[Virus] Drive Cleaner

c.jarode Messages postés 9 Statut Membre -  
afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour , depuis quelques jours je suis infecté . Une fenètre de téléchargement d'un logiciel "Drive cleaner" s'ouvre assez souvent et quand je suis sur le web je suis sans cesse redirigé vers d'autres pages webs ...
J'ai fait des recherches sur le forum et j'ai vu que je n'étais pas le seul à avoir ce type de problème , par contre dans tout les sujets que j'ai vu la procédure n'était jamais la même .

Si quelqu'un pourrait généreusement m'aider à virer cette infection ça serait super sympa :-).
Merci d'avance.

Donc je ne sais pas trop si il faut commencer par celà mais je post quand même le rapport hijackthis ci-dessous:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:43:39, on 29/06/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\DOCUME~1\WINDOW~1\LOCALS~1\Temp\ytb3.exe
C:\DOCUME~1\WINDOW~1\LOCALS~1\Temp\GLB9.tmp
C:\DOCUME~1\WINDOW~1\LOCALS~1\TEMP\YCOMP_~1.EXE
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\windows 2000\Mes documents\Kevin\pc\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Program Files\NOBRAND\802.11g Wireless USB Adapter\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [SDR6V_Check] "C:\Program Files\Fichiers communs\DriveCleaner Free\udcsdr.exe"
O4 - HKLM\..\Run: [WA6PV_Check] "C:\Program Files\Fichiers communs\DriveCleaner Free\udcwap.exe"
O4 - HKCU\..\Run: [MSN MultiConnect] C:\Program Files\MSN Multiconnect\MSN Multiconnect.exe min
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: 802.11g Wireless USB Adapter Utility.lnk = C:\Program Files\NOBRAND\802.11g Wireless USB Adapter\NB11GUTI.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0654808B-B217-4E24-88FE-2F640DBE1CA7}: NameServer = 85.255.115.42,85.255.112.114
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CFB6B40-623E-4950-9A88-8DF327CD8D02}: NameServer = 85.255.115.42,85.255.112.114
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CD4656C-D8A9-40D8-9278-ADB4956456B4}: NameServer = 85.255.115.42,85.255.112.114
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{0654808B-B217-4E24-88FE-2F640DBE1CA7}: NameServer = 85.255.115.42,85.255.112.114
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.114
O17 - HKLM\System\CS2\Services\Tcpip\..\{0654808B-B217-4E24-88FE-2F640DBE1CA7}: NameServer = 85.255.115.42,85.255.112.114
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.114
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\system32\browseui.dll
O23 - Service: Avertissement (Alerter) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Gestion d'applications (AppMgmt) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Explorateur d'ordinateur (Browser) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Client DHCP (Dhcp) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINNT\System32\dmadmin.exe
O23 - Service: Gestionnaire de disque logique (dmserver) - Unknown owner - C:\WINNT\System32\services.exe
O23 - Service: Client DNS (Dnscache) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Service de télécopie (Fax) - Unknown owner - C:\WINNT\system32\faxsvc.exe
O23 - Service: Serveur (lanmanserver) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Station de travail (lanmanworkstation) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Service d'application d'assistance TCP/IP NetBIOS (LmHosts) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Affichage des messages (Messenger) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINNT\system32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINNT\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINNT\system32\netdde.exe
O23 - Service: Ouverture de session réseau (Netlogon) - Unknown owner - C:\WINNT\system32\lsass.exe
O23 - Service: Fournisseur de la prise en charge de sécurité LM NT (NtLmSsp) - Unknown owner - C:\WINNT\system32\lsass.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Agent de stratégie IPSEC (PolicyAgent) - Unknown owner - C:\WINNT\system32\lsass.exe
O23 - Service: Emplacement protégé (ProtectedStorage) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Gestionnaire de comptes de sécurité (SamSs) - Unknown owner - C:\WINNT\system32\lsass.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINNT\system32\MSTask.exe
O23 - Service: Service d'exécution par délégation (seclogon) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Still Image Service (StiSvc) - Unknown owner - C:\WINNT\system32\stisvc.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Client de suivi de lien distribué (TrkWks) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Gestionnaire d'utilitaires (UtilMan) - Unknown owner - C:\WINNT\System32\UtilMan.exe
O23 - Service: Horloge Windows (W32Time) - Unknown owner - C:\WINNT\System32\services.exe
O23 - Service: Windows Management Service - Unknown owner - C:\WINNT\system32\.exe (file missing)
O23 - Service: Infrastructure de gestion Windows (WinMgmt) - Unknown owner - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Extensions du pilote WMI (Wmi) - Unknown owner - C:\WINNT\system32\Services.exe

--
End of file - 8655 bytes
Configuration: Windows 2000
Internet Explorer 6.0

13 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    O4 - HKLM\..\Run: [SDR6V_Check] "C:\Program Files\Fichiers communs\DriveCleaner Free\udcsdr.exe"
    O4 - HKLM\..\Run: [WA6PV_Check] "C:\Program Files\Fichiers communs\DriveCleaner Free\udcwap.exe"

    fiix ces deux ligne

    puis lance rogue remover

    https://www.01net.com/telecharger/

    -----------------

    ensuite pour verifer

    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    Télécharger sur le bureau
    Navilog.zip
    = Double-Clic navilog1.zip
    = Extraire tout sur le bureau
    = Double-Clic navilog1 qui est sur le bureau
    = Appuyer sur une touche jusqu' arriver aux options
    = Choisir option 1

    un rapport : fixnavi.txt dans C : va se creer
    le copier/coller dans ton prochain message.

    = Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
    Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. Relancer le Pc et tapoter la touche F8, jusqu’à l’apparition des inscriptions avec choix de démarrage
    Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
    = Lance navilog1
    = Cette fois-ci choisi l'option 2
    = Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué *** Nettoyage Termine le ..... ***
    = Un rapport va être génrer sur ton C:\ qui sera en option 2
    Note: le bureau disparaît

    = Redémarre en mode normal et colle le contenu du rapport de navilog (qui est en option 2)

    utilise aussi pour supprimer tes traces

    -----------------------------------------
    CCLEANER: (lance un netoyage et repare les clés) sans installer la barre yahoo
    https://www.01net.com/

    ensuite:

    scan avec des antiespions(en mode sans echec):

    spybot :

    https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

    si tout c'est bien passer redemarre en mode normal et desactive la restauration syteme pour purger les virus qui seraient dedans puis reactive là (dans DEMARRER puis TOUS LES PROGRAMMES puis ACCESSOIRE puis OUTILS SYSTEME puis RESTAURATION SYSTEME puis parametre)

    D/puis fait un scan en ligne avec un des suivants: et colle le rapport)

    bitdefender en ligne :
    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    Panda en ligne :
    http://pandasoftware.fr
    0
  2. c.jarode Messages postés 9 Statut Membre
     
    Merci pour ton aide.

    Après avoir utilisé hijackthis dans la première étape de ta procédure j'ai remarqué que le problème avait disparu.
    Est-il quand même nécessaire que je fasse le reste ?

    :-)
    0
  3. Utilisateur anonyme
     
    Ton PC est encore infecté, donc oui :-)
    0
  4. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Salut Amigo

    Pour jlpjlp,

    sa procédure Navilog1 est périmée !

    Il ne faut plus passer volontairement en MSE en option 2!
    Et fixer une ligne HJT sans supprimer le dossier ne sert pas à grand chose /
    O4 - HKLM\..\Run: [SDR6V_Check] "C:\Program Files\Fichiers communs\DriveCleaner Free\udcsdr.exe"
    O4 - HKLM\..\Run: [WA6PV_Check] "C:\Program Files\Fichiers communs\DriveCleaner Free\udcwap.exe"

    Bonne nuit pour moi ;)
    Al.
    0
    1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
       
      rogue remover est specialisé pour enlever les rogue dont fait partie drive cleaner

      http://www.libellules.ch/dotclear/index.php?2006/11/29/1518-rogue-remover
      0
    2. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602 > jlpjlp Messages postés 52399 Statut Contributeur sécurité
       
      Salut jlpjlp,

      Merci pour l'info.
      Mais je me méfie de RogueRemover
      Déjà eu des soucis avec.
      Après son utilisation, fais faire une recherche de drive cleaner dans la BdR.
      Demande que l'internaute poste le résultat de la recherche sur son topic.
      Merci
      Bon dimanche ==> et n'oublie pas FixWareout pour l'Ukraine ;)
      Al.
      0
    3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
       
      on se passe de tes commentaire afideg : on est la pour s'entraider et non se casser.....
      0
    4. Utilisateur anonyme > jlpjlp Messages postés 52399 Statut Contributeur sécurité
       
      tu parles d'une entraide, ton copier/coller que tu donnes à tous sans en comprendre le fonctionnement ..

      J'attends toujours ton explication la concernant, hein ? !
      0
    5. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041 > Utilisateur anonyme
       
      tu pourrais pas comprendre
      fais tes discute et je ferai les miennes , ca sert a rien de discuter avec toi boule de poil
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Hey Amigo !

    Alors comment vas-tu dans ton royaume gelé ? :P

    a plus tard ;-)
    0
  7. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    Encore de l'eau Amigo, depuis un mois et demi.
    Heureusement je suis natif des Poissons ;)
    Mes patates et autres légumes ont le mildiou !

    à+..
    0
  8. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    jlpjlp

    Donne la priorité à l'aide efficace et sans risque pour l'internaute.
    Non seulement tu te trompes de diagnostic, mais il est totalement irréfléchi.

    Un helper digne dans sa passion, ne peut laisser passer des lignes "O17 d'Ukraine" en HJT.
    C'est une priorité.

    Et rendre une procédure Navilog, sans savoir que ce programme a subit une mise à jour qui dispense de devoir redémarrer soi-même ( avec des risques d'échec ) le PC en mode sans échec prouve ton manque total de respect vis-à-vis des internautes. Il est de ton devoir de te tenir informé, et de tout faire pour.

    Et dans le cas de problèmes causés par Drive Cleaner, une simple suppression ne suffit pas.
    Il reste des traces dans la base de registres qu'il faut supprimer absolument ( pour emplêcher l'infection de se réinstaller ) . C'est un principe de précaution.

    Il eut été souhaitable que tu dises merci, au lieu de gesticuler !

    Venir ainsi défier et tenir des propos hautains comme ceux que tu adresses à mon ami Boulepate ( voire en estropiant haineusement son pseudo ) n'est pas à ton honneur, bien au contraire.

    Pour connaître tes œuvres sur ce forum, il suffit de lire la liste de tes messages à partir d'un clic sur ton pseudo. Je regrette.

    Nous n'avons pas les mêmes critères de ce qu'est une entraide.
    Désolé et triste pour toi.
    Bon vent mec!

    Al.

    Salut Amigo.
    Que tout cela devient décourageant !
    Heureusement, derrière nos PC, nous ne craignons pas ces colériques complexés.
    Et l'on s'étonnera quand d'autres viendront nous donner des leçons avec leurs armes.
    En espérant que ce soit pour un monde meilleur.

    à+..
    0
  9. Utilisateur anonyme
     
    "Nous n'avons pas les mêmes valeurs" lol :P

    Oui, puis l'autre jour notre ami avec ses grandes valeurs demandait de faire un scan avec bitdefender avant de traiter une infection hosts qui redirigé tous les scans des anti-virus sur un site pas très correct, c'est sûr qu'il y a une façon de faire assez étonnante.
    Depuis cette semaine, il demande d'installer Bitdefender Free, alors que les personnes ont déjà un anti-virus, ça aussi j'adore :-)

    Faut plus chercher à comprendre le pourquoi du comment, trop long, trop complexe à comprendre ..

    Bref, bien triste..
    0
  10. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonsoir c.jarode,

    Pour faire avancer ce topic/

    1°- Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

    2°- FixWareout pour les O17.

    •- Télécharge ceci pour récupérer ta connexion : au cas où :
    < http://babin.nelly.free.fr/WinsockFix.zip >

    • Télécharge sur le bureau le "FixWareout" d'un de ces deux sites :

    http://downloads.subratam.org/Fixwareout.exe
    http://swandog46.geekstogo.com/Fixwareout.exe

    Lance FixWareout: clique sur "Next", puis "Install",
    puis assure-toi que "Run fixit" est activé puis clique sur "Finish".
    Le fix va commencer, suis les messages à l'écran.

    Il te sera demandé de redémarrer ton ordinateur, fais-le.
    Ton système mettra un peu plus de temps au démarrage, c'est normal.

    Au final, poste le contenu de "C:\fixwareout\report.txt" .S'il te plaît.

    3°- Relance HJT « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche la case devant ces lignes:

    O17 - HKLM\System\CCS\Services\Tcpip\..\{0654808B-B217-4E24-88FE-2F640DBE1CA7}: NameServer = 85.255.115.42,85.255.112.114
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2CFB6B40-623E-4950-9A88-8DF327CD8D02}: NameServer = 85.255.115.42,85.255.112.114
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7CD4656C-D8A9-40D8-9278-ADB4956456B4}: NameServer = 85.255.115.42,85.255.112.114
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.114
    O17 - HKLM\System\CS1\Services\Tcpip\..\{0654808B-B217-4E24-88FE-2F640DBE1CA7}: NameServer = 85.255.115.42,85.255.112.114
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.114
    O17 - HKLM\System\CS2\Services\Tcpip\..\{0654808B-B217-4E24-88FE-2F640DBE1CA7}: NameServer = 85.255.115.42,85.255.112.114
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.114

    Ensuite ferme tes programmes en cours, SURTOUT LES LOGICIELs AVEC PROTECTION EN TEMPS REEL, (antivirus, tea timer, ewido, ad-watch)... ( seul HijackThis doit être ouvert ) , et ensuite Clic [Fix checked]

    4°- Désinstalle ta version bêta de HijackThis et remplace-la par ceci , ensuite fais une analyse par HijackThis, comme ceci:

    - Avec connexion au Net en service,
    - télécharge la version originale de HijackThis < http://www.merijn.org/files/hijackthis.zip > https://www.pcastuces.com/logitheque/hijackthis.htm
    - et un Tutorial de BipBip avec copies d'écran ici < http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm >

    - Déconnecte-toi du Net pour installer le programme.

    - Ensuite, installe HJT ( = HijackThis ) dans C:\Program Files par exemple. Pour cela : [Enregistrer] > « Poste de Travail » > « C:\ » > « Program Files » > [Enregistrer]
    ( s'il n'y est pas, crée un raccourci sur vers le bureau )

    -Redémarre ton PC impérativement.

    - Lance HJT en cliquant l'icône bureau, puis sur « Do a system scan and save a logfile »

    - Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis

    - NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran.

    - Ouvre le rapport HijackThis précédemment sauvegardé et copie/colle-le dans ta prochaine réponse

    POURQUOI l'installer là ?
    Le problème consiste à avoir un dossier dédié à HijackThis;
    car lors de l'utilisation il créera un dossier backup permettant de revenir en arrière en cas d'erreur.
    L'emplacement de ce dossier importe peu à l'exclusion des dossiers temporaires qui sont vidés pratiquement systématiquement lors d'une procédure de nettoyage.
    Ce nettoyage effacerait donc les backups; ce qui empêcherait tout retour en arrière.


    Merci
    Al.
    0
    1. c.jarode Messages postés 9 Statut Membre
       
      Merci , dsl de n'avoir pas répondu avant.
      En fait je m'étais un peu avancé quand j'ai dit que mon problème avait disparu...j'ai toujours des redirections...

      Pour la procédure je ne pourais la faire que dans quelques jours car je ne vais pas être là un petit moment...

      Merci ;-)
      0
    2. c.jarode Messages postés 9 Statut Membre
       
      2° Voici le rapport Fixwareout:


      Fixwareout Last edited 6/27/2007
      Post this report in the forums please
      ...
      »»»»»Prerun check
      HKLM\SOFTWARE\~\Winlogon\ "System"="csbrg.exe"
      Service: "Windows Management Service" = C:\WINNT\System32\dmotl.exe

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
      "nameserver"="85.255.115.42" <Value cleared.
      HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{0654808B-B217-4E24-88FE-2F640DBE1CA7}
      "nameserver"="85.255.115.42,85.255.112.114" <Value cleared.
      HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{2CFB6B40-623E-4950-9A88-8DF327CD8D02}
      "nameserver"="85.255.115.42,85.255.112.114" <Value cleared.
      HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{7CD4656C-D8A9-40D8-9278-ADB4956456B4}
      "nameserver"="85.255.115.42,85.255.112.114" <Value cleared.
      HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{0654808B-B217-4E24-88FE-2F640DBE1CA7}
      "DhcpNameServer"="85.255.115.42,85.255.112.114" <Value cleared.
      HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{39DF7FDF-9CFE-456B-8919-18A219EE7896}
      "DhcpNameServer"="85.255.115.42,85.255.112.114" <Value cleared.
      HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{7CD4656C-D8A9-40D8-9278-ADB4956456B4}
      "DhcpNameServer"="85.255.115.42,85.255.112.114" <Value cleared.

      Cache de r‚solution DNS vid‚.


      System was rebooted successfully.

      »»»»» Postrun check
      HKLM\SOFTWARE\~\Winlogon\ "system"=""
      ....
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "0mdm" Deleted
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "1mdm" Deleted
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\_r "}4C9E3055FA43-9828-19B4-EC55-B9D1A34B{" Deleted
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\_r "}8BE5BCA12D70-8A4B-05F4-025A-8C20EE0C{" Deleted
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\_r "ltomd" Deleted
      ....
      »»»»» Misc files.
      C:\WINNT\System32\kernel32.exe Deleted
      ....
      »»»»» Checking for older varients.
      ....
      »»»»» Other
      C:\WINNT\TEMP\csbrg.ren 52827 18/06/07
      C:\WINNT\TEMP\dmotl.ren 57897 19/06/03
      »»»»» Current runs (hklm hkcu "run" Keys Only)
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Synchronization Manager"="mobsync.exe /logon"
      "IgfxTray"="C:\\WINNT\\system32\\igfxtray.exe"
      "HotKeysCmds"="C:\\WINNT\\system32\\hkcmd.exe"
      "PRISMSVR.EXE"="\"C:\\Program Files\\NOBRAND\\802.11g Wireless USB Adapter\\PRISMSVR.EXE\" /APPLY"

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "MSN MultiConnect"="C:\\Program Files\\MSN Multiconnect\\MSN Multiconnect.exe min"
      "AdobeUpdater"="C:\\Program Files\\Fichiers communs\\Adobe\\Updater5\\AdobeUpdater.exe"
      ....
      Hosts file was reset, If you use a custom hosts file please replace it
      »»»»» End report »»»»»





      4° Maintenant voici le rapport HJT que j'ai fait avec la connection internet active :


      Logfile of Trend Micro HijackThis v2.0.0 (BETA)
      Scan saved at 16:30:57, on 04/07/2007
      Platform: Windows 2000 SP4 (WinNT 5.00.2195)
      Boot mode: Normal

      Running processes:
      C:\WINNT\System32\smss.exe
      C:\WINNT\system32\winlogon.exe
      C:\WINNT\system32\services.exe
      C:\WINNT\system32\lsass.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\system32\spoolsv.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\System32\svchost.exe
      C:\WINNT\system32\regsvc.exe
      C:\WINNT\system32\MSTask.exe
      C:\WINNT\system32\stisvc.exe
      C:\WINNT\System32\WBEM\WinMgmt.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\Explorer.EXE
      C:\WINNT\system32\igfxtray.exe
      C:\WINNT\system32\hkcmd.exe
      C:\Program Files\NOBRAND\802.11g Wireless USB Adapter\PRISMSVR.EXE
      C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
      C:\WINNT\system32\wuauclt.exe
      C:\Documents and Settings\windows 2000\Mes documents\Kevin\pc\HiJackThis_v2.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
      O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
      O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
      O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Program Files\NOBRAND\802.11g Wireless USB Adapter\PRISMSVR.EXE" /APPLY
      O4 - HKCU\..\Run: [MSN MultiConnect] C:\Program Files\MSN Multiconnect\MSN Multiconnect.exe min
      O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
      O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
      O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
      O4 - Global Startup: 802.11g Wireless USB Adapter Utility.lnk = C:\Program Files\NOBRAND\802.11g Wireless USB Adapter\NB11GUTI.exe
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
      O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
      O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
      O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
      O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
      O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\system32\browseui.dll
      O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\system32\browseui.dll
      O23 - Service: Avertissement (Alerter) - Unknown owner - C:\WINNT\system32\services.exe
      O23 - Service: Gestion d'applications (AppMgmt) - Unknown owner - C:\WINNT\system32\services.exe
      O23 - Service: Explorateur d'ordinateur (Browser) - Unknown owner - C:\WINNT\system32\services.exe
      O23 - Service: Client DHCP (Dhcp) - Unknown owner - C:\WINNT\system32\services.exe
      O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINNT\System32\dmadmin.exe
      O23 - Service: Gestionnaire de disque logique (dmserver) - Unknown owner - C:\WINNT\System32\services.exe
      O23 - Service: Client DNS (Dnscache) - Unknown owner - C:\WINNT\system32\services.exe
      O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINNT\system32\services.exe
      O23 - Service: Service de télécopie (Fax) - Unknown owner - C:\WINNT\system32\faxsvc.exe
      O23 - Service: Serveur (lanmanserver) - Unknown owner - C:\WINNT\system32\services.exe
      O23 - Service: Station de travail (lanmanworkstation) - Unknown owner - C:\WINNT\system32\services.exe
      O23 - Service: Service d'application d'assistance TCP/IP NetBIOS (LmHosts) - Unknown owner - C:\WINNT\system32\services.exe
      O23 - Service: Affichage des messages (Messenger) - Unknown owner - C:\WINNT\system32\services.exe
      O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINNT\system32\mnmsrvc.exe
      O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINNT\system32\netdde.exe
      O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINNT\system32\netdde.exe
      O23 - Service: Ouverture de session réseau (Netlogon) - Unknown owner - C:\WINNT\system32\lsass.exe
      O23 - Service: Fournisseur de la prise en charge de sécurité LM NT (NtLmSsp) - Unknown owner - C:\WINNT\system32\lsass.exe
      O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINNT\system32\services.exe
      O23 - Service: Agent de stratégie IPSEC (PolicyAgent) - Unknown owner - C:\WINNT\system32\lsass.exe
      O23 - Service: Emplacement protégé (ProtectedStorage) - Unknown owner - C:\WINNT\system32\services.exe
      O23 - Service: Gestionnaire de comptes de sécurité (SamSs) - Unknown owner - C:\WINNT\system32\lsass.exe
      O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINNT\System32\SCardSvr.exe
      O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINNT\System32\SCardSvr.exe
      O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINNT\system32\MSTask.exe
      O23 - Service: Service d'exécution par délégation (seclogon) - Unknown owner - C:\WINNT\system32\services.exe
      O23 - Service: Still Image Service (StiSvc) - Unknown owner - C:\WINNT\system32\stisvc.exe
      O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINNT\system32\smlogsvc.exe
      O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINNT\system32\tlntsvr.exe
      O23 - Service: Client de suivi de lien distribué (TrkWks) - Unknown owner - C:\WINNT\system32\services.exe
      O23 - Service: Gestionnaire d'utilitaires (UtilMan) - Unknown owner - C:\WINNT\System32\UtilMan.exe
      O23 - Service: Horloge Windows (W32Time) - Unknown owner - C:\WINNT\System32\services.exe
      O23 - Service: Infrastructure de gestion Windows (WinMgmt) - Unknown owner - C:\WINNT\System32\WBEM\WinMgmt.exe
      O23 - Service: Extensions du pilote WMI (Wmi) - Unknown owner - C:\WINNT\system32\Services.exe
      0
  11. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonsoir c.jarode,

    CIT: « J'espère que j'ai tout bien fait comme il fallait ;-) »

    Réponse : NON.
    En effet :

    1°- Je demandais « - Ensuite, installe HJT ( = HijackThis ) dans C:\Program Files par exemple.
    Pour cela : [Enregistrer] > « Poste de Travail » > « C:\ » > « Program Files » > [Enregistrer]
    ( s'il n'y est pas, crée un raccourci sur vers le bureau )
    »

    2°- Qui t'a recommandé de faire ceci : « Et le rapport HJT sans connection internet » Je veux savoir.

    Pourras-tu m'expliquer, c'est quoi ces trucs :
    -O4 - HKCU\..\Run: [MSN MultiConnect] C:\Program Files\MSN Multiconnect\MSN Multiconnect.exe min
    -O4 - Global Startup: 802.11g Wireless USB Adapter Utility.lnk = C:\Program Files\NOBRAND\802.11g Wireless USB Adapter\NB11GUTI.exe
    -O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
    -O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)

    Aucun pare-feu actif n'a été trouvé

    Télécharge DiagHelp.zip sur ton bureau < http://www.malekal.com/download/DiagHelp.zip >
    • Ne double-clic pas dessus !! Fais un clic droit sur le fichier et "extraire tout"
    • Un nouveau dossier chercher va être créé DiagHelp
    • Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
    • Une fenêtre va s'ouvrir, choisis l'option 1
    • L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
    • Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post.
    TUTORIEL http://www.malekal.com/DiagHelp/
    UTILISATEUR http://www.malekal.com/DiagHelp/DiagHelp.php

    Bonne soirée.
    Al.
    0
  12. c.jarode Messages postés 9 Statut Membre
     
    Pour le 1° j'ai pas compris car le HJT que j'ai téléchargé grace à ton lien n'a pas besoin d'installation , ya juste a cliquer sur le fichier téléchargé pour que HJT démarre sans installation préalable... ( c'est comme pour Photofiltre y a pas besoin d'installation ).

    Pour le HJT sans connection , j'ai dû mal interprèté ...

    -O4 - HKCU\..\Run: [MSN MultiConnect] C:\Program Files\MSN Multiconnect\MSN Multiconnect.exe min
    (MSN multiconnect c'est un programme pour pouvoir ouvrir plusieurs sessions MSN en même temps)

    -O4 - Global Startup: 802.11g Wireless USB Adapter Utility.lnk = C:\Program Files\NOBRAND\802.11g Wireless USB Adapter\NB11GUTI.exe
    (Wireless USB c'est un truc que mon frère à installé il y a longtemps pour une connection wifi je crois .... je sais pas trop précisément)

    --O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
    -O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing
    (ça je sais plus trop ce que c'est mais "addon" ça me dit quelque chose. ça doit être un truc de msn messenger , une extension ...)

    Je fais DiagHelp.zip et je repost après pour le rapport....
    0
  13. c.jarode Messages postés 9 Statut Membre
     
    Voila:

    DiagHelp version v1.1.2 - http://www.malekal.com
    excute le jeu. 05/07/2007 à 20:08:55,36

    Liste des derniers fichies modifies/crees dans windir\system32
    C:\WINNT\System32/drivers\pstrip.sys -->30/09/2006 11:35:52
    C:\WINNT\System32/drivers\PxHelp20.sys -->25/08/2006 04:47:00
    C:\WINNT\System32/drivers\cdr4_2K.sys -->25/08/2006 04:47:00
    C:\WINNT\System32/drivers\cdralw2k.sys -->25/08/2006 04:47:00
    C:\WINNT\System32/drivers\A4501A.sys -->28/11/2005 20:43:00
    C:\WINNT\System32/drivers\pfc027.sys -->03/11/2004 14:33:54
    C:\WINNT\System32/drivers\stream.sys -->09/07/2004 04:27:28

    C:\WINNT\System32\DonationCoder_ScreenshotCaptor_InstallInfo.dat -->22/06/2007 05:12:58
    C:\WINNT\System32\Perflib_Perfdata_568.dat -->15/06/2007 21:38:56
    C:\WINNT\System32\FNTCACHE.DAT -->25/03/2007 19:44:30
    C:\WINNT\System32\pxcpya64.exe -->25/08/2006 05:47:00
    C:\WINNT\System32\pxinsi64.exe -->25/08/2006 05:47:00
    C:\WINNT\System32\pxinsa64.exe -->25/08/2006 05:47:00
    C:\WINNT\System32\pxhpinst.exe -->25/08/2006 05:47:00
    C:\WINNT\System32\pxafs.dll -->25/08/2006 04:47:00
    C:\WINNT\System32\pxsfs.dll -->25/08/2006 04:47:00
    C:\WINNT\System32\pxdrv.dll -->25/08/2006 04:47:00
    C:\WINNT\System32\vxblock.dll -->25/08/2006 04:47:00
    C:\WINNT\System32\pxwave.dll -->25/08/2006 04:47:00
    C:\WINNT\System32\pxmas.dll -->25/08/2006 04:47:00
    C:\WINNT\System32\px.dll -->25/08/2006 04:47:00
    C:\WINNT\System32\msvcm80.dll -->05/06/2006 14:14:28
    C:\WINNT\System32\msvcp80.dll -->05/06/2006 14:14:28
    C:\WINNT\System32\msvcr80.dll -->05/06/2006 14:14:28
    C:\WINNT\System32\x264vfw.dll -->17/02/2006 20:22:22
    C:\WINNT\System32\lame_acm.xml -->30/01/2006 21:54:08
    C:\WINNT\System32\ff_vfw.dll -->27/01/2006 14:36:06
    C:\WINNT\System32\divx.dll -->18/01/2006 20:47:36
    C:\WINNT\System32\qt-dx331.dll -->06/01/2006 17:35:00
    C:\WINNT\System32\dtu100.dll -->06/01/2006 17:35:00
    C:\WINNT\System32\dpuGUI11.dll -->06/01/2006 17:35:00
    C:\WINNT\System32\dpus11.dll -->06/01/2006 17:34:58

    C:\WINNT\SchedLgU.Txt -->05/07/2007 05:12:46
    C:\WINNT\wmsetup.log -->22/06/2007 05:14:48
    C:\WINNT\win.ini -->22/06/2007 05:08:36
    C:\WINNT\qeij.exe -->18/06/2007 00:30:28
    C:\WINNT\f.exe -->18/06/2007 00:30:26
    C:\WINNT\setupapi.log -->16/06/2007 20:01:14
    C:\WINNT\RSH3854AF.txt -->11/06/2007 05:49:32
    C:\WINNT\Windows Update.log -->28/04/2007 12:27:08
    C:\WINNT\imsins.log -->28/04/2007 12:25:22
    C:\WINNT\ocgen.log -->28/04/2007 12:25:22
    C:\WINNT\ockodak.log -->28/04/2007 12:25:22
    C:\WINNT\comsetup.log -->28/04/2007 12:25:22
    C:\WINNT\iis5.log -->28/04/2007 12:25:22
    C:\WINNT\dsez4119.dat -->26/04/2007 21:05:28
    C:\WINNT\rack32a.ini -->18/04/2007 19:40:52

    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est B8CA-2C20

    Répertoire de C:\WINNT\system32

    19/06/2003 10:05 5 392 csrss.exe
    1 fichier(s) 5 392 octets
    0 Rép(s) 3 422 076 928 octets libres

    Contenu de Downloaded Program Files
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est B8CA-2C20

    Répertoire de C:\WINNT\Downloaded Program Files

    03/10/2003 19:39 <DIR> .
    03/10/2003 19:39 <DIR> ..
    03/10/2003 21:41 65 desktop.ini
    09/11/2006 14:36 5 019 swflash.inf
    04/07/2006 18:12 155 648 FileUploader.dll
    22/02/2007 23:41 304 544 MessengerStatsPAClient.dll
    28/02/2007 14:21 130 472 MineSweeper.dll
    5 fichier(s) 595 748 octets

    Total des fichiers listés :
    5 fichier(s) 595 748 octets
    2 Rép(s) 3 422 076 928 octets libres

    Recherche de rootkit! (Merci S!Ri)

    Recherche d'infections connues

    Export des clefs sensibles..

    Liste des fichiers en exception sur le pare-feu XP SP2

    Export de la clef SharedTaskScheduler

    [SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

    Rechercher adresses sensibles dans le fichier HOSTS...

    catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-07-05 20:09:12
    Windows 5.0.2195 Service Pack 4 FAT NTAPI

    scanning hidden services ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden services: 0
    hidden files: 0

    KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

    Process list by traversal of KiWaitInListHead and KiWaitOutListHead

    8 - System
    212 - smss.exe
    232 - winlogon.exe
    236 - csrss.exe
    288 - services.exe
    300 - lsass.exe
    488 - svchost.exe
    512 - spoolsv.exe
    544 - svchost.exe
    548 - iexplore.exe
    568 - svchost.exe
    596 - regsvc.exe
    628 - MSTask.exe
    672 - stisvc.exe
    720 - WinMgmt.exe
    728 - svchost.exe
    1068 - Explorer.EXE
    1096 - igfxtray.exe
    1120 - hkcmd.exe
    1140 - PRISMSVR.EXE
    1148 - wuauclt.exe
    1364 - iexplore.exe
    1520 - cmd.exe

    Total number of processes = 23

    KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

    Driver/Module list by traversal of PsLoadedModuleList

    80400000 - \WINNT\System32\ntoskrnl.exe
    80062000 - \WINNT\System32\hal.dll
    ED410000 - \WINNT\System32\BOOTVID.DLL
    BFF2D000 - sptd.sys
    BFF1A000 - \WINNT\System32\Drivers\SPTD3709.SYS
    BFEF2000 - a347bus.sys
    BFECA000 - ACPI.sys
    ED5C8000 - \WINNT\system32\DRIVERS\WMILIB.SYS
    ED000000 - isapnp.sys
    ED010000 - pci.sys
    ED5C9000 - pciide.sys
    ED280000 - \WINNT\system32\DRIVERS\PCIIDEX.SYS
    ED500000 - intelide.sys
    ED288000 - MountMgr.sys
    BFEAD000 - ftdisk.sys
    ED502000 - Diskperf.sys
    ED504000 - dmload.sys
    BFE8B000 - dmio.sys
    ED414000 - PartMgr.sys
    BFE75000 -
    ED506000 - a347scsi.sys
    BFE62000 - \WINNT\System32\Drivers\SCSIPORT.SYS
    ED290000 - disk.sys
    ED020000 - \WINNT\system32\DRIVERS\CLASSPNP.SYS
    ED030000 - PxHelp20.sys
    BFE3F000 - Fastfat.sys
    BFE2D000 - KSecDD.sys
    BFE03000 - NDIS.sys
    BFDED000 - Mup.sys
    ED060000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
    BFD55000 - \SystemRoot\system32\DRIVERS\i81xnt5.sys
    BFD10000 - \SystemRoot\system32\drivers\KS.SYS
    BFD30000 - \SystemRoot\system32\drivers\portcls.sys
    ED2B8000 - \SystemRoot\system32\drivers\als4000.sys
    ED070000 - \SystemRoot\system32\DRIVERS\el90xbc5.sys
    ED080000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
    ED2E8000 - \SystemRoot\system32\DRIVERS\mouclass.sys
    ED2F8000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
    ED308000 - \SystemRoot\system32\DRIVERS\fdc.sys
    ED090000 - \SystemRoot\system32\DRIVERS\serial.sys
    ED4C8000 - \SystemRoot\system32\DRIVERS\serenum.sys
    ED320000 - \SystemRoot\system32\DRIVERS\parport.sys
    ED5D3000 - \SystemRoot\System32\Drivers\Cdr4_2K.SYS
    ED330000 - \SystemRoot\System32\Drivers\MxlW2k.SYS
    ED340000 - \SystemRoot\system32\DRIVERS\cdrom.sys
    ED5D4000 - \SystemRoot\System32\Drivers\Cdralw2k.SYS
    ED360000 - \SystemRoot\system32\DRIVERS\USBD.SYS
    ED348000 - \SystemRoot\system32\DRIVERS\uhcd.sys
    ED5D5000 - \SystemRoot\system32\DRIVERS\audstub.sys
    ED0B0000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
    ED4D8000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
    BFCF9000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
    ED4E8000 - \SystemRoot\system32\DRIVERS\TDI.SYS
    ED0C0000 - \SystemRoot\system32\DRIVERS\raspptp.sys
    ED380000 - \SystemRoot\system32\DRIVERS\ptilink.sys
    ED390000 - \SystemRoot\system32\DRIVERS\raspti.sys
    ED0D0000 - \SystemRoot\system32\DRIVERS\parallel.sys
    ED5D6000 - \SystemRoot\system32\DRIVERS\swenum.sys
    BFCCE000 - \SystemRoot\system32\DRIVERS\update.sys
    ED4F4000 - \SystemRoot\system32\DRIVERS\gameenum.sys
    ED3B0000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
    ED110000 - \SystemRoot\system32\DRIVERS\usbhub.sys
    ED120000 - \SystemRoot\System32\Drivers\NDProxy.SYS
    ED510000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
    ED5D8000 - \SystemRoot\System32\Drivers\Null.SYS
    ED5D9000 - \SystemRoot\System32\Drivers\Beep.SYS
    BFDC1000 - \SystemRoot\System32\drivers\vga.sys
    ED5DA000 - \SystemRoot\System32\Drivers\mnmdd.SYS
    ED3D0000 - \SystemRoot\System32\Drivers\Msfs.SYS
    ED130000 - \SystemRoot\System32\Drivers\Npfs.SYS
    ED518000 - \SystemRoot\system32\DRIVERS\rasacd.sys
    BBBB4000 - \SystemRoot\system32\DRIVERS\tcpip.sys
    ED140000 - \SystemRoot\system32\DRIVERS\msgpc.sys
    ED3E8000 - \SystemRoot\system32\DRIVERS\wanarp.sys
    BBB8A000 - \SystemRoot\system32\DRIVERS\netbt.sys
    ED150000 - \SystemRoot\system32\DRIVERS\netbios.sys
    BBABF000 - \SystemRoot\system32\DRIVERS\rdbss.sys
    BBA46000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
    ED5DB000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
    BBA08000 - \SystemRoot\System32\Drivers\dump_atapi.sys
    A0000000 - \??\C:\WINNT\system32\win32k.sys
    ED4C4000 - \SystemRoot\system32\drivers\Vchnt5.DLL
    ED4D0000 - \SystemRoot\system32\drivers\Ch7xxNT5.DLL
    ED5DC000 - \SystemRoot\system32\drivers\SiInt5.DLL
    ED2F0000 - \SystemRoot\system32\drivers\atv01nt5.DLL
    ED528000 - \SystemRoot\system32\drivers\adv01nt5.DLL
    ED4E0000 - \SystemRoot\system32\drivers\atv02nt5.DLL
    ED5DD000 - \SystemRoot\system32\drivers\adv02nt5.DLL
    ED328000 - \SystemRoot\system32\drivers\atv04nt5.DLL
    ED5DE000 - \SystemRoot\system32\drivers\adv05nt5.DLL
    ED4EC000 - \SystemRoot\system32\drivers\atv06nt5.DLL
    ED5DF000 - \SystemRoot\system32\drivers\adv07nt5.DLL
    ED5E0000 - \SystemRoot\system32\drivers\adv08nt5.DLL
    ED5E1000 - \SystemRoot\system32\drivers\adv09nt5.DLL
    ED378000 - \SystemRoot\system32\drivers\atv10nt5.DLL
    ED5E2000 - \SystemRoot\system32\drivers\adv11nt5.DLL
    BB93C000 - \SystemRoot\System32\i81xdnt5.dll
    BB928000 - \SystemRoot\system32\DRIVERS\mdc8021x.sys
    BB87E000 - \SystemRoot\System32\drivers\afd.sys
    ED53E000 - \SystemRoot\System32\Drivers\ParVdm.SYS
    ED298000 - \SystemRoot\system32\drivers\pstrip.sys
    ED190000 - \SystemRoot\System32\Drivers\Fips.SYS
    BB6B4000 - \SystemRoot\system32\drivers\wdmaud.sys
    ED170000 - \SystemRoot\system32\drivers\sysaudio.sys
    BB588000 - \SystemRoot\system32\DRIVERS\srv.sys
    BB6E6000 - \SystemRoot\System32\Drivers\Cdfs.SYS
    BB86E000 - \SystemRoot\system32\DRIVERS\ipsec.sys
    BAE64000 - \SystemRoot\system32\drivers\kmixer.sys
    ED5E3000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

    Total number of drivers = 109

    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est B8CA-2C20

    Répertoire de C:\Program Files

    03/10/2003 19:12 <DIR> .
    03/10/2003 19:12 <DIR> ..
    03/10/2003 19:37 <DIR> Accessoires
    04/11/2003 14:56 <DIR> Adaptec
    11/02/2004 16:27 <DIR> Adobe
    03/10/2003 22:14 <DIR> Alcohol Soft
    06/04/2007 12:18 <DIR> AlsRack
    28/05/2007 21:00 <DIR> BitTorrent Fastest Tool
    16/05/2007 23:09 <DIR> Bresser
    16/05/2007 23:09 <DIR> Common Files
    03/10/2003 19:39 <DIR> ComPlus Applications
    14/01/2004 17:10 <DIR> eMule
    03/10/2003 19:12 <DIR> Fichiers communs
    18/03/2004 20:53 <DIR> Free
    08/10/2003 19:49 <DIR> HDD Regenerator
    03/10/2003 22:13 <DIR> Infos DivX
    03/10/2003 21:29 <DIR> Intel
    03/10/2003 19:39 <DIR> Internet Explorer
    03/10/2003 22:11 <DIR> K-Lite Codec Pack
    03/10/2003 19:38 <DIR> Lecteur Windows Media
    03/10/2003 22:08 <DIR> Messenger
    03/10/2003 19:41 <DIR> microsoft frontpage
    03/10/2003 21:54 <DIR> Microsoft Office
    03/10/2003 21:56 <DIR> Microsoft Visual Studio
    03/10/2003 22:08 <DIR> MSN Messenger
    05/06/2007 22:37 <DIR> MSN Multiconnect
    03/10/2003 22:07 <DIR> Musicmatch
    03/10/2003 19:39 <DIR> NetMeeting
    14/01/2004 03:56 <DIR> NOBRAND
    03/10/2003 19:39 <DIR> Outlook Express
    09/12/2003 15:38 <DIR> PowerStrip
    29/06/2007 20:33 <DIR> Real
    16/05/2007 03:19 <DIR> Skype
    03/10/2003 21:59 <DIR> SuperCopier2
    09/12/2003 15:47 <DIR> Winamp
    03/10/2003 19:39 <DIR> Windows Media Player
    03/10/2003 19:37 <DIR> Windows NT
    03/10/2003 21:59 <DIR> WinRAR
    03/10/2003 22:05 <DIR> XnView
    29/06/2007 20:34 <DIR> Yahoo!
    0 fichier(s) 0 octets
    40 Rép(s) 3 421 831 168 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est B8CA-2C20

    Répertoire de C:\Program Files\fichiers communs

    03/10/2003 19:12 <DIR> .
    03/10/2003 19:12 <DIR> ..
    03/10/2003 19:12 <DIR> Microsoft Shared
    03/10/2003 19:12 <DIR> ODBC
    03/10/2003 19:39 <DIR> System
    03/10/2003 19:39 <DIR> Services
    03/10/2003 21:30 <DIR> InstallShield
    03/10/2003 21:56 <DIR> Designer
    03/10/2003 22:06 <DIR> Adaptec Shared
    04/11/2003 14:56 <DIR> ADAPTEC
    11/02/2004 16:27 <DIR> Adobe
    18/06/2007 17:29 <DIR> DriveCleaner Free
    0 fichier(s) 0 octets
    12 Rép(s) 3 421 831 168 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est B8CA-2C20

    Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

    03/10/2003 20:34 <DIR> .
    03/10/2003 20:34 <DIR> ..
    04/11/1999 01:38 561 210 MSONSEXT.DLL
    07/03/2001 15:00 127 033 MSOWS40c.DLL
    03/06/1999 20:09 122 937 MSOWS409.DLL
    18/06/2007 00:32 73 581 ibm00001.dll
    18/06/2007 00:32 58 082 ibm00002.dll
    5 fichier(s) 942 843 octets
    2 Rép(s) 3 421 831 168 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est B8CA-2C20

    Répertoire de C:\Program Files\common files

    16/05/2007 23:09 <DIR> .
    16/05/2007 23:09 <DIR> ..
    16/05/2007 23:09 <DIR> PCCamera
    0 fichier(s) 0 octets
    3 Rép(s) 3 421 831 168 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est B8CA-2C20

    Répertoire de C:\

    18/06/2007 13:54 188 886 xx1232255.exe
    12/05/2007 18:22 68 096 diff.exe
    12/05/2007 18:22 103 424 grep.exe
    3 fichier(s) 360 406 octets
    0 Rép(s) 3 421 831 168 octets libres
    c:\Documents and Settings\NEC Powermate BC\Application Data\Microsoft\Installer\{9064B17E-9FC9-439D-A4A0-668EC6AAFDEC}\NewShortcut1.exe
    c:\Documents and Settings\NEC Powermate BC\Application Data\Microsoft\Installer\{9064B17E-9FC9-439D-A4A0-668EC6AAFDEC}\NewShortcut2.exe
    c:\Documents and Settings\windows 2000\Local Settings\Temp\ResHacker.exe
    c:\Documents and Settings\windows 2000\Local Settings\Temp\WindowsInstaller-KB893803-v2-x86.exe
    c:\Documents and Settings\windows 2000\Local Settings\Temp\ycomp_setup.exe
    c:\Documents and Settings\windows 2000\Local Settings\Temp\ytb3.exe
    c:\Documents and Settings\windows 2000\Local Settings\Temp\AIM\AIMSetup.exe
    c:\Documents and Settings\windows 2000\Local Settings\Temp\UDC6V_0001_D19M0709\installer.exe
    c:\Documents and Settings\windows 2000\Local Settings\Temp\Rar$EX00.003\WinsockFix.exe
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\6344V1_4 (Bios carte mère V1.4).exe
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\infinst_enu (chipset utility).exe
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\SC148TB700 (Firmware Samsung SC148T).exe
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\IntelChipdrv-v260-001a (driver chipset Intel)\_ISDel.exe
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\IntelChipdrv-v260-001a (driver chipset Intel)\IntelChipdrv-v260-001a (driver chipset Intel).exe
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\IntelChipdrv-v260-001a (driver chipset Intel)\Setup.exe
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\Stac97_W2k (Driver carte son Sigmatel)\Stac97_W2k (Driver carte son Sigmatel).exe
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\win2ke64 (driver carte video)\Setup.exe
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\win2ke64 (driver carte video)\win2ke64 (driver carte video).exe
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\win2ke64 (driver carte video)\Win2000\hkcmd.exe
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\win2ke64 (driver carte video)\Win2000\igfxcfg.exe
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\win2ke64 (driver carte video)\Win2000\igfxdiag.exe
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\win2ke64 (driver carte video)\Win2000\igfxtray.exe
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\logmouse (driver souris)\logmouse (driver souris).exe
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\logmouse (driver souris)\Setup.exe
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\logmouse (driver souris)\DOS\MOUSE.EXE
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\510007121 (codec audio)\510007121 (codec audio).exe
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\510007121 (codec audio)\St9756\setup.exe
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\3c905c (driver carte réseau 3Com)\3c905c (driver carte réseau 3Com).exe
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\3c905c (driver carte réseau 3Com)\3C90XCFG.EXE
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\3c905c (driver carte réseau 3Com)\DAINST.EXE
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\3c905c (driver carte réseau 3Com)\INSTALL.EXE
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\3c905c (driver carte réseau 3Com)\PREINSTL.EXE
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\3c905c (driver carte réseau 3Com)\UTILS\FILCPY.EXE
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\3c905c (driver carte réseau 3Com)\UTILS\FILEDT.EXE
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\3c905c (driver carte réseau 3Com)\UTILS\FILFND.EXE
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\3c905c (driver carte réseau 3Com)\UTILS\PACK.EXE
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\3c905c (driver carte réseau 3Com)\UTILS\SHOWVER.EXE
    c:\Documents and Settings\windows 2000\Mes documents\NEC PowerMate SL\3c905c (driver carte réseau 3Com)\COMSLINK\INST.EXE
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\update.exe
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\MSN Vidéo_fichiers\INSTALL_MSN_MESSENGER_NT.EXE
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\MSN Vidéo_fichiers\msnpolygamy_7x.exe
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\MSN Vidéo_fichiers\REST2514.EXE
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\Photofiltre\PhotoFiltre.exe
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\Nouveau dossier\Fixwareout.exe
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\Nouveau dossier\pc\ccsetup138.exe
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\Nouveau dossier\pc\HiJackThis_v2.exe
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\Nouveau dossier\DiagHelp\catchme.exe
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\Nouveau dossier\DiagHelp\diff.exe
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\Nouveau dossier\DiagHelp\dumphive.exe
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\Nouveau dossier\DiagHelp\FilesInfoCmd.exe
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\Nouveau dossier\DiagHelp\find2.exe
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\Nouveau dossier\DiagHelp\Fport.exe
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\Nouveau dossier\DiagHelp\grep.exe
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\Nouveau dossier\DiagHelp\KProcCheck.exe
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\Nouveau dossier\DiagHelp\LFiles.exe
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\Nouveau dossier\DiagHelp\LISTDLLS.exe
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\Nouveau dossier\DiagHelp\pslist.exe
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\Nouveau dossier\DiagHelp\streams.exe
    c:\Documents and Settings\windows 2000\Mes documents\Kevin\Nouveau dossier\DiagHelp\swreg.exe
    c:\Documents and Settings\windows 2000\Mes documents\Michel\Autres docu_Michel\klcodec279f.exe
    c:\Documents and Settings\windows 2000\Mes documents\Michel\Autres docu_Michel\XnView-win.exe
    c:\Documents and Settings\windows 2000\Mes documents\Michel\Autres docu_Michel\ECRANVEILLE\Deutz Engine.exe
    c:\Documents and Settings\windows 2000\Mes documents\Michel\Autres docu_Michel\ECRANVEILLE\IKEA_ihp_bureau.exe
    c:\Documents and Settings\windows 2000\Mes documents\Michel\Autres docu_Michel\ECRANVEILLE\IKEA_ihp_cuisine1_6_2.exe

    ****** Fin du rapport DiagHelp
    0
  14. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    Bon, pas le temps d'attendre le rapport HijackThis.
    Alors, je passe à l'étape suivante.

    A)- Peux-tu contrôler ces fichiers en gras à l'aide de VirusTotal
    C:\xx1232255.exe ( où xx peut être des lettres )
    C:\Program Files\fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll
    C:\Program Files\fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll

    Pour cela:

    1 Assure toi d'avoir accès aux dossiers/fichiers cachés :
    Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
    Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage »
    et là :
    cocher la case devant les lignes:
    - afficher les fichiers et dossier cachés
    - afficher contenu dossier système
    décocher la case devant les lignes:
    - masquer fichiers protégés du dossier système
    Tu vas recevoir un message qui te dit que cela peut endommager le système,
    n'en tiens pas compte.
    Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]
    Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >

    2- Recherche via "Poste de travail" et supprime ce dossier en gras C:\Program Files\Fichiers communs\DriveCleaner Free

    3- Ensuite, vas là :< http://www.virustotal.com/en/virustotalx.html >
    •- sur la page qui s'affiche tu cliques sur "parcourir"
    •- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin des fichiers via "Poste de travail" ( que Virustotal va analyser un par un, à ta demande; puisque tu devras recommencer la procédure "parcourir", fichier par fichier ) )
    •- c'est-à-dire :
    C:\xx1232255.exe
    C:\Program Files\fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll
    C:\Program Files\fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll
    •- quand tu as trouvé le fichier xx1232255.exe , tu clic "ouvrir" ( sur cette dernière page affichée)
    •- le fichier se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
    •- là, tu cliques sur "send" ( au-dessus, à droite de la page de Virustotal )
    •- et tu attends le résultat ( sois patient )
    •- que tu postes sur le forum ( par copier /coller tout le rapport )
    DONC, tu refais la manipulation fichier par fichier.

    Merci pour ta collaboration

    C)- Désinfection:
    -Téléchargez SmitFraudFix < http://siri.urz.free.fr/Fix/SmitfraudFix.zip > et dézippez le sur le bureau.
    -Télécharger "Spyware Terminator" < http://www.spywareterminator.com/ > et suivre ces tutoriels < http://www.kachouri.com/tuto/tuto-328-spyware-terminator-12.html > suivi de < http://www.kachouri.com/tuto/tuto-329-spyware-terminator-22.html >

    -Démarrez Windows en mode sans échec < https://www.malekal.com/demarrer-windows-mode-sans-echec/ >

    -Executez le SmitFraudFix et lancez le fichier "SmitfraudFix.cmd"
    Choisissez "l'option 2" et appuiez sur "Entrée"
    Répondez o (Oui) aux deux questions suivantes si elles sont posées :
    Supprimez le dossier : C:\Program Files\DriveCleaner 2006 Free
    Supprimez le dossier : C:\Program Files\Common Files\DriveCleaner 2006 Free\

    -Afin de supprimer toutes traces du spyware et d'autres élements qu'il aurait pu installer, scannez votre ordinateur avec :
    Spyware Terminator en mode EXPERT quand tu reçois cette page < http://img505.imageshack.us/img505/7517/screenshot317rj6.gif >
    Fais un copier/coller du rapport qui se trouve dans la fenêtre déroulante à la fin de l'analyse.
    Sur le dernier onglet on peut lire: Last scan report = le rapport du dernier scan
    À poster aussi sur le forum SVP

    Note: Le rapport doit ( par exemple ) commencer ainsi :

    Analyse en Progression (analyse complète)
    Temps Démarré: 27/03/2007 09:13:11
    Database: 1.0.642.396

    et se terminer ( par exemple ) ainsi :

    Résumé de l'Analyse:
    Temps Total de l'Analyse : 2766,66 s
    Objets Analysés : 114 463
    Objets Identifiés : 364
    Objets Ignorés : 0
    Objets Critiques : 2
    Déplace le Processus:
    Préparation des structures
    Création du point de restauration
    Déplacer WSys
    Fichier Supprimé: C:\WINDOWS\system32\WinSys.exe
    Déplacer 2Search
    Suppression du Registre : HKCR\CLSID\{7DD95801-9882-11CF-9FA9-00AA006C42C4}
    Fermeture du point de Restauration système

    Merci pour ta collaboration


    - Redémarrez l'ordinateur normalement

    - Faire un ScanOnline PANDA ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >
    Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.
    Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId23736 >
    Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

    * A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse

    Prends tout ton temps.
    Mais exécute tout et dans l'ordre de procédure indiqué.
    Bonne soirée
    Al.
    0