Sujet Précédent Sujet Suivant

Problème de suppression de virus

Fermé
indy592 - 12 juil. 2007 à 09:48
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 14 juil. 2007 à 17:27
Bonjour,

Bon, alors je vais essayer de faire simple pour vous exposer clairement mon problème :

1) Je possède un PC Dell avec windows SP2 installé dessus, ainsi qu'une connexion internet WIFI à l'aide d'une antenne WIFI et de la Live box d'orange, le problème est qu'internet ne marche plus (et donc avast ou spybot non plus ! ça M'ENERVE ! avoir obligatoirement besoin d'internet pour faire un scan, ça a de quoi vous mettre les boules !)

2) Bref, j'ai quand même fait un scan avec CCleaner (qui a marché !), puis avec Vundofix (qui n'a rien détecté !) puis Smitfraud, navilog et Hijackthis (dont je posterais les logs) et ou vous pourrez m'en apprendre plus sur la démarche à suivre !

3) Enfin, j'ai utilisé la fonction "réparer" du CD d'installation de windows XP SP2, ce qui m'a affiché plein de messages (cookies), j'ai donc fait plusieurs analyses avec SUPER antispyware, ce qui a toujours donné le même résultat :
un écran bleu avec le message suivant :
"le problème semble être causé par le fichier suivant : rosa.sys
Si vous voyez cet écran d'erreur d'arrêt pour la première fois, redémarrez votre ordinateur. Si cet écran apparaît encore, suivez ces étapes :
etc...
informations techniques :
*** STOP:0x00000050 (0xec29c000,0x00000000,0xec0922ef,0x00000000)
*** rosa.sys - Address ec0922ef base at ec08b000, datestamp 46794c67"
C'est quoi ce fichier "rosa.sys" ? je le trouve nulle part ? c'est un virus ?

voici enfin les logs d'hijacthis :

Logfile of HijackThis v1.99.1
Scan saved at 23:27:42, on 11/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\PRISMSVC.EXE
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PRISMSVR.EXE
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Dell sans fil\PRISMCFG.exe
E:\élimination de virus\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] "C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Program Files\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Utilitaire de carte WLAN sans fil USB 2.0.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: PRISMAPI.DLL - C:\WINDOWS\SYSTEM32\PRISMAPI.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: PRISMSVC - Conexant Systems, Inc. - C:\WINDOWS\system32\PRISMSVC.EXE

Navilog :

Search Navipromo version 2.0.2 commencé le 11/07/2007 à 23:21:18,31

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Pierre Pouget\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\hldrrr.exe

Processus caché(s) dans C:\WINDOWS\system32 :

C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\hldrrr.exe


*** Recherche fichiers ***




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********


*** Analyse Terminé le 11/07/2007 à 23:25:40,92 ***

et Smitfraud :

SmitFraudFix v2.183

Rapport fait à 23:32:59,98, 11/07/2007
Executé à partir de E:\‚limination de virus\Smitfraud\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\PRISMSVC.EXE
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PRISMSVR.EXE
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Dell sans fil\PRISMCFG.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\Tasks\At?.job PRESENT !
C:\WINDOWS\Tasks\At??.job PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pierre Pouget


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pierre Pouget\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PIERRE~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\paytime.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Adaptateur USB 2.0 sans fil à double bande (802.11a/b/g) Dell 1450 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{56C249E4-D3D5-4DE2-ADCE-11473941F787}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{56C249E4-D3D5-4DE2-ADCE-11473941F787}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Ayant toutes ces infos, pourriez vous m'aidez à réparer mon ordi ? Merci d'avance !
A voir également:

14 réponses

Réponse 1 / 14
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
12 juil. 2007 à 13:52
fait la deuxieme partie de navilog



= Lance navilog1
= Cette fois-ci choisi l'option 2
= Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué *** Nettoyage Termine le ..... ***
= Un rapport va être génrer sur ton C:\ qui sera en option 2
Note: le bureau disparaît

= colle le contenu du rapport de navilog (qui est en option2)
----------------------


fait DEMARRER puis EXECUTER et tape mrt puis clique sur ok et suis la procedure


---------------------

scan avec stinger dit ce qui est trouvé)

https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/29415.html



------------
pour smit fraud fix fait ca

smit fraud fix


2/ double clique sur smitfraudfix. puis selectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes. une fois le rapport effectué redemarre en mode sans echec (en appuyant sur F8 ou suppr, ou F5 au demarrage en général)

3/ puis refaire comme en 2/ mais selectionne l'option 2 et appuyer sur entrée pour commencer la desinfection. lorsque le programme demande si tu veut nettoyer le registre metsoui en tapant 0 et entrée

------------------

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum


-------------------

recolle un rapport hijackthis

---------------

fait un scan en ligne

si tu peux



colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr
0
Réponse 2 / 14
raleuboleu Messages postés 5022 Date d'inscription mercredi 13 décembre 2006 Statut Membre Dernière intervention 14 mars 2012 79
12 juil. 2007 à 13:59
salut

Tu n'as ni antivirus, ni parefeu????

Enleve super antispyware stp pour commancer et on verra le reste mais il te faut installer de quoi proteger ton ordi déjà

bizz
0
Réponse 3 / 14
raleuboleu Messages postés 5022 Date d'inscription mercredi 13 décembre 2006 Statut Membre Dernière intervention 14 mars 2012 79
12 juil. 2007 à 14:02
salut jlpjlp , désolée du double post ^^ bonne continuation

bizoux
0
Réponse 4 / 14
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
12 juil. 2007 à 14:16
deux post ! pas de pb je te laisse poursuivre raleuboleu, pour son antivirus elle dit avoir eu a vast

"le problème est qu'internet ne marche plus (et donc avast ou spybot non plus " mais effectivement on ne le retrouve pas

bagle?




bonne continuation a vous deux
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 14
raleuboleu Messages postés 5022 Date d'inscription mercredi 13 décembre 2006 Statut Membre Dernière intervention 14 mars 2012 79
12 juil. 2007 à 14:22
re

peux tu me dire ou ce trouve ton 1er post stp

biz
0
Réponse 6 / 14
indy592
12 juil. 2007 à 16:06
gras>Bonjour,

en réponse à jlpjlp, je poste les logs de navilog, smitfraud et hijackthis mais pas celui de smitfraud avec option 1, ni celui avec SDFix car je crois que c'est le fichier rosa.sys qui me met la M.... ! (j'ai vu ça en tapant "rosa.sys" sur google)

Pour résumer, lorsque je tapote sur f8 au démarrage et que je sélectionne "mode sans échec" puis "démarrer windows XP" (avec mode sans échec en vert en bas), l'ordi reboote carrément au début (avec le logo dell) et me redemande de choisir le mode et cela plusieurs fois d'affilé !

ma question est donc de savoir comment me débarasser de ce fichier "rosa.sys" introuvable !

sinon voici le log de navilog avec option 2 :</gras>

Clean Navipromo version 2.0.2 commencé le 12/07/2007 à 15:38:46,21

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight


*** Creation backups fichiers trouvés par Blacklight ***

Copie vers "C:\Program Files\navilog1\Backupnavi"


*** Suppression des fichiers trouvés avec Blacklight ***

C:\WINDOWS\system32\hldrrr.exe supprimé !
C:\WINDOWS\system32\hldrrr.exe supprimé !

** 2ème passage **

C:\WINDOWS\system32\hldrrr.exe absent !
C:\WINDOWS\system32\hldrrr.dat absent !
C:\WINDOWS\system32\hldrrr_nav.dat absent !
C:\WINDOWS\system32\hldrrr_navps.dat absent !
C:\WINDOWS\system32\hldrrr_navup.dat absent !
C:\WINDOWS\system32\hldrrr_navtmp.dat absent !
C:\WINDOWS\system32\hldrrr_m2s.xml absent !
C:\WINDOWS\prefetch\hldrrr*.pf absent !

C:\WINDOWS\system32\hldrrr.exe absent !
C:\WINDOWS\system32\hldrrr.dat absent !
C:\WINDOWS\system32\hldrrr_nav.dat absent !
C:\WINDOWS\system32\hldrrr_navps.dat absent !
C:\WINDOWS\system32\hldrrr_navup.dat absent !
C:\WINDOWS\system32\hldrrr_navtmp.dat absent !
C:\WINDOWS\system32\hldrrr_m2s.xml absent !
C:\WINDOWS\prefetch\hldrrr*.pf absent !


*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Pierre Pouget\Application Data ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Pierre Pouget\Local Settings\Temp effectué !


*** Sauvegarde du registre vers dossier Backupnavi***


sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

*
**
***
****
*****
******
*******
********

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

*** Nettoyage termine le 12/07/2007 à 15:41:56,10 ***

celui de smitfraud avec option 1:

SmitFraudFix v2.183

Rapport fait à 15:44:02,96, 12/07/2007
Executé à partir de E:\‚limination de virus\Smitfraud\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\PRISMSVC.EXE
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\PRISMSVR.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\Tasks\At?.job PRESENT !
C:\WINDOWS\Tasks\At??.job PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pierre Pouget


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pierre Pouget\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PIERRE~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\paytime.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Adaptateur USB 2.0 sans fil à double bande (802.11a/b/g) Dell 1450 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{56C249E4-D3D5-4DE2-ADCE-11473941F787}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{56C249E4-D3D5-4DE2-ADCE-11473941F787}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

et celui d'hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 15:48:21, on 12/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\PRISMSVC.EXE
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\system32\5q88a1Kt.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Dell sans fil\PRISMCFG.exe
C:\WINDOWS\system32\PRISMSVR.exe
E:\élimination de virus\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] "C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Program Files\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Utilitaire de carte WLAN sans fil USB 2.0.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: PRISMAPI.DLL - C:\WINDOWS\SYSTEM32\PRISMAPI.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: PRISMSVC - Conexant Systems, Inc. - C:\WINDOWS\system32\PRISMSVC.EXE

voila, merci d'avance pour ton aide!
0
Réponse 7 / 14
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
12 juil. 2007 à 16:46
fait DEMARRER puis EXECUTER et tape mrt puis clique sur ok et suis la procedure


---------------------

scan avec stinger dit ce qui est trouvé)

https://www.01net.com/



------------


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum


-------------------

recolle un rapport hijackthis

---------------

fait un scan en ligne

si tu peux



colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr
0
indy592
12 juil. 2007 à 18:22
Bonjour,

Tout d'abord, je te remercie pour ton aide !

Ensuite, et tu vas croire que je le fais exprès mais j'ai fait une analyse rapide puis complète qui n'ont rien donné (avec "mrt" puis EXECUTER), j'espère que en tout cas que ce virus n'est pas récent car comme je n'ai plus internet sur mon ordi, ça va devenir un vrai problème ! Tu crois qu'il existe une solution ? j'espère parce que je sais plus vraiment quoi faire !

a +.
0
indy592
12 juil. 2007 à 18:41
Bonjour,

c'est encore moi ! c'était juste pour te préciser que j'avais fait un scan avec Elibagla, trojan remover et F-secure Blacklight qui n'ont rien donné (je te poste quand même le log de Blacklight) !

De plus, au lancement de windows XP, il y a toujours deux fenêtres d'erreur programme du style :
"CLIStart.exe a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru.", avec une demande d'envoi du journal d'erreur ou pas à microsoft !

Cela donc avec "CLIStart.exe" et "Creative UpdReg", je sais pas si ça te parle, mais j'ai pensé que ça te serait utile pour m'aider !

Ah! n'oublie pas le log de blacklight, on sait jamais :

07/12/07 15:10:04 [Info]: BlackLight Engine 1.0.61 initialized
07/12/07 15:10:04 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/12/07 15:10:04 [Note]: 7019 4
07/12/07 15:10:04 [Note]: 7005 0
07/12/07 15:10:34 [Note]: 7006 0
07/12/07 15:10:34 [Note]: 7011 612
07/12/07 15:10:34 [Note]: 7026 0
07/12/07 15:10:34 [Note]: 7026 0
07/12/07 15:10:38 [Note]: FSRAW library version 1.7.1021
07/12/07 15:15:43 [Note]: 2000 1012
07/12/07 15:15:43 [Note]: 2000 1012
07/12/07 15:15:43 [Note]: 2000 1012
07/12/07 15:15:43 [Note]: 2000 1012
07/12/07 15:15:43 [Note]: 2000 1012
07/12/07 15:15:43 [Note]: 2000 1012
07/12/07 15:15:43 [Note]: 2000 1012
07/12/07 15:15:43 [Note]: 2000 1012
07/12/07 15:15:43 [Note]: 2000 1012
07/12/07 15:15:43 [Note]: 2000 1012
07/12/07 15:15:43 [Note]: 2000 1012
07/12/07 15:17:01 [Note]: 7006 0
07/12/07 15:17:01 [Note]: 7011 612
07/12/07 15:17:01 [Note]: 7026 0
07/12/07 15:17:01 [Note]: 7026 0
07/12/07 15:17:04 [Note]: FSRAW library version 1.7.1021
07/12/07 15:20:16 [Note]: 7007 0
0
indy592
12 juil. 2007 à 21:35
Bonjour,

C'était juste pour te dire de jeter un coup d'oeil à mes précédents messages et de savoir que j'ai enfin pu faire une analyse complète avec SUPER antispyware (qui m'a trouvé 7 adwares).

Par contre, mon problème maintenant est de réussir à me reconnecter sur le net ! Je me demande si les messages d'erreurs cités plus haut ainsi que l'utilisation de Steam (nécessaire à CS) y sont pour quelque chose ?

Enfin, merci par avance pour ton aide !
0
Réponse 8 / 14
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
12 juil. 2007 à 21:47
stinger a trouvé un truc?

------
telecharge antivir , a squared

et scan avec en mode sans echec


https://www.avira.com/

https://www.01net.com/telecharger/



-------------
Cleanzip



Clean permettra de faire du nettoyage et supprimer des fichiers que des anti-virus et anti-spywares n'ont pas pu trouver. Le logiciel est régulièrement mis à jour, vous devrez donc le re-téléchargé pour obtenir une version plus récente.

· Téléchargez clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier clean
· Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
· Ouvrez le dossier clean qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laissez la ouverte jusqu'à ce qu'elle se ferme.

http://kerio.probb.fr/tuto-Clean-h37.html

-------------

lance combofix

http://mickael.barroux.free.fr/securite/combofix.php



-----------------


CLIStart.exe

ca c'est pour ta carte video

et creative c'est ta carte son : peut etre que de reinstaller les pilotes pourra regler le pb



utilise everest home edition pour connaitre les references de ta carte son et video si tu sais pas
et va sur www.touslesdrivers.com ou sur le site du contructeur pour trouver les pilotes

https://www.pcastuces.com/logitheque/default.htm

--------------
0
indy592
13 juil. 2007 à 09:05
Bonjour,

pour répondre à ton précédent message, j'ai fait un scan avec stinger qui n'a rien donné (peut-être que ça s'arrange finalement !)

De plus, j'ai réussi à redémarrer mon ordi en mode sans échec, ce qui m'a permis de relancer smitfraud avec l'option 2 dont le log est le suivant :

SmitFraudFix v2.183

Rapport fait à 22:31:28,12, 12/07/2007
Executé à partir de E:\‚limination de virus\Smitfraud\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\Tasks\At?.job supprimé
C:\WINDOWS\Tasks\At??.job supprimé
C:\Program Files\paytime.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Enfin, pour ce qui est des autres antivirus, je vais en faire d'autres et je te posterais les logs sous peu !
a +
0
Réponse 9 / 14
indy592
13 juil. 2007 à 10:10
Re-bonjour,

Voici donc les différents logs de a squared, clean (avec option 1 et 2) et combofix.

il y a celui de a squared :

Version - a-squared Free 3.0
Dernière mise à jour: N/A

Réglages Scan:

Objets: Mémoire, Traces, Cookies, C:\WINDOWS\, C:\Program Files
Scan archives: Marche
Heuristiques: Marche
Scan ADS: Marche

Début du scan: 13/07/2007 08:56:17

c:\program files\fichiers communs\totem shared Détecter: Trace.Directory.ISTbar
Value: HKEY_CLASSES_ROOT\CLSID\{1F6315AD-8396-4D41-94B8-A0FE653B0146}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.Radlight
Value: HKEY_CLASSES_ROOT\CLSID\{21336D1A-35E8-4169-A2EF-5D0AC2A37A97}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.Radlight
Value: HKEY_CLASSES_ROOT\CLSID\{4860DB62-E0C6-4215-B436-EFE209A85C0D}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.Radlight
Value: HKEY_CLASSES_ROOT\CLSID\{A2A37EB7-2D72-42D7-AE30-CBDABC12A1CE}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.Radlight
Value: HKEY_CLASSES_ROOT\CLSID\{DC3ED77C-B351-4EC9-AB50-0E6454604171}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.Radlight
Value: HKEY_CLASSES_ROOT\CLSID\{E9935DAE-640E-4F2B-9A72-C78525D2ECB9}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.Radlight
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1F6315AD-8396-4D41-94B8-A0FE653B0146}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.Radlight
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21336D1A-35E8-4169-A2EF-5D0AC2A37A97}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.Radlight
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4860DB62-E0C6-4215-B436-EFE209A85C0D}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.Radlight
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A2A37EB7-2D72-42D7-AE30-CBDABC12A1CE}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.Radlight
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DC3ED77C-B351-4EC9-AB50-0E6454604171}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.Radlight
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E9935DAE-640E-4F2B-9A72-C78525D2ECB9}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.Radlight
c:\documents and settings\pierre pouget\application data\bsplayer Détecter: Trace.Directory.BSplayer
c:\documents and settings\pierre pouget\application data\bsplayer pro Détecter: Trace.Directory.BSplayer
c:\documents and settings\pierre pouget\application data\bsplayer\bslib Détecter: Trace.Directory.BSplayer
c:\documents and settings\pierre pouget\application data\bsplayer pro\bsplayer.xml Détecter: Trace.File.BSplayer
c:\documents and settings\pierre pouget\application data\bsplayer pro\eq.xml Détecter: Trace.File.BSplayer
c:\documents and settings\pierre pouget\application data\bsplayer\bslib\bspmlib.dat Détecter: Trace.File.BSplayer
Value: HKEY_CLASSES_ROOT\CLSID\{0AF8185C-26D7-4607-A005-7D586B750C38}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.Blubster
Value: HKEY_CLASSES_ROOT\CLSID\{5BF31631-3D94-4267-B6F4-0CE18B008928}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.Blubster
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0AF8185C-26D7-4607-A005-7D586B750C38}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.Blubster
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5BF31631-3D94-4267-B6F4-0CE18B008928}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.Blubster
C:\Program Files\vso\ConvertXtoDVD\Convertxtodvd.v2.011_Crk.exe Détecter: Backdoor.Win32.Ciadoor.13

Scanné

Fichiers: 43491
Traces: 273772
Cookies: 9
Processus: 38

Trouver

Fichiers: 1
Traces: 23
Cookies: 0
Processus: 0
Clés de Registre: 0

Fin du Scan: 13/07/2007 09:22:49
Temps du Scan: 00:26:32

C:\Program Files\vso\ConvertXtoDVD\Convertxtodvd.v2.011_Crk.exe Supprimé Backdoor.Win32.Ciadoor.13
Value: HKEY_CLASSES_ROOT\CLSID\{0AF8185C-26D7-4607-A005-7D586B750C38}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.Blubster
Value: HKEY_CLASSES_ROOT\CLSID\{5BF31631-3D94-4267-B6F4-0CE18B008928}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.Blubster
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0AF8185C-26D7-4607-A005-7D586B750C38}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.Blubster
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5BF31631-3D94-4267-B6F4-0CE18B008928}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.Blubster
c:\documents and settings\pierre pouget\application data\bsplayer pro\bsplayer.xml Supprimé Trace.File.BSplayer
c:\documents and settings\pierre pouget\application data\bsplayer pro\eq.xml Supprimé Trace.File.BSplayer
c:\documents and settings\pierre pouget\application data\bsplayer\bslib\bspmlib.dat Supprimé Trace.File.BSplayer
c:\documents and settings\pierre pouget\application data\bsplayer Supprimé Trace.Directory.BSplayer
c:\documents and settings\pierre pouget\application data\bsplayer pro Supprimé Trace.Directory.BSplayer
c:\documents and settings\pierre pouget\application data\bsplayer\bslib Supprimé Trace.Directory.BSplayer
Value: HKEY_CLASSES_ROOT\CLSID\{1F6315AD-8396-4D41-94B8-A0FE653B0146}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.Radlight
Value: HKEY_CLASSES_ROOT\CLSID\{21336D1A-35E8-4169-A2EF-5D0AC2A37A97}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.Radlight
Value: HKEY_CLASSES_ROOT\CLSID\{4860DB62-E0C6-4215-B436-EFE209A85C0D}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.Radlight
Value: HKEY_CLASSES_ROOT\CLSID\{A2A37EB7-2D72-42D7-AE30-CBDABC12A1CE}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.Radlight
Value: HKEY_CLASSES_ROOT\CLSID\{DC3ED77C-B351-4EC9-AB50-0E6454604171}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.Radlight
Value: HKEY_CLASSES_ROOT\CLSID\{E9935DAE-640E-4F2B-9A72-C78525D2ECB9}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.Radlight
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1F6315AD-8396-4D41-94B8-A0FE653B0146}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.Radlight
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21336D1A-35E8-4169-A2EF-5D0AC2A37A97}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.Radlight
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4860DB62-E0C6-4215-B436-EFE209A85C0D}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.Radlight
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A2A37EB7-2D72-42D7-AE30-CBDABC12A1CE}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.Radlight
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DC3ED77C-B351-4EC9-AB50-0E6454604171}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.Radlight
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E9935DAE-640E-4F2B-9A72-C78525D2ECB9}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.Radlight
c:\program files\fichiers communs\totem shared Supprimé Trace.Directory.ISTbar

Supprimé

Fichiers: 1
Traces: 23
Cookies: 0

puis celui de clean (avec option 1) :

13/07/2007 a 9:35:23,96

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\grwinsthlp.exe FOUND
C:\WINDOWS\system32\SpoonUninstall.exe FOUND
"C:\Documents and Settings\Pierre Pouget\Application Data\ezpinst.exe" FOUND
"C:\Documents and Settings\Pierre Pouget\Application Data\hidires\" FOUND

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\DaemonTools_WhenUSave_Installer\" FOUND
"C:\Program Files\thriXXX\" FOUND
*** Fin du rapport !

ainsi que celui de clean (avec option 2) :

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 13/07/2007 a 9:43:31,28

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\grwinsthlp.exe
tentative de suppression de C:\WINDOWS\system32\SpoonUninstall.exe
tentative de suppression de "C:\Documents and Settings\Pierre Pouget\Application Data\ezpinst.exe"
tentative de suppression de "C:\Documents and Settings\Pierre Pouget\Application Data\hidires\"

*** Suppression des fichiers dans C:\Program Files
tentative de suppression de "C:\Program Files\DaemonTools_WhenUSave_Installer\"
tentative de suppression de "C:\Program Files\thriXXX\"

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

et enfin celui de combofix :

"Pierre Pouget" - 2007-07-13 9:51:40 - ComboFix 07-07-13.8 - Service Pack 2 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOCUME~1\PIERRE~1\Bureau.\internet explorer.lnk
C:\WINDOWS\hosts


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_IPRIP
-------\LEGACY_ROSA
-------\Iprip
-------\rosa


((((((((((((((((((((((((( Files Created from 2007-06-13 to 2007-07-13 )))))))))))))))))))))))))))))))


2007-07-13 09:51 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-12 16:08 <REP> d-------- C:\Muestras
2007-07-12 10:46 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
2007-07-11 23:33 3,880 --a------ C:\WINDOWS\system32\tmp.reg
2007-07-11 23:19 <REP> d-------- C:\Program Files\Navilog1
2007-07-11 23:11 <REP> d-------- C:\VundoFix Backups
2007-07-11 23:01 22,592 --a------ C:\WINDOWS\system32\5q88a1Kt.exe
2007-07-11 22:55 <REP> d-------- C:\WINDOWS\Prefetch
2007-07-11 22:37 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2007-07-11 22:37 13,312 --a------ C:\WINDOWS\system32\irclass.dll
2007-07-11 21:23 <REP> d-------- C:\Program Files\SUPERAntiSpyware
2007-07-10 23:23 <REP> d-------- C:\Program Files\SafeSoft
2007-07-10 22:55 325,491 --a------ C:\WINDOWS\system32\flec003.exe
2007-07-06 14:54 <REP> d-------- C:\DOCUME~1\PIERRE~1\APPLIC~1\Inkscape
2007-07-05 07:59 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
2007-07-04 12:59 <REP> d-------- C:\Program Files\Pineapple Works
2007-07-03 12:07 <REP> C:\Program Files\ŸeŸBŸ"ŸNŸ<ŸxŸ<
2007-07-02 16:57 <REP> d-------- C:\DOCUME~1\PIERRE~1\APPLIC~1\ATI
2007-07-02 16:53 520,192 --a------ C:\WINDOWS\system32\ati2sgag.exe
2007-07-02 16:53 <REP> d-------- C:\Program Files\ATI Technologies
2007-07-01 17:14 <REP> d-------- C:\True Love
2007-07-01 16:26 <REP> d-------- C:\Program Files\LoveChess Age Of Egypt
2007-06-18 00:29 <REP> d-------- C:\Program Files\Lavasoft
2007-06-17 23:26 <REP> d-------- C:\Program Files\Microsoft Works
2007-06-17 08:34 <REP> d-------- C:\ATI
2007-06-16 19:34 <REP> d-------- C:\Program Files\Valve
2007-06-16 18:00 <REP> d-------- C:\Program Files\eMule
2007-06-16 16:50 90,112 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-06-16 16:50 87,424 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-06-16 16:50 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-06-16 16:50 635,520 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-06-16 16:50 36,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-06-16 16:50 24,304 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-06-16 16:50 16,352 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-06-16 16:50 <REP> d-------- C:\Program Files\Alwil Software
2007-06-15 21:18 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-06-15 21:18 <REP> d--h----- C:\WINDOWS\$hf_mig$
2007-06-15 21:18 <REP> d-------- C:\WINDOWS\system32\PreInstall
2007-06-15 21:09 <REP> d-------- C:\Program Files\Inventel
2007-06-15 21:08 <REP> d-------- C:\WINDOWS\system32\SoftwareDistribution
2007-06-15 20:17 61,526 --a------ C:\WINDOWS\system32\PRISMSVC.exe
2007-06-15 20:17 49,152 --a------ C:\WINDOWS\system32\StopSrvr.exe
2007-06-15 20:17 49,152 --a------ C:\WINDOWS\system32\CoPrism.dll
2007-06-15 20:17 450,646 --a------ C:\WINDOWS\system32\PRISMAPI.dll
2007-06-15 20:17 381,014 --a------ C:\WINDOWS\system32\PRISMSVR.exe
2007-06-15 20:17 353,728 --a------ C:\WINDOWS\system32\drivers\PRISMA02.sys
2007-06-15 20:17 <REP> d-------- C:\Program Files\Dell sans fil
2007-06-15 20:17 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Prism
2007-06-15 20:16 20,747 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
2007-06-15 20:16 1,396,827 --a------ C:\WINDOWS\system32\PRISME5.dll
2007-06-13 21:25 339,968 --a------ C:\WINDOWS\system32\ATIDEMGX.dll
2007-06-13 21:23 307,200 --a------ C:\WINDOWS\system32\atiiiexx.dll
2007-06-13 21:17 42,496 --a------ C:\WINDOWS\system32\ati2edxx.dll
2007-06-13 21:17 26,112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe
2007-06-13 21:17 139,264 --a------ C:\WINDOWS\system32\atipdlxx.dll
2007-06-13 21:17 118,784 --a------ C:\WINDOWS\system32\Oemdspif.dll
2007-06-13 21:16 118,784 --a------ C:\WINDOWS\system32\ati2evxx.dll
2007-06-13 21:15 483,328 --a------ C:\WINDOWS\system32\ati2evxx.exe
2007-06-13 21:14 53,248 --a------ C:\WINDOWS\system32\ATIDDC.DLL
2007-06-13 21:10 8,097,792 --a------ C:\WINDOWS\system32\atioglx2.dll
2007-06-13 20:57 972,072 --a------ C:\WINDOWS\system32\ativva6x.dat
2007-06-13 20:57 3,107,788 --a------ C:\WINDOWS\system32\ativvaxx.dat
2007-06-13 20:57 3,107,788 --a------ C:\WINDOWS\system32\ativva5x.dat
2007-06-13 20:46 5,431,296 --a------ C:\WINDOWS\system32\atioglxx.dll
2007-06-13 20:43 262,144 --a------ C:\WINDOWS\system32\atikvmag.dll
2007-06-13 20:42 17,408 --a------ C:\WINDOWS\system32\atitvo32.dll
2007-06-13 20:41 50,176 --a------ C:\WINDOWS\system32\atiok3x2.dll
2007-06-13 20:41 49,152 --a------ C:\WINDOWS\system32\drivers\ati2erec.dll
2007-06-13 16:03 <REP> d-------- C:\Program Files\Eidos
2007-06-13 13:02 409,600 --a------ C:\WINDOWS\system32\wrap_oal.dll
2007-06-13 13:02 <REP> d-------- C:\Program Files\OpenAL


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-13 07:55:07 384 ----a-w C:\WINDOWS\system32\DVCStateBkp-{00000003-00000000-00000000-00001102-00000004-20061102}.dat
2007-07-13 07:55:07 384 ----a-w C:\WINDOWS\system32\DVCState-{00000003-00000000-00000000-00001102-00000004-20061102}.dat
2007-07-12 16:29:08 80,716 ----a-w C:\WINDOWS\system32\perfc00C.dat
2007-07-12 16:29:08 480,556 ----a-w C:\WINDOWS\system32\perfh00C.dat
2007-07-11 20:47:40 23,704 -c--a-w C:\WINDOWS\system32\emptyregdb.dat
2007-07-11 19:23:43 -------- d-----w C:\DOCUME~1\PIERRE~1\APPLIC~1\SUPERAntiSpyware.com
2007-07-11 19:23:28 -------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-07-08 17:10:48 -------- d-----w C:\Program Files\EPSON
2007-07-07 07:29:57 -------- d-----w C:\Program Files\SEKILALA
2007-07-06 06:09:14 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-07-03 10:07:56 -------- d-----w C:\Program Files\ƒeƒBƒ“ƒNƒ‹ƒxƒ‹
2007-07-02 12:29:54 -------- d-----w C:\DOCUME~1\PIERRE~1\APPLIC~1\AdobeUM
2007-06-28 18:08:47 -------- d-----w C:\Program Files\EasyPHP1-8
2007-06-27 12:37:28 -------- d-----w C:\DOCUME~1\PIERRE~1\APPLIC~1\Real
2007-06-17 22:29:24 -------- d-----w C:\DOCUME~1\PIERRE~1\APPLIC~1\Lavasoft
2007-06-15 20:15:18 -------- d-----w C:\Program Files\Messenger
2007-06-15 15:49:05 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-06-13 19:50:17 43,152 ----a-w C:\WINDOWS\system32\drivers\ativvpxx.vp
2007-06-13 19:24:32 268,288 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2007-06-13 19:24:13 2,155,520 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2007-06-13 19:07:26 2,922,208 ----a-w C:\WINDOWS\system32\ati3duag.dll
2007-06-13 18:57:21 1,512,960 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2007-06-13 18:36:45 368,640 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2007-06-13 11:02:47 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-06-13 11:02:24 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2007-06-03 17:23:59 -------- d-----w C:\Program Files\Attack on Pearl Harbor
2007-06-03 15:30:45 -------- d-----w C:\DOCUME~1\PIERRE~1\APPLIC~1\EPSON
2007-06-03 15:05:54 -------- d-----w C:\Program Files\VideoLAN
2007-05-24 17:17:47 -------- d-----w C:\DOCUME~1\PIERRE~1\APPLIC~1\vlc
2007-05-24 14:56:27 -------- d-----w C:\Program Files\Oberon Media
2007-05-24 14:50:02 -------- d-----w C:\Program Files\BBLACK
2007-05-23 10:01:50 -------- d-----w C:\DOCUME~1\PIERRE~1\APPLIC~1\Media Player Classic
2007-05-23 09:58:42 -------- d-----w C:\Program Files\Real Alternative
2007-05-23 09:58:40 -------- d-----w C:\Program Files\Media Player Classic
2007-05-20 14:57:59 -------- d-----w C:\Program Files\Winamp
2007-05-18 15:11:06 -------- d-----w C:\Program Files\Dictionnaire
2007-05-17 08:58:29 -------- d-----w C:\DOCUME~1\PIERRE~1\APPLIC~1\MusicIP
2007-05-09 16:47:55 1,248 --sha-w C:\nj6jaw3o.sys
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-15 15:51:42 4,096 ----a-w C:\WINDOWS\d3dx.dat
2007-04-05 22:53:28 47,360 ----a-w C:\DOCUME~1\PIERRE~1\APPLIC~1\pcouffin.sys
2006-11-02 09:44:10 297,568 ----a-w C:\Program Files\VSCleanupTool.exe
2001-11-05 07:30:50 165,376 ----a-w C:\Program Files\UNWISE.EXE


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-10-22 23:08 62080 --a------ C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5CA3D70E-1895-11CF-8E15-001234567890}]
2004-08-13 01:05 118842 --a------ C:\WINDOWS\system32\dla\tfswshx.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2007-03-14 03:43 501400 --a------ C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTSysVol"="C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-09-17 10:43]
"CTDVDDET"="C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE" [2003-06-18 01:00]
"CTHelper"="CTHELPER.EXE" [2004-03-11 03:50 C:\WINDOWS\system32\CTHELPER.EXE]
"UpdateManager"="C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2004-01-07 01:01]
"PCMService"="C:\Program Files\Dell\Media Experience\PCMService.exe" [2004-04-11 21:15]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-12-11 19:42]
"DVDLauncher"="C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe" [2004-10-12 17:54]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 21:57]
"Steam"="C:\Program Files\Valve\Steam\\Steam.exe" [2007-06-28 11:42]
"SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-05-01 09:29]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"="C:\Program Files\SUPERAntiSpyware\SASSEH.DLL" [2006-12-20 13:55]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.dll --a------ 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PRISMAPI.DLL]
PRISMAPI.DLL --a------ 2005-12-22 20:08 450646 C:\WINDOWS\system32\PRISMAPI.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc p2psvc p2pimsvc p2pgasvc PNRPSvc


Contents of the 'Scheduled Tasks' folder
2007-07-13 07:55:00 C:\WINDOWS\tasks\Recherche de mises a jour sur McAfee.com (SS-9BD4DE54483F-Pierre Pouget).job

**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-13 09:58:22
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-13 9:59:09 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-13 09:59

--- E O F ---

Voilà ! a + !
0
Réponse 10 / 14
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
13 juil. 2007 à 12:22
je suis un peu occupé

`mais fait ca:
ca va mieux?

-------
desactive puis reactive la restauration systeme


puis lance ce logiciel pour voir :
https://www.broadcom.com/support/security-center


recolle un rapport hijackthis
0
indy592
13 juil. 2007 à 16:49
Désolé de te déranger alors que tu m'as dit que tu étais très occupé, mais je voulais juste savoir si tu savais comment je pourrais me reconnecter sur le net !

Parce que j'ai beau faire et refaire "réparer" sur l'icône en bas à droite du bureau (représentant un PC et des ondes WIFI) et s'appelant connexion réseau sans fil 4 (Livebox-a4D8), ça plante toujours au moment de la connexion au réseau sans fil.

PS : pour info, je possède la livebox ainsi qu'un adaptateur USB 2.0 sans fil à double bande Dell.
0
Réponse 11 / 14
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
13 juil. 2007 à 21:02
- effectivement tu peux essayer reparer parfois ca marche

- sinon un copain à le meme pb, lui redemarre l'ordinateur une ou deux fois si besoin et ca remarche. c'est pas terrible mais ....

- sinon essaye de voir si il n'y a pas du materiel electronique qui bloque les connections a coté de 'l'ordi

pour bien optimiser ta connection va sur:


https://www.orange.fr/portail?u=http%253A//assistance.orange.fr

ou si le lien marche pas sur

https://www.orange.fr/portail

puis en haut à droite va dans assistance

puis clique dans la partie installer et utiliser sur (situé en bas de la page)
WIFI optimiser votre reseau sans fils








- sinon reinstaller la clé usb et la livebox




- sinon le mieux si ce n'est pas un portable et que l'ordi reste à la meme place c'est de changer pour monter un reseau CPL (j'ai essayé et finit les plantages!!que j'avai avec ma free box! ) c'est facile a installer et autours de 60 à 120 euros .

cpl architecture
0
Réponse 12 / 14
indy592
14 juil. 2007 à 17:09
Salut ! c'était pour te poster les logs de SDfix, symantec et hijackthis pour que tu me dise ou j'en suis de l'élimination de ce(s) virus (en tout cas, ça s'arrange un peu puisque je peux redémarrer en mode sans échec et faire un scan complet avec SUPERantispyware)

Voici donc le log de symantec (qui n'a rien trouvé, je crois !) :
Symantec Adware.Istbar / Trojan.ISTsvc Removal Tool 1.1.0


C:\Documents and Settings\Pierre Pouget\Menu Demarrer\Programmes\School??????: (not scanned)
C:\Documents and Settings\Pierre Pouget\Mes documents\limayrac\2°année\may\cours-pr+®sentation: (not scanned)
C:\System Volume Information: (not scanned)
Adware.Istbar has not been found on your computer.

celui de SDfix :
SDFix: Version 1.90

Run by Pierre Pouget on 14/07/2007 at 16:38

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service
Restoring Missing SharedAccess Service

Rebooting...


Normal Mode:
Checking Files:

No Trojan Files Found




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:
---------------


Files with Hidden Attributes:

C:\Documents and Settings\Pierre Pouget\Mes documents\limayrac\programmes\codecs 3P\Winamp5.05\photos_xxx\Big.Wallpapers.Hentai.XXX.Collector.Pics.[Manga].(1024x768).Compil\Thumbs.db
C:\Documents and Settings\Pierre Pouget\Mes documents\Radiant\ActiveDolls.com\Maria\Thumbs.db
C:\Documents and Settings\Pierre Pouget\Application Data\U3\temp\Launchpad Removal.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Windows Media Player\mplayer2.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\nj6jaw3o.sys
C:\Documents and Settings\All Users\Application Data\Microsoft\visualstudio\7.1\vs000223.tmp
C:\Documents and Settings\Pierre Pouget\Mes documents\limayrac\2øann‚e\pinaud\TP_except\compte-rendu\~WRL0002.tmp
C:\Documents and Settings\Pierre Pouget\Mes documents\limayrac\2øann‚e\pinaud\TP_except\compte-rendu\~WRL0692.tmp
C:\WINDOWS\system32\config\default.tmp.LOG
C:\WINDOWS\system32\config\SAM.tmp.LOG
C:\WINDOWS\system32\config\SECURITY.tmp.LOG
C:\WINDOWS\system32\config\software.tmp.LOG
C:\WINDOWS\system32\config\system.tmp.LOG

Finished

et celui d'hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 16:51:28, on 14/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Documents and Settings\Pierre Pouget\Mes documents\clé usb\élimination de virus\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] "C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

Voilà, voilà ! c'est tout ! à + !

PS : Pour ce qui est de me connecter à internet, je vais encore faire quelques analyses mais cette fois ci avec mon antenne et mon réseau WIFI désactivés, peut être que ça empêchera d'autres virus de m'infecter pendant que je ne m'en aperçois pas ! Je remettrais ensuite la connexion !
0
Réponse 13 / 14
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
14 juil. 2007 à 17:24
C:\WINDOWS\system32\wscntfy.exe
ca pourrait etre le trojan banker




---------------

scan avec antivir que tu as pour voir si il trouve quelque chose

----------

scan avec des antiespions (en mode sans échec):

spybot :

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

voir demo d utilisation (merci Balltrap)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

AD AWARE:
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/11643.html







-----------


iinstalle un pare feu avant de te reconnecter comme indiqué à la fin (zone alarm ou kerio ou jetico)



puis fait un scan en ligne pour verifier etr colle le rapport ainsi qu'un scan en ligne













________________________________________________________________________________________

pour protéger gratos ton ordi

securite

mettre un antivirus

AVAST en français ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions:

AD AWARE + SPYBOT + WINDOWS DEFENDER

+/-
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...


--------
un pare feu :
celui de Windows ou mieux KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
-----------

CCLEANER pour effacer les traces de surf
0
Réponse 14 / 14
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
14 juil. 2007 à 17:27
pour comprendre antivir merci malekal
https://www.malekal.com/avira-free-security-antivirus-gratuit/
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses