Ordinateur virusé...msn piraté...

Question

Bonjour à toutes et à tous....
Ayant déjà eu recours au service de CCM et etant satisfait c'est donc avec logique que je me permet de revenir demander un petit coup de main pour un nettoyage d'ordi...
Je reside actuellement avec ma copine en Espagne....et il se trouve qq chose ou qq'un à pris le contrôle de....son adresse msn....et par là même envois un dossier qui s'intitule " mes photos chaudes".......humm me direz vous...Oui mais non....il ne s'agit ni de photos chaudes ni de nos ébats mais bel et bien d'un éspèce de virus envoyé....à toutes sa liste de contact !!! Prise de contrôle de la fenetre msn...il ecris tout seul....et envois un petit fichier .zip !!!
D'autre part on a fait un scan avec avast qui nous a trouvé le virus : Win32.Ircbot.CAF[Trj] qu'on a mis en quarantaine....
Adware nous a trouvé 58 objets critiques aussi tous mis en quarantaine !!
Spyboat nous a trouvé 12 pbm....actuellemnt tous corrigés.....
Cepndant le PC reste on ne peut plus "suspect" à mon gout et c'est la raison pour laquelle nous vous demandons de l'aide!!!
Est ce possible de faire un scan avec Hijackthis....du moins est ce necessaire !? Et bien entendu une personne ayant un peu de temps et les compétences requises se sent elle prête à nous venir en aide....?
Dans l'attente d'une réponse je vous souhaite à toutes et à tous une excellente journée.
D'avance Merci, 
cdt, 
Jojjo :-)

U_Gk · Answer

Et voila toujour le mm virus efface ton doscier "mes fichier reçus" et voilà C fait pu de virus parcontre tu pt fair un sauvegarde de T fichiers ki son dedans va voir "photos.zip" dans le forum je pence que c'est le mm virus ^^'!

Jojjo · Answer

Bonjour U_Gk, et merci d'avoir repondu à notre message....
J'ai effectivement pris la peine de consulter le topic "photos.zip".....après avoir télécharger le dossier MSN.Fix....ns avons executer l'option R  pour detecter l'infection.....mais : PAS d'infection detectée alors que nous savons pertinement que ns avons été infecté...Rrrrr !!!!
J'ai donc choisis de télécharger Hijackthis et de faire un scan dont voici le résultat : 

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:23:43, on 17/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Utilisateur\Bureau\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media	bMul0.dll
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: 1.1.1.1 free.grisoft.com
O1 - Hosts: 1.1.1.1 housecall.trendmicro.com
O1 - Hosts: 1.1.1.1 usa.kaspersky.com
O1 - Hosts: 1.1.1.1 ewido.net
O1 - Hosts: 1.1.1.1 www.ewido.net
O1 - Hosts: 1.1.1.1 zonelabs.com
O1 - Hosts: 1.1.1.1 www.zonelabs.com
O1 - Hosts: 1.1.1.1 bitdefender.com
O1 - Hosts: 1.1.1.1 www.bitdefender.com
O1 - Hosts: 1.1.1.1 download.bitdefender.com
O1 - Hosts: 1.1.1.1 upgrade.bitdefender.com
O1 - Hosts: 1.1.1.1 spywareinfo.com
O1 - Hosts: 1.1.1.1 www.spywareinfo.com
O1 - Hosts: 1.1.1.1 merijn.org
O1 - Hosts: 1.1.1.1 www.merijn.org
O1 - Hosts: 1.1.1.1 sysinternals.com
O1 - Hosts: 1.1.1.1 www.sysinternals.com
O1 - Hosts: 1.1.1.1 onguardonline.gov
O1 - Hosts: 1.1.1.1 www.onguardonline.gov
O1 - Hosts: 1.1.1.1 avast.com
O1 - Hosts: 1.1.1.1 www.avast.com
O1 - Hosts: 1.1.1.1 safety.live.com
O1 - Hosts: 1.1.1.1 www.paretologic.com
O1 - Hosts: 1.1.1.1 paretologic.com
O1 - Hosts: 1.1.1.1 services.google.com
O1 - Hosts: 1.1.1.1 www.webroot.com
O1 - Hosts: 1.1.1.1 webroot.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media	bMul0.dll
O3 - Toolbar: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media	bMul0.dll
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://melon105.spaces.live.com//PhotoUpload/MsnPUpld.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

moK´s@ · Answer

salut jojj,

tu as deux anti virus>il faut en desinstaller un choisie entre avast et antivir...

tu n´as pas de par feu :

e peux te proposer ceci :

https://kerio.probb.fr/t4-tlcharger-sunbelt-kerio-personal-firewall

(merci a boulepate pour le site!!!)

sur cette page tu as le choix entre kerio et zone alarm, zone alarm est plus facile a configurer que kerio mais un peu moins performant, a toi de voir...

tutorials :

zone alarm :

http://forum.telecharger.01net.com/forum/

kerio 4.2.

https://kerio.probb.fr/t1-tuto-pour-kerio-4-2

kerio autre version 4.5.

https://kerio.probb.fr/t250-tuto-sunbelt-personal-firewall-4-6

si tu garde avast choisie kerio car avast/zone alrm pas bon menage...

avec hijack this coche toutes les lignes 01

O1 - Hosts: 1.1.1.1 free.grisoft.com
O1 - Hosts: 1.1.1.1 housecall.trendmicro.com
ect...

quitte tes applications et navigateur et fix les lignes...

comment fixer :

Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

rends toi sur ce site  et fais analyser ceci :

http://www.virustotal.com/sobre.html

C:\Program Files\Multi_Media	bMul0.dll

puis :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

@+

Jojjo · Answer

Bonjour Mok's et tout d'abord un grand merci pour ton aide....
Alors...plusieurs choses : 
- Ns avons suivis de A à Z ton message...
Concernant l'analyse du dossier : C:\Program Files\Multi_Media	bMul0.dll avec www.virustotal.com, j'ai reussit à comprendre qu'il s'agissait en fait d'une horrible barre des taches qui donne la meteo la temperature et des trucs comme ca....et cette barre s'appellait : Multimedia qq chose...Je l'ai supprimer via ajout/suppression de programes dans panneau de configuration et effectivement elle a disparu de ma page IE...
En revanche nous n'arrivons plus a nous connecter via Mozilla...et donc avons utilisé IE pour suivre ton message...

Concernant le report.txt de SDfix le voici : 


SDFix: Version 1.92

Run by Utilisateur on 20/07/2007 at 16:45

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service 
Restoring Missing SharedAccess Service 

Rebooting...


Normal Mode:
Checking Files: 

No Trojan Files Found




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe"="C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe:*:Disabled:Kerio Personal Firewall 4 - GUI"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\Program Files\MSN Messenger\msncall.exe"="C:\Program Files\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

Remaining Files:
---------------


Files with Hidden Attributes:

C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Messenger\marco.colombini@hotmail.com\Sharing Folders\martina.ciarrocca@hotmail.it\Thumbs.db
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Messenger\melo10_8@hotmail.com\Sharing Folders\bribri.1@hotmail.fr\Thumbs.db
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Messenger\melo10_8@hotmail.com\Sharing Folders\ejje_15@hotmail.com\BCN 2006 2007\Thumbs.db
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Messenger\melo10_8@hotmail.com\Sharing Folders\ejje_15@hotmail.com\BCN 2006 2007\vakavekmite\Thumbs.db
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Messenger\melo10_8@hotmail.com\Sharing Folders\ferk1_671@hotmail.com\Thumbs.db
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Messenger\melo10_8@hotmail.com\Sharing Folders\keo113@aol.com\Thumbs.db
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Messenger\melo10_8@hotmail.com\Sharing Folders\mauritus@hotmail.fr\Thumbs.db
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Messenger\melo10_8@hotmail.com\Sharing Folders
ouma2@hotmail.com\Thumbs.db
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Messenger\melo10_8@hotmail.com\Sharing Folders\onemakmak@hotmail.com\Thumbs.db
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Messenger\melo10_8@hotmail.com\Sharing Folders\weeniz@hotmail.com\Thumbs.db
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Messenger\melo10_8@hotmail.com\Sharing Folders\weeniz@hotmail.com\barcelona jour de lan 2006_7\Thumbs.db
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Messenger\melo10_8@hotmail.com\Sharing Folders\weeniz@hotmail.com\barcelona jour de lan 2006_7\2006_12_31\Thumbs.db
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Messenger\melo10_8@hotmail.com\Sharing Folders\weeniz@hotmail.com\barcelona jour de lan 2006_7\2007_01_04\Thumbs.db
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Messenger\melo10_8@hotmail.com\Sharing Folders\weeniz@hotmail.com\fotomelon juli 2\Thumbs.db
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Messenger\melo10_8@hotmail.com\Sharing Folders\weeniz@hotmail.com\fotomelon juli 2\2007_01_01\Thumbs.db
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Messenger\melo10_8@hotmail.com\Sharing Folders\writers1@gmail.com\Thumbs.db
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Messenger\melo10_8@hotmail.com\SharingMetadata\ejje_15@hotmail.com\DFSR\ConflictDelete\Thumbs.db
C:\Documents and Settings\Utilisateur\Mes documents\marko\Ojos_De_Brujo-Techari-[2006]-[WwW.DivxTotal.CoM]\Thumbs.db
C:\Documents and Settings\Utilisateur\Voisinage r‚seau\agenceft.com\Desktop.ini
C:\Documents and Settings\Utilisateur\Mes documents\marko\Sizzla\Discographie-Sizzla-CD-I-1997-to-2001-par-Tapenade\1999-Mars,03-Sizlla-Royal Son Of Ethiopia.rar\Thumbs.db

                                 Finished 


Enfin concernant un nouveau log Hijackthix...le voilà : 

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17:10:26, on 20/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Utilisateur\Bureau\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://melon105.spaces.live.com//PhotoUpload/MsnPUpld.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

moK´s@ · Answer

salut Jojjo,

passe ce fix :

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip

Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

@+

jojjo · Answer

Re Mok's@, et merci pour la réponse....
On avait déjà passé un coup de MSN.Fix et aucune erreur n'avait été detectée....
Cependant on a suivis ta demarche et à nouveau : aucune erreur detectée....
j'ai pris soin de copié tt de même le résultat du rapport que voici : 

MSN_Fix 1.337  
 
C:\Documents and Settings\Utilisateur\Bureau 
Fix exécuté le 20/07/2007 - 22:38:54,89 By Utilisateur 
mode normal    
    
************************ Fichiers suspects 
 
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention 
 
 
  
                      Info ... Info .... Info .... Info .... Info .... Info    
 
Le groupe  "Casahack Security Team" propose une copie de MSNFix sous le nom de MSN_reg   
Ce groupe n'est et n'a jamais été associé à MSNFix   
l'outil diffusé sous l appellation MSN_reg par Net-Viper n est qu'une copie de MSNFix
Alerte diffusée le 14 juillet http://sosvirus.changelog.fr/Alerte_copieur.html
 
MSNFix ne dispose d'auncun site de téléchargement miroir
Seule la version téléchargée à partir de changelog.fr peut être estampillée officielle.
 
                      Info ... Info .... Info .... Info .... Info .... Info    
 
------------------------------------------------------------------------  
Auteur : !aur3n7             Contact: https://www.aceboard.fr/     
------------------------------------------------------------------------   
Commande ECHO d‚sactiv‚e.
---------------------------------------------   END   --------------------------------------------- 
 

Enfin et pour finir...on arrive toujours pas à naviguer sur Mozilla...la page d'acceuil s'ouvre et se bloque par la suite rrrrrr !!! On utilise donc IE qui nous permet de t'envoyer ces messages...
Encore merci à toi pour ton aide et nous attendons la suite de tes conseils...
Amicalement, 
Jojjo.
++

moK´s@ · Answer

re,

on peut essayer ceci :

télécharges smitfraudfix :

En image :
http://siri.urz.free.fr/Fix/SmitfraudFix.php

tu doubles cliques sur smitfraudfix.cmd et tu choisi l option 1
cela vas générer un rapport.

Copie/colle le rapport sur le forum stp.

qui devrais retablir tes fichiers hosts...

Jojjo · Answer

Bonjour Mok's@, 
comme convenu, voici ci-dessous notre rapport Smitfraudfix : 

SmitFraudFix v2.205

Rapport fait à 16:58:54,68, 21/07/2007
Executé à partir de C:\Documents and Settings\Utilisateur\Bureau\TONTON k1k1\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\UTILIS~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS3\Services\Tcpip\..\{0A5D2CC8-62FA-46F8-A47F-5D91FE55C39E}: DhcpNameServer=80.58.61.250 80.58.61.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=80.58.61.250 80.58.61.254


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


En éspérant que cela te parle un peu plus qu'à nous car nous n'y comprenons pas grand chose à vrai dire....
En tous cas merci à toi de nous aider, et dans l'attente de ton prochain message nous te souhaitons une bonne journée.
A +
Jojjo :-)

moK´s@ · Answer

salut jojo,

smitfraud n´a rien trouvé

peux tu faire ceci :

* Télécharge combofix.exe (par sUBs) sur ton Bureau.

http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe     

* Double clique combofix.exe.
* Tape sur la touche 1 (Yes) pour démarrer le scan.
* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 


NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@+

bonne journée a toi aussi ;-)

jojjo · Answer

Bonsoir Mok's@...comme convenu, voici le copier/coller de notre "ComboFix"

"Utilisateur" - 2007-07-23 20:58:48 - ComboFix 07-07-24 - Service Pack 2 NTFS

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\pfxzmtaim.dll
C:\WINDOWS\system32\pfxzmtforum.dll
C:\WINDOWS\system32\pfxzmtgtal.dll
C:\WINDOWS\system32\pfxzmticq.dll
C:\WINDOWS\system32\pfxzmtsmt.dll
C:\WINDOWS\system32\pfxzmtsmtspm.dll
C:\WINDOWS\system32\pfxzmtwbmail.dll
C:\WINDOWS\system32\pfxzmtymsg.dll
C:\WINDOWS\wr.txt

((((((((((((((((((((((((( Files Created from 2007-06-23 to 2007-07-23 )))))))))))))))))))))))))))))))

2007-07-23 20:57 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-21 16:59 1,092 --a------ C:\WINDOWS\system32\tmp.reg
2007-07-20 19:18 <REP> d-------- C:\Program Files\jv16 PowerTools
2007-07-20 16:44 <REP> d-------- C:\WINDOWS\ERUNT
2007-07-20 15:04 <REP> d-------- C:\Program Files\Kerio
2007-07-07 14:12 95,872 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-07-07 14:12 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-07 14:12 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-07 14:12 745,600 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-07 14:12 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-07 14:12 26,888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-07 14:12 23,416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-06 04:13 8,704 --a------ C:\WINDOWS\system32\sporder.dll
2007-07-01 15:19 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe Systems
2007-06-29 19:35 90,112 --------- C:\WINDOWS\snymsico.dll
2007-06-29 19:35 38,951 --------- C:\WINDOWS\system32\drivers\NETMDUSB.sys
2007-06-29 19:35 36,232 --------- C:\WINDOWS\system32\drivers\NETMD033.sys
2007-06-29 19:35 35,319 --------- C:\WINDOWS\system32\drivers\NETMD031.sys
2007-06-29 19:35 <REP> d-------- C:\Program Files\Sony

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-20 14:41:35 330 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2007-07-20 14:24:10 -------- d-----w C:\Program Files\Multi_Media
2007-07-17 12:15:06 -------- d-----w C:\DOCUME~1\UTILIS~1\APPLIC~1\Image Zone Express
2007-07-08 23:42:31 -------- d-----w C:\Program Files\Skype
2007-07-04 19:32:45 -------- d-----w C:\DOCUME~1\UTILIS~1\APPLIC~1\uTorrent
2007-06-29 17:35:44 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-06-23 12:06:13 408 ----a-w C:\DOCUME~1\UTILIS~1\APPLIC~1\wklnhst.dat
2007-06-21 14:25:11 -------- d-----w C:\Program Files\Hitman Pro
2007-06-15 10:49:46 -------- d-----w C:\Program Files\iTunes
2007-06-15 10:47:33 -------- d-----w C:\Program Files\iPod
2007-06-14 14:10:27 -------- d-----w C:\DOCUME~1\UTILIS~1\APPLIC~1\VideoEgg
2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-14 22:46:13 2,948 ----a-w C:\WINDOWS\mozver.dat
2007-04-25 14:22:35 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-09 13:47:33 22 ----a-w C:\Program Files\c.zip
2007-04-09 13:47:33 22 ----a-w C:\Program Files\b.zip
2007-04-09 13:47:33 22 ----a-w C:\Program Files\a.zip
2007-02-27 11:17:48 25,214 ----a-w C:\Program Files\A.ico
2007-02-27 11:17:46 25,214 ----a-w C:\Program Files\B.ico
1999-04-06 14:27:22 99,840 ----a-w C:\Program Files\Fichiers communs\IRAABOUT.DLL
1998-12-09 04:53:54 70,144 ----a-w C:\Program Files\Fichiers communs\IRAMDMTR.DLL
1998-12-09 04:53:54 48,640 ----a-w C:\Program Files\Fichiers communs\IRALPTTR.DLL
1998-12-09 04:53:54 31,744 ----a-w C:\Program Files\Fichiers communs\IRAWEBTR.DLL
1998-12-09 04:53:54 186,368 ----a-w C:\Program Files\Fichiers communs\IRAREG.DLL
1998-12-09 04:53:54 17,920 ----a-w C:\Program Files\Fichiers communs\IRASRIAL.DLL

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk.disabled]
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnk.disabledCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Exif Launcher 2.lnk.disabled]
backup=C:\WINDOWS\pss\Exif Launcher 2.lnk.disabledCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk.disabled]
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnk.disabledCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Symantec Fax Starter Edition Port.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Symantec Fax Starter Edition Port.lnk
backup=C:\WINDOWS\pss\Symantec Fax Starter Edition Port.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Utilisateur^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Utilisateur^Menu Démarrer^Programmes^Démarrage^Lancement rapide de Microsoft Office OneNote 2003.lnk]
path=C:\Documents and Settings\Utilisateur\Menu Démarrer\Programmes\Démarrage\Lancement rapide de Microsoft Office OneNote 2003.lnk
backup=C:\WINDOWS\pss\Lancement rapide de Microsoft Office OneNote 2003.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CFSServ.exe]
CFSServ.exe -NoClient

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Program Files\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lsass]
?

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Program Files\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Program Files\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NDSTray.exe]
NDSTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Oncebook]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE]
C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TDispVol]
TDispVol.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TFncKy]
TFncKy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\THotkey]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TOSCDSPD]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPSMain]
TPSMain.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tvs]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe"

R1 DLACDBHM;DLACDBHM;C:\WINDOWS\system32\Drivers\DLACDBHM.SYS
R1 DLARTL_N;DLARTL_N;C:\WINDOWS\system32\Drivers\DLARTL_N.SYS
R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys
R1 mnmdd;mnmdd;C:\WINDOWS\system32\drivers\mnmdd.sys
R2 DLABOIOM;DLABOIOM;C:\WINDOWS\system32\DLA\DLABOIOM.SYS
R2 DLADResN;DLADResN;C:\WINDOWS\system32\DLA\DLADResN.SYS
R2 DLAIFS_M;DLAIFS_M;C:\WINDOWS\system32\DLA\DLAIFS_M.SYS
R2 DLAOPIOM;DLAOPIOM;C:\WINDOWS\system32\DLA\DLAOPIOM.SYS
R2 DLAPoolM;DLAPoolM;C:\WINDOWS\system32\DLA\DLAPoolM.SYS
R2 DLAUDF_M;DLAUDF_M;C:\WINDOWS\system32\DLA\DLAUDF_M.SYS
R2 DLAUDFAM;DLAUDFAM;C:\WINDOWS\system32\DLA\DLAUDFAM.SYS
R2 DRVNDDM;DRVNDDM;C:\WINDOWS\system32\Drivers\DRVNDDM.SYS
R2 lanmanserver;Serveur;C:\WINDOWS\system32\svchost.exe -k netsvcs
R2 lanmanworkstation;Station de travail;C:\WINDOWS\system32\svchost.exe -k netsvcs
R2 Netdevio;TOSHIBA Network Device Usermode I/O Protocol;C:\WINDOWS\system32\DRIVERS\netdevio.sys
R2 s24trans;Transport RLAN;C:\WINDOWS\system32\DRIVERS\s24trans.sys
R2 winmgmt;Infrastructure de gestion Windows;C:\WINDOWS\system32\svchost.exe -k netsvcs
R3 E100B;Intel(R) PRO Network Connection Driver;C:\WINDOWS\system32\DRIVERS\e100b325.sys
R3 Iviaspi;IVI ASPI Shell;C:\WINDOWS\system32\drivers\iviaspi.sys
R3 sdbus;sdbus;C:\WINDOWS\system32\DRIVERS\sdbus.sys
R3 SynTP;Synaptics TouchPad Driver;C:\WINDOWS\system32\DRIVERS\SynTP.sys
R3 tifm21;tifm21;C:\WINDOWS\system32\drivers\tifm21.sys
R3 TVALD;Toshiba Mobile PC Service;C:\WINDOWS\system32\DRIVERS\NBSMI.sys
R3 Tvs;TOSHIBA Virtual Sound with SRS technologies;C:\WINDOWS\system32\DRIVERS\Tvs.sys
R3 w39n51;Intel(R) PRO/Wireless 3945ABG Adapter Driver;C:\WINDOWS\system32\DRIVERS\w39n51.sys
R3 wdmaud;Pilote WINMM de compatibilit‚ audio WDM Microsoft;C:\WINDOWS\system32\drivers\wdmaud.sys
S3 mnmsrvc;Partage de Bureau … distance NetMeeting;C:\WINDOWS\system32\mnmsrvc.exe
S3 nm;Pilote du Moniteur r‚seau;C:\WINDOWS\system32\DRIVERS\NMnt.sys
S3 sffdisk;Pilote de classe de stockage SFF;C:\WINDOWS\system32\DRIVERS\sffdisk.sys
S3 sffp_sd;Pilote de protocole de stockage SFF pour SDBus;C:\WINDOWS\system32\DRIVERS\sffp_sd.sys
S3 tosrfec;Bluetooth ACPI from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfec.sys
S4 Fhcdd7d;Fhcdd7d;C:\WINDOWS\system32\drivers\atmuni.sys

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Usnsvc usnsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a8c1c751-a486-11db-b792-00a0d14ab96e}]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c76881ea-a8b3-11db-b798-00a0d14ab96e}]
AutoRun\command- .\Recycled\Driveinfo.exe
Open\Command- .\Recycled\Driveinfo.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d7aa4eae-d9ba-11db-b804-00a0d14ab96e}]
1\Command- .\RECYCLER\RECYCLER\autorun.exe
2\Command- .\RECYCLER\RECYCLER\autorun.exe
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\RECYCLER\RECYCLER\autorun.exe

Contents of the 'Scheduled Tasks' folder
2007-07-16 11:43:00 C:\WINDOWS\tasks\AppleSoftwareUpdate.job

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-23 21:02:48
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-23 21:04:40
C:\ComboFix-quarantined-files.txt ... 2007-07-23 21:04

--- E O F ---

L'ordi s'est mis subitement à s'eteindre hier soir pendant un film et aujourd'hui lorsque je regardais une video sur youtube....et ns n'avons toujours pas la possibilité de surfer sur mozilla...
Dans l'attente de ta prochaine réponse ns te disons encore une fois merci pour ton aide!
Amicalement,
Jojjo.

moK´s@ · Answer

salut jojj,

telecharge :

Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
fais le marcher

c´est quoi ceci dans tes programmes files?

C:\Program Files\c.zip
C:\Program Files\b.zip
C:\Program Files\a.zip 

peux tu faire ceci :

 •Télécharge PCA (d'Evosla) < http://ww25.evosla.com/pca_cpt.php?agr=pca_securite > ,
•Décompresse-le sur ton " Bureau " au moyen d'un clic-droit (Extraire ici...),
Double-clic sur l'icône "pca.exe" ( en forme de grenade qui est sur le bureau ) pour le lancer.

1°- •Clique sur l'onglet "diagnostic du PC" puis "analyser".
•Laisse l'analyse se dérouler. Cela ne prend que quelques secondes.
•Clique sur "enregistrer le rapport" en bas à droite et sauvegarde-le sur le bureau.
•Le rapport va être positionné sur ton bureau "PCA_LOG.txt"
• Poste-le et supprime-le de ton bureau.

2°- Ensuite relance "pca.exe" ( qui est sur ton bureau )
- •Clique sur l'onglet " Analyse antivirus " ---> lance l'analyse "scanner"
- Enregistre le rapport ( en bas à droite ) sur le bureau
Clic sur [Nettoyer]
Poste le rapport mis sur ton bureau " PCA_SCAN-LOG.txt " » 

@+

jojjo · Answer

Bonsoir Mok's@....
Voici notre rapport PCA_LOG.txt 

# PCA Sécurité V 1.0.1, (fichier LOG).
# Rapport du  :24/07/2007 20:22:00
Microsoft Windows XP  Service Pack 2
 
==>> Processus <==
\SystemRoot\System32\smss.exe
\??\C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Utilisateur\Bureau\pca.exe
 
//pages de démarrage et de recherche d'Internet Explorer
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = about:blank
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
RO - HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.google.com/?gws_rd=ssl
RO - HKCU\Software\Microsoft\Internet Explorer\Toolbar\LinksFolderName = Liens
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Search_URL = http://www.google.com/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Search\CustomizeSearch = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant = http://www.google.com/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard\ShellNext = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - 
//applications lancées depuis system.ini,win.ini 
//03 - Browser Helper Objects (BHOs)
02 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
02 - BHO:  - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
02 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
02 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
//04 - applications chargées automatiquement
04 - HKLU\..\RUN: [ctfmon.exe] - C:\WINDOWS\system32\ctfmon.exe
04 - HKLU\..\RUN: [msnmsgr] - "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
04 - HKUS\S-1-5-18\..\RUN: [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
04 - HKUS\S-1-5-19\..\RUN: [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
04 - HKUS\S-1-5-20\..\RUN: [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
04 - HKUS\S-1-5-21-2780596154-846763981-4052183493-1006\..\RUN: [ctfmon.exe] - C:\WINDOWS\system32\CTFMON.EXE
04 - HKUS\S-1-5-21-2780596154-846763981-4052183493-1006\..\RUN: [msnmsgr] - C:\WINDOWS\system32\CTFMON.EXE
//05 - Accès au panneau de contrôle d'Internet Explorer (control.ini) 
//06-  interdiction à l' accès au options (Internet Explorer) 
//07 -  blocage de l'exécution de Regedit 
//08 - lignes supplémentaires dans le menu contextuel d'Internet Explorer
//09 - boutons situés sur la barre d'outils principale d'Internet Explorer
09 - Extra button:  - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
09 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
09 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - 
09 - Extra 'Tools' menuitem:  - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - 
09 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
09 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
//O10 - Pirates de Winsock
//O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer) 
//O12 - IE plugins
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS
pqtplugin.dll
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS
pqtplugin2.dll
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS
pqtplugin3.dll
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dll
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS
pqtplugin5.dll
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS
pqtplugin6.dll
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS
pqtplugin7.dll
//013 : DefaultPrefix 
//014 - Option : (Rétablir les paramètres Web) 
//015 - Zone de confiance d'Internet Explorer
//O16 - Objets ActiveX
O16 - DPF :  MSN Photo Upload Tool - {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - C:\WINDOWS\Downloaded Program Files\MsnPUpld.dll
//O17 - piratage de domaine Lop.com
//O18 - protocoles additionnels
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - 
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
//O19 - feuille de style de l'utilisateur
//O20 - valeur de Registre AppInit_DLLs et les sous-clés Winlogon Notify
//O21 - ShellServiceObjectDelayLoad
O21 - SSODL: Objet PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - 
O21 - SSODL: Dossier du Bureau pour l'écriture de CD - {fbeb8a05-beee-4442-804e-409d6c4515e9} - 
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - 
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
//O22 - SharedTaskScheduler
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
//O23 - services de XP,NT, 2000, et 2003
O23 - Service: [ALG] - (Service de la passerelle de la couche Application) -- %SystemRoot%\System32\alg.exe
O23 - Service: [aswUpdSv] - (avast! iAVS4 Control Service) -- "C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"
O23 - Service: [Ati HotKey Poller] - (Ati HotKey Poller) -- %SystemRoot%\system32\Ati2evxx.exe
O23 - Service: [AudioSrv] - (Audio Windows) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [avast! Antivirus] - (avast! Antivirus) -- "C:\Program Files\Alwil Software\Avast4\ashServ.exe"
O23 - Service: [avast! Mail Scanner] - (avast! Mail Scanner) -- "C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service
O23 - Service: [avast! Web Scanner] - (avast! Web Scanner) -- "C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service
O23 - Service: [bgsvcgen] - (B's Recorder GOLD Library General Service) -- C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: [BITS] - (Service de transfert intelligent en arrière-plan) -- %SystemRoot%\system32\svchost.exe -k netsvcs
O23 - Service: [Browser] - (Explorateur d'ordinateur) -- %SystemRoot%\system32\svchost.exe -k netsvcs
O23 - Service: [CFSvcs] - (ConfigFree Service) -- C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: [CryptSvc] - (Services de cryptographie) -- %SystemRoot%\system32\svchost.exe -k netsvcs
O23 - Service: [DcomLaunch] - (Lanceur de processus serveur DCOM) -- %SystemRoot%\system32\svchost -k DcomLaunch
O23 - Service: [Dhcp] - (Client DHCP) -- %SystemRoot%\system32\svchost.exe -k netsvcs
O23 - Service: [Dnscache] - (Client DNS) -- %SystemRoot%\system32\svchost.exe -k NetworkService
O23 - Service: [ERSvc] - (Error Reporting Service) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [Eventlog] - (Journal des événements) -- %SystemRoot%\system32\services.exe
O23 - Service: [EventSystem] - (Système d'événements de COM+) -- C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: [EvtEng] - (Intel(R) PROSet/Wireless Event Log) -- C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: [FastUserSwitchingCompatibility] - (Compatibilité avec le Changement rapide d'utilisateur) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [helpsvc] - (Aide et support) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [KPF4] - (Kerio Personal Firewall 4) -- "C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe"
O23 - Service: [lanmanserver] - (Serveur) -- %SystemRoot%\system32\svchost.exe -k netsvcs
O23 - Service: [lanmanworkstation] - (Station de travail) -- %SystemRoot%\system32\svchost.exe -k netsvcs
O23 - Service: [LmHosts] - (Assistance TCP/IP NetBIOS) -- %SystemRoot%\system32\svchost.exe -k LocalService
O23 - Service: [Netman] - (Connexions réseau) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [Nla] - (NLA (Network Location Awareness)) -- %SystemRoot%\system32\svchost.exe -k netsvcs
O23 - Service: [PlugPlay] - (Plug-and-Play) -- %SystemRoot%\system32\services.exe
O23 - Service: [Pml Driver HPZ12] - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: [PolicyAgent] - (Services IPSEC) -- %SystemRoot%\system32\lsass.exe
O23 - Service: [ProtectedStorage] - (Emplacement protégé) -- %SystemRoot%\system32\lsass.exe
O23 - Service: [RasMan] - (Gestionnaire de connexions d'accès distant) -- %SystemRoot%\system32\svchost.exe -k netsvcs
O23 - Service: [RegSrvc] - (Intel(R) PROSet/Wireless Registry Service) -- C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: [RpcSs] - (Appel de procédure distante (RPC)) -- %SystemRoot%\system32\svchost -k rpcss
O23 - Service: [S24EventMonitor] - (Intel(R) PROSet/Wireless Service) -- C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: [SamSs] - (Gestionnaire de comptes de sécurité) -- %SystemRoot%\system32\lsass.exe
O23 - Service: [Schedule] - (Planificateur de tâches) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [seclogon] - (Connexion secondaire) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [SENS] - (Notification d'événement système) -- %SystemRoot%\system32\svchost.exe -k netsvcs
O23 - Service: [SharedAccess] - (Internet Connection Sharing) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [ShellHWDetection] - (Détection matériel noyau) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [Spooler] - (Spouleur d'impression) -- %SystemRoot%\system32\spoolsv.exe
O23 - Service: [SSDPSRV] - (Service de découvertes SSDP) -- %SystemRoot%\system32\svchost.exe -k LocalService
O23 - Service: [stisvc] - (Acquisition d'image Windows (WIA)) -- %SystemRoot%\system32\svchost.exe -k imgsvc
O23 - Service: [TapiSrv] - (Téléphonie) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [TAPPSRV] - (TOSHIBA Application Service) -- "C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe"
O23 - Service: [TermService] - (Services Terminal Server) -- %SystemRoot%\System32\svchost -k DComLaunch
O23 - Service: [Themes] - (Thèmes) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [TrkWks] - (Client de suivi de lien distribué) -- %SystemRoot%\system32\svchost.exe -k netsvcs
O23 - Service: [UMWdf] - (Windows User Mode Driver Framework) -- C:\WINDOWS\system32\wdfmgr.exe
O23 - Service: [usnsvc] - (Service Messenger Sharing USN Journal Reader) -- C:\WINDOWS\system32\svchost.exe -k usnsvc
O23 - Service: [W32Time] - (Horloge Windows) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [WebClient] - (WebClient) -- %SystemRoot%\system32\svchost.exe -k LocalService
O23 - Service: [winmgmt] - (Infrastructure de gestion Windows) -- %systemroot%\system32\svchost.exe -k netsvcs
O23 - Service: [wscsvc] - (Security Center) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [wuauserv] - (Mises à jour automatiques) -- %systemroot%\system32\svchost.exe -k netsvcs
O23 - Service: [WZCSVC] - (Configuration automatique sans fil) -- %SystemRoot%\System32\svchost.exe -k netsvcs

Jojjo · Answer

et maintenant le PCA-SCAN-LOG :

# PCA Sécurité V 1.0.1, (fichier LOG).
# Rapport du  :24/07/2007 20:22:00
Microsoft Windows XP  Service Pack 2
 
==>> Processus <==
\SystemRoot\System32\smss.exe
\??\C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Utilisateur\Bureau\pca.exe
 
//pages de démarrage et de recherche d'Internet Explorer
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = about:blank
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
RO - HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.google.com/?gws_rd=ssl
RO - HKCU\Software\Microsoft\Internet Explorer\Toolbar\LinksFolderName = Liens
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Search_URL = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Search\CustomizeSearch = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant = http://www.google.com/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard\ShellNext = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - 
//applications lancées depuis system.ini,win.ini 
//03 - Browser Helper Objects (BHOs)
02 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
02 - BHO:  - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
02 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
02 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
//04 - applications chargées automatiquement
04 - HKLU\..\RUN: [ctfmon.exe] - C:\WINDOWS\system32\ctfmon.exe
04 - HKLU\..\RUN: [msnmsgr] - "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
04 - HKUS\S-1-5-18\..\RUN: [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
04 - HKUS\S-1-5-19\..\RUN: [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
04 - HKUS\S-1-5-20\..\RUN: [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
04 - HKUS\S-1-5-21-2780596154-846763981-4052183493-1006\..\RUN: [ctfmon.exe] - C:\WINDOWS\system32\CTFMON.EXE
04 - HKUS\S-1-5-21-2780596154-846763981-4052183493-1006\..\RUN: [msnmsgr] - C:\WINDOWS\system32\CTFMON.EXE
//05 - Accès au panneau de contrôle d'Internet Explorer (control.ini) 
//06-  interdiction à l' accès au options (Internet Explorer) 
//07 -  blocage de l'exécution de Regedit 
//08 - lignes supplémentaires dans le menu contextuel d'Internet Explorer
//09 - boutons situés sur la barre d'outils principale d'Internet Explorer
09 - Extra button:  - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
09 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
09 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - 
09 - Extra 'Tools' menuitem:  - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - 
09 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
09 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
//O10 - Pirates de Winsock
//O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer) 
//O12 - IE plugins
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS
pqtplugin.dll
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS
pqtplugin2.dll
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS
pqtplugin3.dll
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dll
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS
pqtplugin5.dll
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS
pqtplugin6.dll
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS
pqtplugin7.dll
//013 : DefaultPrefix 
//014 - Option : (Rétablir les paramètres Web) 
//015 - Zone de confiance d'Internet Explorer
//O16 - Objets ActiveX
O16 - DPF :  MSN Photo Upload Tool - {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - C:\WINDOWS\Downloaded Program Files\MsnPUpld.dll
//O17 - piratage de domaine Lop.com
//O18 - protocoles additionnels
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - 
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
//O19 - feuille de style de l'utilisateur
//O20 - valeur de Registre AppInit_DLLs et les sous-clés Winlogon Notify
//O21 - ShellServiceObjectDelayLoad
O21 - SSODL: Objet PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - 
O21 - SSODL: Dossier du Bureau pour l'écriture de CD - {fbeb8a05-beee-4442-804e-409d6c4515e9} - 
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - 
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
//O22 - SharedTaskScheduler
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
//O23 - services de XP,NT, 2000, et 2003
O23 - Service: [ALG] - (Service de la passerelle de la couche Application) -- %SystemRoot%\System32\alg.exe
O23 - Service: [aswUpdSv] - (avast! iAVS4 Control Service) -- "C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"
O23 - Service: [Ati HotKey Poller] - (Ati HotKey Poller) -- %SystemRoot%\system32\Ati2evxx.exe
O23 - Service: [AudioSrv] - (Audio Windows) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [avast! Antivirus] - (avast! Antivirus) -- "C:\Program Files\Alwil Software\Avast4\ashServ.exe"
O23 - Service: [avast! Mail Scanner] - (avast! Mail Scanner) -- "C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service
O23 - Service: [avast! Web Scanner] - (avast! Web Scanner) -- "C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service
O23 - Service: [bgsvcgen] - (B's Recorder GOLD Library General Service) -- C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: [BITS] - (Service de transfert intelligent en arrière-plan) -- %SystemRoot%\system32\svchost.exe -k netsvcs
O23 - Service: [Browser] - (Explorateur d'ordinateur) -- %SystemRoot%\system32\svchost.exe -k netsvcs
O23 - Service: [CFSvcs] - (ConfigFree Service) -- C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: [CryptSvc] - (Services de cryptographie) -- %SystemRoot%\system32\svchost.exe -k netsvcs
O23 - Service: [DcomLaunch] - (Lanceur de processus serveur DCOM) -- %SystemRoot%\system32\svchost -k DcomLaunch
O23 - Service: [Dhcp] - (Client DHCP) -- %SystemRoot%\system32\svchost.exe -k netsvcs
O23 - Service: [Dnscache] - (Client DNS) -- %SystemRoot%\system32\svchost.exe -k NetworkService
O23 - Service: [ERSvc] - (Error Reporting Service) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [Eventlog] - (Journal des événements) -- %SystemRoot%\system32\services.exe
O23 - Service: [EventSystem] - (Système d'événements de COM+) -- C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: [EvtEng] - (Intel(R) PROSet/Wireless Event Log) -- C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: [FastUserSwitchingCompatibility] - (Compatibilité avec le Changement rapide d'utilisateur) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [helpsvc] - (Aide et support) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [KPF4] - (Kerio Personal Firewall 4) -- "C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe"
O23 - Service: [lanmanserver] - (Serveur) -- %SystemRoot%\system32\svchost.exe -k netsvcs
O23 - Service: [lanmanworkstation] - (Station de travail) -- %SystemRoot%\system32\svchost.exe -k netsvcs
O23 - Service: [LmHosts] - (Assistance TCP/IP NetBIOS) -- %SystemRoot%\system32\svchost.exe -k LocalService
O23 - Service: [Netman] - (Connexions réseau) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [Nla] - (NLA (Network Location Awareness)) -- %SystemRoot%\system32\svchost.exe -k netsvcs
O23 - Service: [PlugPlay] - (Plug-and-Play) -- %SystemRoot%\system32\services.exe
O23 - Service: [Pml Driver HPZ12] - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: [PolicyAgent] - (Services IPSEC) -- %SystemRoot%\system32\lsass.exe
O23 - Service: [ProtectedStorage] - (Emplacement protégé) -- %SystemRoot%\system32\lsass.exe
O23 - Service: [RasMan] - (Gestionnaire de connexions d'accès distant) -- %SystemRoot%\system32\svchost.exe -k netsvcs
O23 - Service: [RegSrvc] - (Intel(R) PROSet/Wireless Registry Service) -- C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: [RpcSs] - (Appel de procédure distante (RPC)) -- %SystemRoot%\system32\svchost -k rpcss
O23 - Service: [S24EventMonitor] - (Intel(R) PROSet/Wireless Service) -- C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: [SamSs] - (Gestionnaire de comptes de sécurité) -- %SystemRoot%\system32\lsass.exe
O23 - Service: [Schedule] - (Planificateur de tâches) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [seclogon] - (Connexion secondaire) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [SENS] - (Notification d'événement système) -- %SystemRoot%\system32\svchost.exe -k netsvcs
O23 - Service: [SharedAccess] - (Internet Connection Sharing) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [ShellHWDetection] - (Détection matériel noyau) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [Spooler] - (Spouleur d'impression) -- %SystemRoot%\system32\spoolsv.exe
O23 - Service: [SSDPSRV] - (Service de découvertes SSDP) -- %SystemRoot%\system32\svchost.exe -k LocalService
O23 - Service: [stisvc] - (Acquisition d'image Windows (WIA)) -- %SystemRoot%\system32\svchost.exe -k imgsvc
O23 - Service: [TapiSrv] - (Téléphonie) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [TAPPSRV] - (TOSHIBA Application Service) -- "C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe"
O23 - Service: [TermService] - (Services Terminal Server) -- %SystemRoot%\System32\svchost -k DComLaunch
O23 - Service: [Themes] - (Thèmes) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [TrkWks] - (Client de suivi de lien distribué) -- %SystemRoot%\system32\svchost.exe -k netsvcs
O23 - Service: [UMWdf] - (Windows User Mode Driver Framework) -- C:\WINDOWS\system32\wdfmgr.exe
O23 - Service: [usnsvc] - (Service Messenger Sharing USN Journal Reader) -- C:\WINDOWS\system32\svchost.exe -k usnsvc
O23 - Service: [W32Time] - (Horloge Windows) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [WebClient] - (WebClient) -- %SystemRoot%\system32\svchost.exe -k LocalService
O23 - Service: [winmgmt] - (Infrastructure de gestion Windows) -- %systemroot%\system32\svchost.exe -k netsvcs
O23 - Service: [wscsvc] - (Security Center) -- %SystemRoot%\System32\svchost.exe -k netsvcs
O23 - Service: [wuauserv] - (Mises à jour automatiques) -- %systemroot%\system32\svchost.exe -k netsvcs
O23 - Service: [WZCSVC] - (Configuration automatique sans fil) -- %SystemRoot%\System32\svchost.exe -k netsvcs



en revanche le 1er rapport je l'ai enrregistré sur un dossier sur le bureau..je l'ai tout de même supprimé par la suite comme tu nous as dis de faire....
ET pour le second rapport....impossible de cliquer sur "Nettoyer"......bizare non ?

Enfin et pour finir CleanUp nous as trouvé plus de 6800 "Files Deleted"....pour les supprimer nous avons du redemarrer l'ordi....je crois que c'est la démarche normale non !?
Encore merci pour ton aide....
@ +

moK´s@ · Answer

salut jojo,

j´aurais voulue voire le rapport de pca :

comme celui la:

# PCA Sécurité V 1.0.1, (fichier LOG Antivirus).
# Analyse Antivirus du :24/07/2007 20:26:53
Microsoft Windows XP Service Pack 2

Objets reconnus : 000
Processus reconnus :000
- - - - - - - - - - - - - -

[24/07/2007 20:25:53] - ==>>> Scan des Processus <<<==
[24/07/2007 20:25:54] - ==>>> Scan de la base de registre <<<==
[24/07/2007 20:25:55] - ==>>> Scan de : c:\
[24/07/2007 20:25:57] - ==>>> Scan de : C:\WINDOWS
[24/07/2007 20:25:58] - ==>>> Scan de : C:\WINDOWS\SYSTEM\
[24/07/2007 20:25:58] - ==>>> Scan de : C:\WINDOWS\system32
[24/07/2007 20:26:13] - ==>>> Scan de : C:\Documents and Settings\proprio
[24/07/2007 20:26:13] - ==>>> Scan de : C:\Documents and Settings\proprio\Menu Démarrer
[24/07/2007 20:26:13] - ==>>> Scan de : C:\Documents and Settings\proprio\Menu Démarrer\Programmes\Démarrage
[24/07/2007 20:26:13] - ==>>> Scan de : C:\Documents and Settings\All Users\Menu Démarrer
[24/07/2007 20:26:13] - ==>>> Scan de : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
[24/07/2007 20:26:13] - ==>>> Scan de : C:\Documents and Settings\proprio\Bureau
[24/07/2007 20:26:13] - ==>>> Scan de : C:\Documents and Settings\proprio\Bureau
[24/07/2007 20:26:13] - ==>>> Scan de : C:\Documents and Settings\All Users\Bureau
[24/07/2007 20:26:13] - ==>>> Scan de : C:\Program Files
[24/07/2007 20:26:13] - ==>>> Scan de : C:\Documents and Settings\proprio\Application Data
[24/07/2007 20:26:13] - ==>>> Scan de : C:\Documents and Settings\proprio\Local Settings\Application Data

tu ne l´as pas?

@+

jojjo · Answer

Si pardon, je viens de me rendre compte en voyant ta question que j'ai posté 2 fois le même rapport....
Voici ce que tu souhaites voir :

# PCA Sécurité V 1.0.1, (fichier LOG Antivirus).
# Analyse Antivirus du :24/07/2007 20:27:22
Microsoft Windows XP Service Pack 2

Objets reconnus : 000
Processus reconnus :000
- - - - - - - - - - - - - -

[24/07/2007 20:26:30] - ==>>> Scan des Processus <<<==
[24/07/2007 20:26:31] - ==>>> Scan de la base de registre <<<==
[24/07/2007 20:26:31] - ==>>> Scan de : c:\
[24/07/2007 20:26:34] - ==>>> Scan de : C:\WINDOWS
[24/07/2007 20:26:34] - ==>>> Scan de : C:\WINDOWS\SYSTEM\
[24/07/2007 20:26:34] - ==>>> Scan de : C:\WINDOWS\system32
[24/07/2007 20:26:52] - ==>>> Scan de : C:\Documents and Settings\Utilisateur
[24/07/2007 20:26:52] - ==>>> Scan de : C:\Documents and Settings\Utilisateur\Menu Démarrer
[24/07/2007 20:26:52] - ==>>> Scan de : C:\Documents and Settings\Utilisateur\Menu Démarrer\Programmes\Démarrage
[24/07/2007 20:26:52] - ==>>> Scan de : C:\Documents and Settings\All Users\Menu Démarrer
[24/07/2007 20:26:52] - ==>>> Scan de : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
[24/07/2007 20:26:52] - ==>>> Scan de : C:\Documents and Settings\Utilisateur\Bureau
[24/07/2007 20:26:52] - ==>>> Scan de : C:\Documents and Settings\Utilisateur\Bureau
[24/07/2007 20:26:52] - ==>>> Scan de : C:\Documents and Settings\All Users\Bureau
[24/07/2007 20:26:52] - ==>>> Scan de : C:\Program Files
[24/07/2007 20:26:52] - ==>>> Scan de : C:\Documents and Settings\Utilisateur\Application Data
[24/07/2007 20:26:52] - ==>>> Scan de : C:\Documents and Settings\Utilisateur\Local Settings\Application Data

PS : dois je aussi le supprimer de mon bureau une fois que je te l'ai envoyé !?? et si oui pourquoi ?
Merci à toi....
@ +

jojjo · Answer

Au fait Mok's@ pour répondre à ta question : 
c´est quoi ceci dans tes programmes files? 

C:\Program Files\c.zip 
C:\Program Files\b.zip 
C:\Program Files\a.zip

On en sais strictement rien mais je crois que ca devait faire partis du fichier.zip envoyé par le virus via msn.....je les ai supprimer en les selectionant puis shift suppr...

En revanche on a remarqué que depuis qq jours que notre etunes bug pas mal les chansons sont sacadées voir ralentit est c'est atroce...impossible d'ecouter de la musique comme ca...
Mozilla ne veut toujours pas fonctioner.....et de temps en temps l'ordi se coupe tout seul comme je te l'ai dis hier....

On reste dans l'attente de tes conseils....et une fois de plus MERCI à toi..

@+ Jojjo !

moK´s@ · Answer

re,

jojo je voudrais que tu fasse un scan en ligne avec bitdefender, ca va etre long mais...

tu n´as qu´as le lancer pendant la nuit...

https://www.bitdefender.com/toolbox/

Clique sur "I agree" et suis la manip.

post l´integralité du rapport ici 

ps : il faut le faire avec internet explorer...

bon courrage,

@+

jojjo · Answer

Bonsoir Mok's@ et comme convenu voici notre rapport Bitdefender : 

BitDefender Online Scanner
	

 
	

 

Rapport d'analyse généré à: Wed, Jul 25, 2007 - 03:34:07

 
	

 
	

 

Voie d'analyse: C:\;D:\;E:\;
	

 
	

 

 
	

 
	

 

Statistiques

Temps
	

01:16:26

Fichiers
	

302077

Directoires
	

8475

Secteurs de boot
	

5

Archives
	

7481

Paquets programmes
	

17951
	

 
	

 

Résultats

Virus identifiés
	

1

Fichiers infectés
	

1

Fichiers suspects
	

0

Avertissements
	

0

Désinfectés
	

0

Fichiers effacés
	

1
	

 
	

 

Info sur les moteurs

Définition virus
	

640448

Version des moteurs
	

AVCORE v1.0 (build 2410) (i386) (Jun 12 2007 21:08:27)

Analyse des plugins
	

14

Archive des plugins
	

38

Unpack des plugins
	

6

E-mail plugins
	

6

Système plugins
	

1
	

 
	

 

Paramètres d'analyse

Première action
	

Désinfecté

Seconde Action
	

Supprimé

Heuristique
	

Oui

Acceptez les avertissements
	

Oui

Extensions analysées
	

*;

Excludez les extensions
	

 

Analyse d'emails
	

Oui

Analyse des Archives
	

Oui

Analyser paquets programmes
	

Oui

Analyse des fichiers
	

Oui

Analyse de boot
	

Oui
	

 
	

 
 

Fichier analysé
	

 Statut

C:\WINDOWS\system32\drivers\etc\hosts.msn
	

Infecté par: Generic.Qhost.23E05DF4

C:\WINDOWS\system32\drivers\etc\hosts.msn
	

Echec de la désinfection

C:\WINDOWS\system32\drivers\etc\hosts.msn
	

Supprimé
	

Devons nous comprendre, qu'un virus à été trouvé et éliminé ou pas !???
COncernant Mozilla....ns ne pouvons toujours pas nous en servir....et l'ordinateur n'arrettent pas de s'eteindre....rrrrrr
En tous cas merci encore et toujours pour ton aide et tes conseils.
A +

moK´s@ · Answer

salut jojo,

oui un virus a eté trouvé 

a parament cela concernait msn...

Télécharge ceci:
http://sosvirus.changelog.fr/Green_day/Lopxp.exe

Lance Lopxp.bat.
Au menu, choisis l'option 1 "Rechercher / Générer un rapport"
Patiente et lorsque l'on te demande d'appuyer sur une touche, appuie.
Ensuite, le rapport s'ouvre, copie colle le en entier sur le forum.

@+

jojjo · Answer

Oui je pense bien qu'il s'agisse d'un virus concernant msn....c'est d'ailleurs le titre de notre message !!
Par contre impossible d'acceder à ton lien http://sosvirus.changelog.fr/Green_day/Lopxp.exe
cele nous donne le message suivant : "Error 404 - Not found
Le fichier requis n'a pas été trouvé. Il peut s'agir d'une erreur technique. Veuillez réessayer ultérieurement. Si vous ne pouvez pas accéder au fichier après plusieurs tentatives, cela signifie qu'il a été supprimé."

Enfin et pour finir en allant sur ce lien : http://sosvirus.changelog.fr/Alerte_copieur.html 
On viens de se rendre compte qu'il s'agis exactement de l'infection de nous sommes victimes....ne devrions nous pas suivre la démarche indiquée sur ce lien ??

Encore Merci à toi de nous aider pour en finir une fois pour toute avec ce virus !

@ +

moK´s@ · Answer

re,

avec celui la :

Télécharge lopxp :
http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

dézippe-le sur ton bureau puis double-clic sur le fichier "lopxpMH.bat"
quand il a terminé, un rapport s'ouvre : fait un copier-coller du rapport puis mets le ici

pour ce que tu as vu, on l´as deja passé ce fix (poste5)...

@+

Jojjo · Answer

Bonjour Mok's@....
Je me permet de revenir à toi concernant notre infection sur notre pc....
Je n'avais pas fait la manipulation du "poste 21" avec lopxp...
Par contre l'infection à pris de l'ampleur....et maintenant nous avaons droit à une police anormalement grande...impossible de la reconfigurer normalement via un clik droit paramètres, apparences, taille de la police....tous nos dossiers sont affichés en grand sur notre fond d'écran....que faut il faire !?? 
D'autre part impossible de bloquer le lancement de msn au demarrage de l'ordi meme en le desactivant via msconfig...ce dernier se relance à chaques demarrage.....

Quelle est la demarche à suivre pour retrouver un ordi PROPRE et qui fonctionne !?

Nous attendons tes conseils ou ceux de TOUTES personnes compétentes pour nous aider....

A toi et à CCM encore une fois MERCI.

moK´s@ · Answer

salut a toi jojjo,

le probleme de police :

ceci ne marche pas je présume?

dans apparences et thèmes, affichage, apparence, taille de police, (petite,moyenne,grande ) 

peux tu refaire un msn fix stp :

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip

http://serveur1.archive-host.com/membres/up/1366464061/MSNFix.zip

Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

fait le avec cette version car elle a été mis a jour...

et remets un hijack this stp

jojjo · Answer

Ok Mok's@, alors : 
Aucune erreur détéctée avec le nouveau MSNFix...

D'autre part voici notre nouveau scan Hijackthis :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:17:01, on 19/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings\Utilisateur\Bureau\HiJackThis_v2.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://melon105.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

moK´s@ · Answer

re,

pour la police, ce que je t´avais proposé a t -il  aidé au probleme? 

¤ Télécharge Clean
----> http://www.malekal.com/download/clean.zip

Dézippe tout le contenu dans le même dossier. Double clic sur clean ou clean.cmd choisissez l'option 1.
Un rapport va s'ouvrir, copie et colle le contenu ici

jojjo · Answer

Bonsoir Mok's@, 
Concernant le problème de police : non resolut !
Le fait est que via un clik droit propriété sur notre fond d'ecran nous n'avons plus accès aux apparences et thèmes, affichage,taille de police, (petite,moyenne,grande )...

D'autre part concernant le raport de malekal le voici : 

 20/08/2007 a 19:53:21,15 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
 
*** Recherche des fichiers dans C:\Program Files 
"C:\Program Files\BitDownload" FOUND 
"C:\Program Files\Multi_Media\" FOUND 
"C:\Program Files\Viewpoint\" FOUND 
*** Fin du rapport ! 


PS : Malekal_morte editeur de "clean" a t il un rapport avec la malekal_morte de boulogne billancourt (Mala etc...connection Beat de Boul sage poètes de la rue etc..!?) 

PPS : As tu remarqué qq chose de anormal dans notre rapport hijackthis !?

moK´s@ · Answer

salut jojjo,

bon dans l´immedia il faudrait faire le lopxp, enfin apres clean :

¤Démarre en mode sans échec :
Pour cela, tu tapote la touche F8 des le début de l allumage du pc sans t arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5) 

Puis ouvre le dossier clean et ouvre clean.cmd et choisis l'option 2.
Redémarre normalement et poste le log clean. 

¤
Télécharge lopxp :
http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

dézippe-le sur ton bureau puis double-clic sur le fichier "lopxpMH.bat"
quand il a terminé, un rapport s'ouvre : fait un copier-coller du rapport puis mets le ici

non ce n´est pas malekal morte de boulogne, enfin je crois pas du moins, on sait jamais faudrait lui demander?!?! :p les sages popopowaa...

le hijack this me parait ok, mais on voie pas tout avec, c´est pour ca que je te demande lopxp...

pour l´histoire de police, il va sans doute faloire réparer windows avec le cd d´instale, tu l´as???

@+

jojjo · Answer

Ok Mok's@ alors...plusieurs choses : - j'ai lancé un scan avec avast tout bêtement pour voir si il trouvait qq chose !! Il me dis que le dossier Smitfraudfix est un virus........n'est ce pas une application que l'on avait lancé enssemble ?? - j'ai fais le mode sans echec avec l'option 2 de lopxp dont voici le rapport : A ecoute je me rend compte qu'il n'a pas voulu s'enrregister pourtant je viens de le faire en mode sans echec...etrange...je vais le refaire et le poster de suite...mais c'est bizare que ca n'est pas marché.... je te met aussi le rapport lopxp que voici : Rapport lopxpMH2 version 2.0 fait à 0:25:44,84 le 21/08/2007 C:\Documents and Settings\Utilisateur\Bureau ****************************************** ## Répertoires Application Data Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est C44B-0395 Répertoire de C:\Documents and Settings\Administrateur\Application Data 21/08/2007 00:04 . 21/08/2007 00:04 .. 21/08/2007 00:04 Adobe 21/08/2007 00:04 ATI 21/08/2007 00:04 Identities 21/08/2007 00:04 Intel 21/08/2007 00:04 Microsoft 21/08/2007 00:04 Sonic 21/08/2007 00:04 toshiba 21/08/2007 00:04 62 desktop.ini 1 fichier(s) 62 octets 9 Rép(s) 11 611 475 968 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est C44B-0395 Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data 21/08/2007 00:04 . 21/08/2007 00:04 .. 21/08/2007 00:04 {3248F0A6-6813-11D6-A77B-00B0D0150040} 21/08/2007 00:04 Adobe 21/08/2007 00:04 ApplicationHistory 21/08/2007 00:04 ATI 21/08/2007 00:04 Microsoft 21/08/2007 00:04 Toshiba 21/08/2007 00:04 135 fusioncache.dat 21/08/2007 00:04 12 328 GDIPFONTCACHEV1.DAT 21/08/2007 00:04 1 930 896 IconCache.db 3 fichier(s) 1 943 359 octets 8 Rép(s) 11 611 475 968 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est C44B-0395 Répertoire de C:\Documents and Settings\All Users\Application Data 16/01/2006 19:29 . 16/01/2006 19:29 .. 17/01/2006 15:09 Adobe 01/07/2007 15:19 Adobe Systems 10/01/2007 03:42 AOL 10/01/2007 03:38 AOL Downloads 10/01/2007 03:43 AOL OCP 19/02/2007 02:45 Apple Computer 02/02/2007 21:14 For dupe audio beep 14/03/2007 18:16 Google 07/01/2007 17:49 HP 30/12/2006 02:45 Intel 12/01/2007 00:38 Macrovision 16/01/2006 19:29 Microsoft 16/01/2006 18:42 SBSI 14/03/2007 18:16 Skype 24/03/2007 22:47 Spybot - Search & Destroy 24/03/2007 22:48 TEMP 10/01/2007 03:42 Viewpoint 01/06/2007 11:31 Windows Genuine Advantage 05/01/2007 21:36 Windows Live Toolbar 12/07/2007 13:12 305 addr_file.html 16/01/2006 19:29 62 desktop.ini 07/01/2007 17:41 749 hpzinstall.log 26/04/2007 14:01 1 751 QTSBandwidthCache 4 fichier(s) 2 867 octets 21 Rép(s) 11 611 475 968 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est C44B-0395 Répertoire de C:\Documents and Settings\Default User\Application Data 16/01/2006 19:29 . 16/01/2006 19:29 .. 30/12/2006 02:42 Adobe 30/12/2006 02:42 ATI 30/12/2006 02:42 Identities 30/12/2006 02:44 Intel 16/01/2006 19:29 Microsoft 30/12/2006 02:42 Sonic 30/12/2006 02:42 toshiba 16/01/2006 19:29 62 desktop.ini 1 fichier(s) 62 octets 9 Rép(s) 11 611 475 968 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est C44B-0395 Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data 16/01/2006 19:29 . 16/01/2006 19:29 .. 30/12/2006 02:42 {3248F0A6-6813-11D6-A77B-00B0D0150040} 30/12/2006 02:42 Adobe 30/12/2006 02:42 ApplicationHistory 30/12/2006 02:42 ATI 16/01/2006 18:37 Microsoft 30/12/2006 02:42 Toshiba 30/12/2006 02:42 135 fusioncache.dat 30/12/2006 02:42 12 328 GDIPFONTCACHEV1.DAT 30/12/2006 02:42 4 819 658 IconCache.db 3 fichier(s) 4 832 121 octets 8 Rép(s) 11 611 471 872 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est C44B-0395 Répertoire de C:\Documents and Settings\LocalService\Application Data 16/01/2006 18:40 . 16/01/2006 18:40 .. 09/04/2007 16:43 Idol third 16/01/2006 18:40 Microsoft 19/03/2007 00:45 Webroot 0 fichier(s) 0 octets 5 Rép(s) 11 611 471 872 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est C44B-0395 Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data 16/01/2006 18:40 . 16/01/2006 18:40 .. 16/01/2006 18:40 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 11 611 471 872 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est C44B-0395 Répertoire de C:\Documents and Settings\NetworkService\Application Data 16/01/2006 18:40 . 16/01/2006 18:40 .. 16/01/2006 18:40 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 11 611 471 872 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est C44B-0395 Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data 16/01/2006 18:40 . 16/01/2006 18:40 .. 16/01/2006 18:40 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 11 611 471 872 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est C44B-0395 Répertoire de C:\Documents and Settings\Utilisateur\Application Data 30/12/2006 02:43 . 30/12/2006 02:43 .. 10/01/2007 03:54 acccore 30/12/2006 02:43 Adobe 28/01/2007 04:48 AdobeUM 19/02/2007 02:48 Apple Computer 30/12/2006 02:43 ATI 02/02/2007 21:13 BitDownload 21/05/2007 20:01 DeepBurner 18/01/2007 21:02 FreeCall 12/04/2007 18:44 FUJIFILM 14/03/2007 18:19 Google 07/01/2007 17:49 HP 30/12/2006 02:43 Identities 02/02/2007 21:13 Idol third 11/01/2007 00:01 Image Zone Express 30/12/2006 02:44 Intel 05/01/2007 23:16 InterVideo 24/03/2007 22:51 Lavasoft 30/12/2006 03:11 Macromedia 12/01/2007 02:02 Media Player Classic 30/12/2006 02:43 Microsoft 30/12/2006 03:01 Microsoft Web Folders 15/05/2007 00:20 Mozilla 05/01/2007 21:29 MSNInstaller 12/01/2007 19:51 Real 14/03/2007 18:16 Skype 30/12/2006 02:43 Sonic 30/12/2006 02:51 Sun 17/03/2007 20:42 Template 30/12/2006 02:43 toshiba 19/02/2007 21:29 uTorrent 14/06/2007 16:10 VideoEgg 30/01/2007 00:15 Viewpoint 30/12/2006 02:43 62 desktop.ini 30/12/2006 03:07 408 wklnhst.dat 2 fichier(s) 470 octets 34 Rép(s) 11 611 467 776 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est C44B-0395 Répertoire de C:\Documents and Settings\Utilisateur\Local Settings\Application Data 30/12/2006 02:43 . 30/12/2006 02:43 .. 30/12/2006 02:43 {3248F0A6-6813-11D6-A77B-00B0D0150040} 30/12/2006 02:43 Adobe 10/01/2007 03:43 AOL OCP 19/02/2007 21:49 Apple Computer 30/12/2006 02:43 ApplicationHistory 30/12/2006 02:43 ATI 14/03/2007 18:16 Google 09/01/2007 03:09 Identities 30/12/2006 02:43 Microsoft 15/05/2007 00:21 Mozilla 17/04/2007 12:03 Multi_Media 29/06/2007 19:57 Seven Zip 30/12/2006 02:43 Toshiba 01/07/2007 19:55 WMTools Downloaded Files 30/12/2006 03:26 92 672 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 30/12/2006 02:43 134 fusioncache.dat 30/12/2006 02:43 53 264 GDIPFONTCACHEV1.DAT 17/01/2007 04:57 4 770 942 IconCache.db 4 fichier(s) 4 917 012 octets 16 Rép(s) 11 611 467 776 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est C44B-0395 Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data 16/01/2006 18:39 . 16/01/2006 18:39 .. 30/12/2006 02:42 Adobe 30/12/2006 02:42 ATI 30/12/2006 02:42 Identities 30/12/2006 02:45 Intel 16/01/2006 18:39 Microsoft 30/12/2006 02:42 Sonic 30/12/2006 02:42 toshiba 16/01/2006 18:39 62 desktop.ini 1 fichier(s) 62 octets 9 Rép(s) 11 611 467 776 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est C44B-0395 Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data 16/01/2006 18:39 . 16/01/2006 18:39 .. 30/12/2006 02:42 {3248F0A6-6813-11D6-A77B-00B0D0150040} 30/12/2006 02:42 Adobe 30/12/2006 02:42 ApplicationHistory 30/12/2006 02:42 ATI 16/01/2006 18:39 Microsoft 30/12/2006 02:42 Toshiba 30/12/2006 02:42 135 fusioncache.dat 30/12/2006 02:42 12 328 GDIPFONTCACHEV1.DAT 30/12/2006 02:42 4 819 658 IconCache.db 3 fichier(s) 4 832 121 octets 8 Rép(s) 11 611 467 776 octets libres ****************************************** Recherche des taches planifiées dans C:\WINDOWS asks C:\WINDOWS\Tasks\AppleSoftwareUpdate.job ¡I:îfN¹7í û+éF ê < s €!× + : C : \ P r o g r a m F i l e s \ A p p l e S o f t w a r e U p d a t e \ S o f t w a r e U p d a t e . e x e - T a s k S Y S T E M 0 × + ****************************************** ## Répertoires de C:\Program Files Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est C44B-0395 Répertoire de C:\Program Files 21/08/2007 00:17 . 21/08/2007 00:17 .. 01/07/2007 17:41 Adobe 09/03/2007 19:11 AIM6 30/12/2006 03:01 Alwil Software 26/03/2007 13:43 Apple Software Update 21/05/2007 20:00 Astonsoft 30/03/2006 20:50 ATI Technologies 09/04/2007 14:36 CCleaner 24/07/2007 20:03 CleanUp! 16/01/2006 18:35 ComPlus Applications 30/12/2006 03:00 DivX 20/07/2007 19:06 Fichiers communs 17/05/2007 20:53 FinePixViewer 18/01/2007 21:00 FreeCall.com 09/04/2007 14:23 Google 07/01/2007 17:46 Hewlett-Packard 21/06/2007 16:25 Hitman Pro 07/01/2007 17:49 HP 25/03/2007 20:00 Idol third 30/12/2006 02:45 Intel 14/06/2007 04:00 Internet Explorer 30/12/2006 02:44 InterVideo 15/06/2007 12:47 iPod 15/06/2007 12:49 iTunes 30/03/2006 20:52 Java 20/07/2007 19:19 jv16 PowerTools 09/04/2007 14:28 Kaspersky Lab 20/07/2007 15:04 Kerio 24/03/2007 22:47 Lavasoft 30/12/2006 04:39 ltmoh 30/12/2006 04:39 Messenger 30/12/2006 03:01 microsoft frontpage 30/12/2006 03:06 Microsoft Office 30/12/2006 03:02 Microsoft Visual Studio 30/12/2006 03:06 Microsoft Works 30/12/2006 04:40 Microsoft.NET 30/12/2006 04:40 Movie Maker 24/07/2007 20:05 Mozilla Firefox 02/01/2007 20:48 MSN 30/12/2006 04:40 MSN Gaming Zone 09/02/2007 14:33 MSN Messenger 29/03/2007 03:03 MSXML 4.0 30/12/2006 04:40 NetMeeting 30/12/2006 04:41 Online Services 14/06/2007 04:00 Outlook Express 12/04/2007 18:47 PIXELA 19/03/2007 02:34 QuickTime 12/01/2007 19:51 Real 30/12/2006 04:41 Realtek 12/04/2007 18:41 REGSHAVE 12/01/2007 02:00 Satsuki Decoder Pack 30/12/2006 04:41 Services en ligne 09/07/2007 01:42 Skype 30/12/2006 03:02 Snapshot Viewer 30/03/2006 20:54 Sonic 29/06/2007 19:35 Sony 14/08/2007 13:12 Spybot - Search & Destroy 30/12/2006 03:46 SuperCopier2 30/12/2006 04:41 Synaptics 30/03/2006 20:55 Toshiba 11/01/2007 21:46 Webteh 09/04/2007 14:21 Windows Live Toolbar 29/03/2007 03:04 Windows Media Player 30/12/2006 04:42 Windows NT 30/12/2006 02:59 WinRAR 30/12/2006 04:42 xerox 0 fichier(s) 0 octets 67 Rép(s) 11 611 451 392 octets libres ****************************************** ## Popups autorisées * Internet Explorer ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow PopupMgr REG_SZ yes * Mozilla Firefox (1 autorisé 2 interdit) ---------- C:\DOCUMENTS AND SETTINGS\UTILISATEUR\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\6M7GD1C7.DEFAULT\HOSTPERM.1 host popup 1 webmessenger.msn.com ****************************************** ## Registre ****************************************** ## Zones de sécurité * HKCU Domains (4) * P3P History (5) ****************************************** ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif" *************** Fin du rapport ****************

jojjo · Answer

...Et voici le raport clean en mode sans echec...en fait il s'etait bien enregistré mais pas là ou je pensais...au tant pour moi ! : 

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 21/08/2007 a  0:16:51,50 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
 
*** Suppression des fichiers dans C:\Program Files 
tentative de suppression de "C:\Program Files\BitDownload" 
tentative de suppression de "C:\Program Files\Multi_Media\" 
tentative de suppression de "C:\Program Files\Viewpoint\" 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport ! 

merci encore à toi Mok's@ pour ton coup de main....
et pour le cd d'installation de windows..ma copine l'à chez elle en France...elle remonte dans 2 semaines pour qq jours donc elle pourra le ramener si il le faut pour recuperer une police normal !
Bonne nuit et a demain !! ++

moK´s@ · Answer

salut jojjo,

ok pour clean et lopxp...

oui pour tes histoires de police il faudra faire un check disk pour voir si il ne manque pas des fichiers a windows pour son fonctionnement, on fera ca quand tu copine rentrera, alors... ( et oui pour ce faire il faut le cd d´installation)

pour le moment fais ceci :

Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

@+

jojjo · Answer

Salut Mok's@, 
Ok c'est noté pour le chek disque...on va tacher de remettre la main sur le cd d'installation..mais normalement il est à sa place...dans la boite...et donc se serra pour le 18 septembre...pas avant hélas !!

Sinon concernant navilog...voici le resultat de notre scan : 

Search Navipromo version 2.0.9 commencé le 26/08/2007 à 14:09:06,51
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Utilisateur\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 08/26/07 at 14:09:12.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ...........................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 08/26/07 at 14:12:16 (return code = 0).


*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !



*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 


*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 


3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse Terminé le 26/08/2007 à 14:12:52,43 ***


Nous attendons la suite de tes conseils et te remercions une fois de plus pour ton aide Mok's@
Bonne soirée à toi
++

moK´s@ · Answer

bonjour jojjo,

oui alors le 18 septembre pour le check disk,

pour le moment peux tu faire ce scan en ligne :

https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr 

copie et colle le resultat ici 

@+

jojjo · Answer

Bonjour Mok's@....
Voici le rapport du scan Kaspersky en ligne que tu nous a dis de faire...On a du installer l'active X du site en question car au debut ca ne marchait pas... : 

Voici le scan de la "zone critique" comme il l'appel sur le site : 
-------------------------------------------------------------------------------
 KASPERSKY ON-LINE SCANNER REPORT
 Monday, September 03, 2007 1:42:41 PM
 Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
 Kaspersky On-line Scanner version : 5.0.83.0
 Dernière mise à jour de la base antivirus Kaspersky :  3/09/2007
 Enregistrements dans la base antivirus Kaspersky : 378289
-------------------------------------------------------------------------------

Paramètres d'analyse:
	Analyser avec la base antivirus suivante: standard
	Analyser les archives: vrai
	Analyser les bases de messagerie: vrai

Cible de l'analyse - Zones critiques:
	C:\WINDOWS
	C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\

Statistiques de l'analyse:
	Total d'objets analysés: 12044
	Nombre de virus trouvés: 0
	Nombre d'objets infectés: 0 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 00:10:40

Nom de l'objet infecté / Nom du virus / Dernière action
C:\WINDOWS\Debug\PASSWD.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\SchedLgU.Txt	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Sti_Trace.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\ACEEvent.evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\Antivirus.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\h323log.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_110.dat	L'objet est verrouillé	ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\wiadebug.log	L'objet est verrouillé	ignoré
C:\WINDOWS\wiaservc.log	L'objet est verrouillé	ignoré
C:\WINDOWS\WindowsUpdate.log	L'objet est verrouillé	ignoré
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\Perflib_Perfdata_208.dat	L'objet est verrouillé	ignoré
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré

Analyse terminée.

ET Voici ici le scan dis du "poste de travail" : 

-------------------------------------------------------------------------------
 KASPERSKY ON-LINE SCANNER REPORT
 Monday, September 03, 2007 6:21:40 PM
 Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
 Kaspersky On-line Scanner version : 5.0.83.0
 Dernière mise à jour de la base antivirus Kaspersky :  3/09/2007
 Enregistrements dans la base antivirus Kaspersky : 378289
-------------------------------------------------------------------------------

Paramètres d'analyse:
	Analyser avec la base antivirus suivante: standard
	Analyser les archives: vrai
	Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
	C:\
	D:\

Statistiques de l'analyse:
	Total d'objets analysés: 89062
	Nombre de virus trouvés: 0
	Nombre d'objets infectés: 0 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 01:20:51

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Utilisateur\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Utilisateur\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Utilisateur\Local Settings\Historique\History.IE5\MSHist012007090320070904\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Utilisateur\Local Settings\Temp\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Utilisateur\Local Settings\Temp\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Utilisateur\Local Settings\Temp\Perflib_Perfdata_208.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Utilisateur\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Utilisateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Utilisateur\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\Utilisateur
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log
shield.log	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATAeport\Protection résidente.txt	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\debug.log	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\debug.log.idx	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\error.log	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\error.log.idx	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\hips.log	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\hips.log.idx	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\ids.log	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\ids.log.idx	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs
etwork.log	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs
etwork.log.idx	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\system.log	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\system.log.idx	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\warning.log	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\warning.log.idx	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\web.log	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\web.log.idx	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{D475D116-DF88-45C4-8BF3-9AB6FC089BD7}\RP18\change.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Debug\PASSWD.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\SchedLgU.Txt	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Sti_Trace.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\ACEEvent.evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\Antivirus.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\h323log.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_110.dat	L'objet est verrouillé	ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\wiadebug.log	L'objet est verrouillé	ignoré
C:\WINDOWS\wiaservc.log	L'objet est verrouillé	ignoré
C:\WINDOWS\WindowsUpdate.log	L'objet est verrouillé	ignoré

Analyse terminée.


L'analyse n'a apparament pas detectée de virus...
A ce sujet d'ailleurs je tenais à te faire remarquer ue j'ai découvert ceci : 

IMPOSSIBLE de desactiver "msn" via msconfig.....cela nous donne le message suivant : "une erreur de refus d'accès a été renvoyée lors de la tentative de modifier un service. Vous devrez peut-être ouvrir une session en utilisant un compte administrateur pour effectuer les modifications spécifiées."
EN revanche en passant par spyboat en mode avancé.....c'est POSSIBLE.
EN réalité nous avons remarqué que msn se lance bizarement automatiquement au démarage SEULEMENT lorsque ma copine s'est connectée la vieille par exemple AVEC SON adresse msn....
Avec la mienne nous ne rencontrons pas cette fenetre qui s'ouvre direct au demarrage...
On en à donc logiquement conclue qu'il s'agit bel et bien d'une salle bestiole qui nous pourris le PC et qui s'est infiltré via l'adresse msn de ma copine !! Rrrrrrrrrr

ENFIN et pour finir...une bonne nouvelle !! On a mis la main sur le fameux CD >>> "Restauration du système" qui se trouvait en fait bel et bien chez nous....

Nous attendons donc avec impatience tes conseils ainsi que ton point de vue sur la situation de notre ordi....
Encore un GRAND MERCI pour ton aide et ton suivit dans nos gualères informatique...
@ +

moK´s@ · Answer

salut jojjo,

en faite tu n´as pas fais un scan complet du pc a se que je voie?!?!

si tu pouvais le faire, ca aiserait a localiser les bebetes si elles sont presentes...

pour msn au demarrage, on peut le virer du demarrage a l´aide de hijack this pour voir si ca resoud le probleme...

@+

Ordinateur virusé...msn piraté...

34 réponses

Votre réponse

Discussions similaires

Newsletters