 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 2 juin 2011 2
29 mai 2007 à 19:52
Salut,
Voilà le rapport HiJackThis. Merci pour ton aide et ta patience.
Aurélie

KASPERSKY ON-LINE SCANNER REPORT
Sunday, May 27, 2007 1:16:47 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 26/05/2007
Enregistrements dans la base antivirus Kaspersky : 309894
Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
Statistiques de l'analyse
Total d'objets analysés 25608
Nombre de virus trouvés 0
Nombre d'objets infectés 0 / 0
Nombre d'objets suspects 0
Durée de l'analyse 01:16:30

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\All Users.WINDOWS\Application Data\avg7\Log\emc.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users.WINDOWS\Application Data\Grisoft\Avg7Data\avg7log.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users.WINDOWS\Application Data\Grisoft\Avg7Data\avg7log.log.lck L'objet est verrouillé ignoré
C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\piolot\Application Data\Mozilla\Firefox\Profiles\30tjm9s4.default\parent.lock L'objet est verrouillé ignoré
C:\Documents and Settings\piolot\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\piolot\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\piolot\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\piolot\Local Settings\Application Data\Mozilla\Firefox\Profiles\30tjm9s4.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Documents and Settings\piolot\Local Settings\Application Data\Mozilla\Firefox\Profiles\30tjm9s4.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Documents and Settings\piolot\Local Settings\Application Data\Mozilla\Firefox\Profiles\30tjm9s4.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Documents and Settings\piolot\Local Settings\Application Data\Mozilla\Firefox\Profiles\30tjm9s4.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Documents and Settings\piolot\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\piolot\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\piolot\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\piolot\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\MARIE.ldb L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\ZLT0203b.TMP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\ZLT02041.TMP L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
Analyse terminée.
0
Réponse 13 / 15
rudyrital Messages postés 6230 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 10 octobre 2009 131
29 mai 2007 à 20:10
rien de trouvé, je pense que ton pc est propre niveau virus, désolé mais je ne peu t'aider plus, essais de poster sur le forum "windows"
0
Réponse 14 / 15
jonamauve Messages postés 52 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 2 juin 2011 2
29 mai 2007 à 20:53
Salut
Tu m'as beaucoup aidée, merci beaucoup et bon surf !
Aurélie
0
Réponse 15 / 15
rudyrital Messages postés 6230 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 10 octobre 2009 131
29 mai 2007 à 20:57
de rien aurelie, a un de ces quatres!
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
TI college plus (calculatrice probleme)
help39 -
Utilisateur anonyme -

3 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses