BehavesLike:Win32.ExplorerHijack Résolu

Question

bonjour,

quelqu'un peut-il m'aider s'il vous plaît, ça fait deux jours que je m'arrache les cheveux.
 j'utilise windows xp , mon opérateur est orange
Mon antivirus est avast, il a détecté un cheval de troie, qui s'affiche au démarrage de l'ordinateur et internet s'ouvre alors sur un "site pour adulte".
J'ai téléchargé alors le spyware spybot , le nettoyeur cclean et le firewall zone alarm. Après les avoir utilisé tous les 3, j'ai scanné en ligne mon ordi avec bitdefender . Voici le fichier infecté et le virus identifié



Fichier analysé
	

 Statut

C:\WINDOWS\svchost.exe
	

Infecté par: BehavesLike:Win32.ExplorerHijack

C:\WINDOWS\svchost.exe
	

Echec de la désinfection

C:\WINDOWS\svchost.exe
	

Echec de la suppression



s'il vous plaît aidez moi.

papyber · Answer

télécharge et installe le logiciel HijackThis v1.99.1
http://pchelpbordeaux.free.fr/logiciels.html
poste son rapport

papyber · Answer

désolé, j'ai du m'absenter
télécharge GenProc de Jean-Chretien1 et Narco4 sur ton bureau
 http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip 

dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
poste les rapports car parfois il faut ajouter des consignes à la manip pour que cela fonctionne parfaitement

berlingot · Answer

le contenu du rapport de lopxpMH2 est le suivant :

Rapport lopxpMH2 version 2.0 fait à 20:08:14,50 le 13/07/2007
C:\Documents and Settings\Compaq_Propriétaire\Bureau

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle PRESARIO
Le numéro de série du volume est C8A2-5228

Répertoire de C:\Documents and Settings\All Users\Application Data

25/11/2004 05:25 <REP> .
25/11/2004 05:25 <REP> ..
17/08/2006 16:57 <REP> ACD Systems
03/04/2007 09:58 <REP> Adobe
31/07/2006 13:04 <REP> Adobe(3)
02/01/2005 17:07 <REP> Apple Computer
22/01/2007 15:56 <REP> BOONTY
20/03/2007 19:17 <REP> EdenVirtuel
19/09/2006 21:27 <REP> Google
26/02/2007 20:20 <REP> Google Updater
10/02/2006 21:09 <REP> HP
02/01/2005 17:03 <REP> InstallShield
12/07/2007 16:27 <REP> Lavasoft
12/07/2007 18:17 <REP> MailFrontier
25/11/2004 05:25 <REP> Microsoft
02/01/2005 17:07 <REP> QuickTime
02/01/2005 16:48 <REP> SBSI
29/04/2006 17:15 <REP> Sony Corporation
12/07/2007 15:13 <REP> Spybot - Search & Destroy
02/01/2005 17:18 <REP> Symantec
11/02/2007 12:12 <REP> Yahoo! Companion
24/11/2004 00:13 62 desktop.ini
10/02/2006 21:02 1 609 hpzinstall.log
17/08/2006 16:55 1 751 QTSBandwidthCache
3 fichier(s) 3 422 octets
21 Rép(s) 201 835 315 200 octets libres
Le volume dans le lecteur C s'appelle PRESARIO
Le numéro de série du volume est C8A2-5228

Répertoire de C:\Documents and Settings\Compaq_Propriétaire\Application Data

10/02/2006 20:35 <REP> .
10/02/2006 20:35 <REP> ..
17/08/2006 17:02 <REP> ACD Systems
10/02/2006 20:43 <REP> Adobe
10/02/2006 20:44 <REP> AdobeUM
10/02/2006 20:35 <REP> Apple Computer
26/12/2006 13:51 <REP> ArcSoft
20/09/2006 16:19 <REP> Google
15/02/2006 19:34 <REP> Help
10/02/2006 21:01 <REP> HP
10/02/2006 20:45 <REP> HPQ
10/02/2006 20:35 <REP> Identities
10/02/2006 21:11 <REP> Image Zone Express
10/02/2006 21:18 <REP> InterVideo
10/02/2006 21:21 <REP> Leadertech
14/03/2006 17:39 <REP> Macromedia
10/02/2006 20:35 <REP> Microsoft
13/07/2007 11:50 <REP> Mozilla
09/09/2006 16:44 <REP> ratorefaci
10/02/2006 20:35 <REP> SampleView
31/05/2006 14:14 <REP> sgrunt
10/02/2006 21:21 <REP> Sonic
14/03/2006 22:32 <REP> Sun
10/02/2006 20:35 <REP> Symantec
10/02/2006 20:40 <REP> Template
12/09/2006 10:48 <REP> vlc
31/07/2006 13:00 869 AdobeDLM.log
10/02/2006 20:35 62 desktop.ini
11/02/2006 11:16 121 Hewlett-PackardHP PSC 1500 series1139598563_API.log
11/02/2006 11:16 2 248 Hewlett-PackardHP PSC 1500 series1139598563_PROTOCOL.log
11/02/2006 11:16 665 Hewlett-PackardHP PSC 1500 series1139598563_UI.log
21/05/2007 14:20 2 251 HPSU_48BitScanUpdate.log
14/03/2007 19:07 1 395 659 Install.dat
21/05/2007 14:21 67 661 PatchUpdate_HP_CounterReport_Update_HPSU.log
10/03/2007 23:29 760 QuickZip45.ini
21/05/2007 13:11 82 477 Update_HP_RedboxHprblog_HPSU.log
10/02/2006 20:39 6 674 wklnhst.dat
11 fichier(s) 1 559 447 octets
26 Rép(s) 201 835 315 200 octets libres
Le volume dans le lecteur C s'appelle PRESARIO
Le numéro de série du volume est C8A2-5228

Répertoire de C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data

10/02/2006 20:35 <REP> .
10/02/2006 20:35 <REP> ..
10/02/2006 20:35 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150000}
10/02/2006 20:43 <REP> Adobe
10/02/2006 20:35 <REP> Apple Computer
10/02/2006 20:35 <REP> ApplicationHistory
21/05/2007 14:29 <REP> ATI
20/09/2006 16:19 <REP> Google
15/02/2006 19:34 <REP> Help
15/02/2006 18:59 <REP> Identities
25/04/2006 20:46 <REP> IM
10/02/2006 20:35 <REP> Microsoft
03/04/2006 21:15 <REP> MicroVision Applications
13/07/2007 11:50 <REP> Mozilla
26/02/2007 08:48 <REP> Orange
17/08/2006 17:06 <REP> Showtime
29/04/2006 17:18 <REP> Sony Corporation
11/02/2006 19:05 <REP> WMTools Downloaded Files
15/02/2006 17:08 34 304 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
10/02/2006 20:35 142 fusioncache.dat
10/02/2006 20:39 68 176 GDIPFONTCACHEV1.DAT
10/02/2006 20:35 1 581 754 IconCache.db
4 fichier(s) 1 684 376 octets
18 Rép(s) 201 835 311 104 octets libres
Le volume dans le lecteur C s'appelle PRESARIO
Le numéro de série du volume est C8A2-5228

Répertoire de C:\Documents and Settings\Default User\Application Data

25/11/2004 05:25 <REP> .
25/11/2004 05:25 <REP> ..
10/02/2006 20:34 <REP> Apple Computer
25/11/2004 05:25 <REP> Identities
25/11/2004 05:25 <REP> Microsoft
10/02/2006 20:34 <REP> SampleView
10/02/2006 20:34 <REP> Symantec
24/11/2004 00:13 62 desktop.ini
1 fichier(s) 62 octets
7 Rép(s) 201 835 311 104 octets libres
Le volume dans le lecteur C s'appelle PRESARIO
Le numéro de série du volume est C8A2-5228

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

25/11/2004 05:25 <REP> .
25/11/2004 05:25 <REP> ..
10/02/2006 20:34 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150000}
10/02/2006 20:34 <REP> Apple Computer
10/02/2006 20:34 <REP> ApplicationHistory
25/11/2004 05:25 <REP> Microsoft
10/02/2006 20:34 135 fusioncache.dat
10/02/2006 20:34 0 IconCache.db
2 fichier(s) 135 octets
6 Rép(s) 201 835 311 104 octets libres
Le volume dans le lecteur C s'appelle PRESARIO
Le numéro de série du volume est C8A2-5228

Répertoire de C:\Documents and Settings\LocalService\Application Data

02/01/2005 16:41 <REP> .
02/01/2005 16:41 <REP> ..
02/01/2005 16:41 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 201 835 311 104 octets libres
Le volume dans le lecteur C s'appelle PRESARIO
Le numéro de série du volume est C8A2-5228

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

02/01/2005 16:41 <REP> .
02/01/2005 16:41 <REP> ..
02/01/2005 16:41 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 201 835 311 104 octets libres
Le volume dans le lecteur C s'appelle PRESARIO
Le numéro de série du volume est C8A2-5228

Répertoire de C:\Documents and Settings\NetworkService\Application Data

02/01/2005 16:41 <REP> .
02/01/2005 16:41 <REP> ..
02/01/2005 16:41 <REP> Microsoft
14/03/2006 17:30 <REP> Symantec
0 fichier(s) 0 octets
4 Rép(s) 201 835 311 104 octets libres
Le volume dans le lecteur C s'appelle PRESARIO
Le numéro de série du volume est C8A2-5228

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

02/01/2005 16:41 <REP> .
02/01/2005 16:41 <REP> ..
02/01/2005 16:41 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 201 835 307 008 octets libres
Le volume dans le lecteur C s'appelle PRESARIO
Le numéro de série du volume est C8A2-5228

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

25/11/2004 05:58 <REP> .
25/11/2004 05:58 <REP> ..
10/02/2006 20:34 <REP> Apple Computer
25/11/2004 05:58 <REP> Identities
25/11/2004 05:58 <REP> Microsoft
10/02/2006 20:34 <REP> SampleView
10/02/2006 20:34 <REP> Symantec
24/11/2004 00:13 62 desktop.ini
1 fichier(s) 62 octets
7 Rép(s) 201 835 307 008 octets libres
Le volume dans le lecteur C s'appelle PRESARIO
Le numéro de série du volume est C8A2-5228

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

25/11/2004 05:58 <REP> .
25/11/2004 05:58 <REP> ..
10/02/2006 20:34 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150000}
10/02/2006 20:34 <REP> Apple Computer
10/02/2006 20:34 <REP> ApplicationHistory
25/11/2004 05:58 <REP> Microsoft
10/02/2006 20:34 135 fusioncache.dat
10/02/2006 20:34 0 IconCache.db
2 fichier(s) 135 octets
6 Rép(s) 201 835 307 008 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

C:\WINDOWS\Tasks\At1.job
šJË”{~Lªƒ{Èy4EWF ä <
s ! ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . 0 × -¼«#Žª©ƒt9Ä×ª‹0i§øˆS„¼y8~ÛÛ‡£æ%Ê (ðÓÒ²àù”)°ð4°´®F–ÄÙ¸H¯

C:\WINDOWS\Tasks\At10.job
ÕöÉ(Ò£I«h½HI\<mF ä <
s ¨!× ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . € 0 × +¢Ölçg9.}~i¨2™„àÇaÜ_íþ±|nR<×ákÔ<&G:Oç‹ÁË-+Ž§Û, CLÓ“ïÊáf

C:\WINDOWS\Tasks\At11.job
ø£âì¼*úE»LÙ>P&ˆF ä <
. ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . € 0 ×

NI„{ZìÛÓ´¡ ‹b÷gÙÌ,/—œ.x,$"fšÀ#Ü×ÐÍ[»IÆgŠqÉì;¦áäŒ#äÕÈ/ÞDd

C:\WINDOWS\Tasks\At12.job
+ÿ´UÒk,C¢N,ØúfåkF ä <
s ¨!× ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . € 0 × ,ƒµ‘å?:d¨Ùá4!ùbß²¼<af~°X€

C:\WINDOWS\Tasks\At13.job
3lO)¸ÕOˆÿ¡‡§ºF ä <
s ¨!× ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . € 0 × ªJ0ÿmè¼y%µ½–¥ô¡ú¥À„ß\:ª‡öw‡2}4öþÌ„üîÀ¶‰mößójQ‡ Ô€|)©

C:\WINDOWS\Tasks\At14.job
s ¨!×
! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . € 0 ×
t ã$É²Í,—G`:)Ä÷áP¶ªú_Æ»ºY‘¯òÉ…ÍåÇl+Bî«W«³Y°4PÔÏùC×þÑ:VÞSýg ˜

C:\WINDOWS\Tasks\At15.job
A–àY+óøM±AWüpF ä <
s ¨!× ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . € 0 × yç*¬à§H±ÆW'5¤Ö×ž¼Êh6p*áþ2yáQ LyÅXÞädS¹£ª&

C:\WINDOWS\Tasks\At16.job
¿ÒÍAº˜¶>mF ä <
s ¨!× ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . € 0 × 0Q“Âbª‚)Ò‹†õ°} F®Kz‰Ùä’ÍŽõËßÀ?áÂ.ñÖ±FE‡ÜJ'0úc!Îü2öùdê4øÛD

C:\WINDOWS\Tasks\At17.job
Q×tK#F•8Pöµá·oF ä <
s ¨!× ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . € 0 × ¹ž”¹pV¿ÔHúƒÔjgK'ãPêUß}Q@9”ƒ8qBaÊfsèoÄ«Ñ»còþÐ¤©çº$¼öÆt—C

C:\WINDOWS\Tasks\At18.job
s ¨!× ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . € 0 × Ìó|&üéM¼°Lø¸=QË*ÛAm°Ç,Ð{Ò·p°´t¿ØRˆ1ƒ:ûg,úùZúk¬–“ö<*×fJpò

C:\WINDOWS\Tasks\At19.job
$]÷þð#IŠù[1ñ¶hjF ä <
s ¨!× ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . € 0 × 7[32òGßê4-ÿJ‹¨µTþÿ.&Z¡^„`ùGK9FA_°úÈÅ45°*\Þ"mD^URSá³>ýç/¿%S¹

C:\WINDOWS\Tasks\At2.job
Nq° } C£Mc°™JF ä <
s ! ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . 0 × Œ›

C:\WINDOWS\Tasks\At20.job
s ¨!× ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . € 0 × c ¡Ç• \Õi|¾õÇíÈÌ&<¯Þ\eÇßt8ð¢%sFÇ5§—¹X¸8 Ñ©Ý=6÷Ÿ7T“0‘©¯

C:\WINDOWS\Tasks\At21.job
s ¨!× ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . € 0 × ö¤5ßï ë«×”FÇÙáVŽ;ç‰²—ÿ!¹@.q'”Î)ÆË*ýcýÑYVuù*ŽúLRx¹€:

C:\WINDOWS\Tasks\At22.job
ùæ*åI—M”žA$múÉùF ä <
s ¨!× ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . € 0 × 0Bx¦0“ECÚä÷ûCøôH˜ÀÒÞôm'™\^±¤E0Ã‰±[H%'²°«è>š–˜h

C:\WINDOWS\Tasks\At23.job
s ¨!× ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . € 0 × ýy£xÓJ*$l0êÎÙ_û‡ÈÞçh¬CKòþ·„›±i^ÔE+út†Ú±ŠûÃÇÌ7~ AÆËÞ]òã‡ò!

C:\WINDOWS\Tasks\At24.job
s !× ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . 0 × ¿òÙ£²cï‰Ñ™z 6K©¿Óª¾«¨aF=ÅF×ön¹‹h¯tœ¥ü“]WjÝC‰ ¦¶c¦—üÇzE&1ju

C:\WINDOWS\Tasks\At3.job
–H´iùÓBšñ€âñc’F ä <
s ! ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . 0 × Oú4îÊ÷AÍ÷´ÿ±su…hÙ$ˆD¦®Î_›ùQE¾‰§7SLcÕÃr×oVc.ánÞxRæñQaJñT

C:\WINDOWS\Tasks\At4.job
s ! ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . 0 × ùÃsÅÓÕŒÌ’3:}RiLAžqæAÎzTŠRŽ~ê×.œ`¡vÏÛµZxÁfdmñ=çZ§5ð£ž

C:\WINDOWS\Tasks\At5.job
wA ÿêçL¡Z6óg9*F ä <
s ! ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . 0 × Òê¦¥EÌŠ —¯Â’¼œ:\¨+eB"±ùZ·qWÂ1ïÞ˜ÊIÒGSÿ‰

C:\WINDOWS\Tasks\At6.job
ë¦P(…pL»†oor]TF ä <
s ! ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . 0 × µú
oÓþè<tÜŒ!}8XÞßyÉ ï#÷vu:›ˆ·¡Úö, ýLVà8£Ç÷Ž ÷€í”ËÐAB(ø0S

C:\WINDOWS\Tasks\At7.job
s ! ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . 0 × /Ò!Ñ^XJz€@‚Ø'R³ciÓôË¦Y ¢ØÍêßû¤_ú^B4 Òr[1Êí¢Â½W½Ü–œMÉÅ"®´Ö®

C:\WINDOWS\Tasks\At8.job
s !× ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . 0 × ‘kkï8U;,Ü »U«q(âÝ-lèê:…äÀzÆQ8Y¦à}‰ˆ$ª+¢]ƒ´ð¶UwÃÀkúvïÂŒsóŸ

C:\WINDOWS\Tasks\At9.job
lG(Ì˜¶9H¹œ!c zÓF ä <
s ¨!× ! C : \ W I N D O W S \ s y s t e m 3 2 \ E 6 5 q q h R 5 . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . € 0 × 0Î- Òµ-ßé‚ßÄƒÐMI’ÍE³Ñ`,.}5› 0é,Ê'! :bõNÓ’]˜â„=Œ<“cx_¼f
******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle PRESARIO
Le numéro de série du volume est C8A2-5228

Répertoire de C:\Program Files

13/07/2007 15:47 <REP> .
13/07/2007 15:47 <REP> ..
12/07/2007 17:46 <REP> AC3Filter
17/08/2006 16:57 <REP> ACD Systems
02/01/2005 17:05 <REP> Adobe
28/08/2006 12:31 <REP> Air Strike 2
27/01/2007 16:00 <REP> Allocam Multi Visio
01/05/2007 17:18 <REP> Alwil Software
24/05/2006 21:03 <REP> ANDROME NV
11/05/2007 21:49 <REP> AnglaisFacile.com
15/04/2006 16:02 <REP> Anuman Interactive
21/05/2007 13:21 <REP> ATI Technologies
22/01/2007 15:56 <REP> BoontyGames
12/07/2007 18:12 <REP> CCleaner
13/07/2007 10:36 <REP> CleanUp!
18/03/2007 15:16 <REP> Common Files
24/11/2004 03:37 <REP> ComPlus Applications
15/05/2007 16:09 <REP> denouvel
16/08/2006 14:42 <REP> Dialang
15/02/2006 13:31 <REP> DivX
15/02/2006 14:48 <REP> DivX Video Duplicator
25/11/2006 17:10 <REP> EA GAMES
19/03/2006 18:43 <REP> Easy Internet signup
01/10/2006 17:55 <REP> EIDOS Interactive
15/03/2007 22:11 <REP> El Juky
15/02/2006 18:07 <REP> Elaborate Bytes
20/03/2007 19:16 <REP> EVP
15/03/2006 08:27 <REP> EZFace
21/05/2007 14:24 <REP> Fichiers communs
16/08/2006 14:42 <REP> FloorPlan 3D v7 Setup
15/02/2006 13:31 <REP> Gabest
30/12/2006 22:58 <REP> GameSpy Arcade
18/03/2007 15:16 <REP> GLD
26/02/2007 20:20 <REP> Google
27/08/2006 22:51 <REP> Gunner 2
03/09/2006 10:19 <REP> GV AbsoluCasino
02/07/2006 10:28 <REP> HAVAS Poche
02/01/2005 17:04 <REP> Hewlett-Packard
13/07/2007 15:47 <REP> Hijackthis Version Française
21/05/2007 14:24 <REP> Hp
24/06/2007 13:34 <REP> IKEA HomePlanner
11/02/2006 19:08 <REP> InterActual
02/01/2005 16:54 <REP> Internet Explorer
16/08/2006 14:43 <REP> InternetGameBox
02/01/2005 17:04 <REP> InterVideo
04/03/2006 11:59 <REP> Inventel
02/01/2005 17:07 <REP> iPod
02/01/2005 17:07 <REP> iTunes
13/05/2007 10:37 <REP> Jardin
02/01/2005 16:50 <REP> Java
12/07/2007 17:46 <REP> JeCreeMaCuisineAvecLeroyMerlin
12/07/2007 15:23 <REP> Lavasoft
30/05/2007 21:52 <REP> listac
29/03/2007 21:22 <REP> Magic Karaoke Maker
02/01/2005 16:54 <REP> Messenger
13/05/2007 10:46 <REP> Micro Application
25/11/2004 05:27 <REP> microsoft frontpage
20/10/2006 13:01 <REP> Microsoft Office
02/01/2005 17:06 <REP> Microsoft Works
20/10/2006 13:00 <REP> Microsoft.NET
22/06/2007 17:13 <REP> MioNet
24/05/2006 20:55 <REP> Moho
15/02/2006 13:32 <REP> Morgan
16/08/2006 14:43 <REP> MotoGP2 Demo
25/11/2004 05:27 <REP> Movie Maker
13/07/2007 20:06 <REP> Mozilla Firefox
17/02/2007 09:34 <REP> MSN
25/11/2004 05:27 <REP> MSN Gaming Zone
17/02/2007 18:29 <REP> MSN Messenger
02/02/2005 07:16 <REP> NetMeeting
25/11/2004 05:27 <REP> Online Services
26/02/2007 08:48 <REP> Orange HSS
26/02/2007 08:49 <REP> OrangeHSS
02/02/2005 07:16 <REP> Outlook Express
12/07/2007 17:46 <REP> PC-Doctor 5 for Windows
26/12/2006 13:43 <REP> Philips
13/05/2007 11:05 <REP> Plus!
29/06/2007 14:42 <REP> QuickTime
27/08/2006 20:02 <REP> ReflexiveArcade
27/01/2007 16:00 <REP> Rencontre-Messenger
22/10/2006 15:37 <REP> Rockstar Games
30/04/2006 10:26 <REP> RTE Multimédia
02/01/2005 17:16 <REP> Services en ligne
09/10/2006 13:03 <REP> Sierra On-Line
15/02/2006 18:08 <REP> SlySoft
11/06/2007 07:28 <REP> Softwin
02/01/2005 17:03 <REP> Sonic
29/04/2006 17:15 <REP> Sony
12/07/2007 21:31 <REP> Spybot - Search & Destroy
12/07/2007 15:37 <REP> SpyMarshal
30/12/2006 22:58 <REP> THQ
10/02/2006 21:56 <REP> Ubi Soft
31/03/2007 21:02 <REP> vanBasco's Karaoke Player
12/09/2006 10:47 <REP> VideoLAN
26/02/2007 08:47 <REP> Wanadoo
14/03/2006 17:30 <REP> Wanadoo Messager
12/07/2007 17:46 <REP> WinASPI
02/02/2005 07:16 <REP> Windows Media Player
02/02/2005 07:16 <REP> Windows NT
24/11/2004 03:37 <REP> WindowsUpdate
14/03/2007 22:07 <REP> WinRAR
10/03/2007 23:33 <REP> WinZip
25/11/2004 05:28 <REP> xerox
23/03/2007 14:10 <REP> XSP2003
11/02/2007 12:12 <REP> Yahoo!
12/07/2007 15:50 <REP> Zone Labs
0 fichier(s) 0 octets
106 Rép(s) 201 835 196 416 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\COMPAQ_PROPRITAIRE\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\DW4OA2UI.DEFAULT\HOSTPERM.1

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ http://www.google.com/toolbar/ie8/sidebar.html

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

*************** Fin du rapport ****************

le nouveau rapport de genproc est :

Rapport GenProc 0.60 [2] effectué le 13/07/2007 à 20:10:45,37 - SystemRoot = C:\WINDOWS

# Etape 1/ Télécharge :

- Navipromo.zip http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip et décompresse-le sur ton bureau

- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
* Fais un clic droit de souris sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU).

- SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.exe
* double-clique sur le fichier "smitfraudfix.exe" et choisis l’option 1, il va lister tous les éléments nuisibles dans un rapport : poste le maintenant.

- SDfix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

- MSNFix.zip (de !aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau.

- Flash_Disinfector (par sUBs) http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe sur le bureau.

***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://docs.microsoft.com/en-us/?mfr=true (choisis ta session courante "Compaq_Propriétaire") *****

# Etape 2/

* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.

* Sélectionne l'option "Recherche et suppression automatique" en appuyant sur la touche R et en validant par entrée. Patiente.
S'il trouve l'adware Navipromo, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Relance l'outil, Sélectionne l'option "Suppression Heuristique" en appuyant sur la touche H et en validant par entrée ; patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois.

* Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

=> Supprime-les tous

# Etape 3/

Double-clique sur le fichier "SmitfraudFix.exe" et choisis l’option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.

# Etape 4/

Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur "RunThis.bat" pour lancer le script.
- Appuie sur "Y" pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom "Report.txt".
~ Le fichier "SDFIX_README.htm" (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
~ Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésite donc pas à télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir.

# Etape 5/

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.

# Etape 6/

Double-clique sur le fichier Flash_Disinfector.exe situé sur ton bureau et patiente le temps du scan.

# Etape 7/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 8/

Redémarre normalement et poste :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis_v2.exe ;
- Le rapport SmitfraudFix que tu as sauvegardé sur ton bureau ;
- Le contenu du fichier Report.txt ;
- Le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail C:\ ;
- Le contenu du rapport MSNfix situé sur le Bureau ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

C'étaient donc les 2 rapports, je suis désolée de t' assomer avec des rapports aussi long, merci de ta patience

dois je de nouveau exécuter ce que dit genproc

berlingot · Answer

j'ai suivi genproc voici donc le rapport de smitfraudfix




SmitFraudFix v2.204

Rapport fait à 20:28:53,03, 13/07/2007
Executé à partir de C:\Documents and Settings\Compaq_Propri‚taire\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\svchost.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe
C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Fichiers communs\Sony Shared\GMR\GMRMan.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\VPro500.exe
C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTAutoUpdate.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32
otepad.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\svchost.exe PRESENT !
C:\WINDOWS\Tasks\At?.job PRESENT !
C:\WINDOWS\Tasks\At??.job PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Compaq_Propri‚taire


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Compaq_Propri‚taire\Application Data

C:\Documents and Settings\Compaq_Propri‚taire\Application Data\Install.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\COMPAQ~1\Favoris

C:\DOCUME~1\COMPAQ~1\Favoris\Online Security Test.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

C:\DOCUME~1\ALLUSE~1\Bureau\Online Security Guide.url PRESENT !
C:\DOCUME~1\ALLUSE~1\Bureau\Security Troubleshooting.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 

C:\Program Files\SpyMarshal\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock

xpdx détecté, utilisez un scanner de Rootkit


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: 802.11 USB Wireless LAN Adapter #3 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 15.243.128.51
DNS Server Search Order: 15.243.160.51

Description: 802.11 USB Wireless LAN Adapter #3 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E64E7259-3228-493B-B4E8-C3166A6F93B2}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E64E7259-3228-493B-B4E8-C3166A6F93B2}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

berlingot · Answer

après avoir suivi la procedure indiquée au dessus, j'ai eu quelques difficultés, l'étape 4 s'est en fait déroulé après avoir redémarré en mode normal, donc au début de la 8
merci de m'aider à comprendre et à me donner votre avis


voici le NOUVEAU RAPPORT HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:41:57, on 13/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe
C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\VPro500.exe
C:\Program Files\Fichiers communs\Sony Shared\GMR\GMRMan.exe
C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTAutoUpdate.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Compaq_Propriétaire\Bureau\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sonypictures.com/movies/triplex
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: BHOAd - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\xhelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [CONNECTScheduler] "C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe" /RUN_SCHEDULER
O4 - HKLM\..\Run: [ORAHSSStartup] "C:\Program Files\OrangeHSS\Launcher\Launcher.exe" -appid connectivityapp
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Orange Desktop Search] "C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: CONNECTAUTrayApp.lnk = C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: VPro500.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - Unknown owner - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MioNet Service (MioNet) - Unknown owner - C:\Program Files\MioNet\MioNetManager.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sony SCSI Helper Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\Fsk\SonySCSIHelperService.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Unknown owner - C:\Program Files\Inventel\Gateway\wlancfg.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

papyber · Answer

tu as bien travaillé
on va commencer par le plus urgent
 Télécharge rustbfix (par ejvindh) de l'un de ces deux liens :
http://www.uploads.ejvindh.net/rustbfix.exe
ou là
http://uploads.ejvindh.andymanchesta.com/Rustbfix.exe
...et sauvegarde-le sur ton Bureau.

* Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
* Poste (Copie/Colle) le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse.

berlingot · Answer

merci de ton soutien

j'ai essayé les 2 liens
j'obtiens ceci directement de rustbfix, 

************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************
13/07/2007 22:01:23,75

No Rustock.b-rootkits found

******************************* End of Logfile ********************************


on ne me demande pas de redémarrer

qu'en penses tu?

berlingot · Answer

voici le nouveau rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22:09:13, on 13/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe
C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\VPro500.exe
C:\Program Files\Fichiers communs\Sony Shared\GMR\GMRMan.exe
C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTAutoUpdate.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Documents and Settings\Compaq_Propriétaire\Bureau\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sonypictures.com/movies/triplex
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: BHOAd - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\xhelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [CONNECTScheduler] "C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe" /RUN_SCHEDULER
O4 - HKLM\..\Run: [ORAHSSStartup] "C:\Program Files\OrangeHSS\Launcher\Launcher.exe" -appid connectivityapp
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Orange Desktop Search] "C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: CONNECTAUTrayApp.lnk = C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: VPro500.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - Unknown owner - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MioNet Service (MioNet) - Unknown owner - C:\Program Files\MioNet\MioNetManager.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sony SCSI Helper Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\Fsk\SonySCSIHelperService.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Unknown owner - C:\Program Files\Inventel\Gateway\wlancfg.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

papyber · Answer

tu as très bien travaillé
maintenant fais ceci
lance hijack pour un scan et coche les lignes suivantes
O2 - BHO: BHOAd - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\xhelper.dll
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
ferme toutes tes fenêtres y comprs internet et clique sur fixer l'objet

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.

C:\WINDOWS\xhelper.dll

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

faire un scan antivirus en ligne avec internet explorer et accepter l'activex 
poster le rapport ici ensuite
https://www.bitdefender.fr/ 

En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE 
Dans la nouvelle fenêtre, clique sur I agree 
La fenêtre change encore, clique sur Click here to scan 
Les signatures se chargent, etc. 

tuto en image
http://pageperso.aol.fr/rginformatique/mapage/defender.htm

papyber · Answer

fix checked oui
 bon on va faire autrement
Telecharge: Pocket Killbox
http://www.downloads.subratam.org/killBox.exe

1- Double-clic sur KillBox.exe
2- Selectionne "Delete on Reboot"
3 - Dans "Full Path of File to Delete"
copie et colle: 

C:\WINDOWS\xhelper.dll

4- clic sur le rond rouge
5- une fenêtre va apparaitre pour confirmation clic sur OUI
6- une seconde fenêtre te demande si tu veux redemarrer clic sur OUI
dis moi le résultat

berlingot · Answer

j'ai finalement appuyé sur fix checked et utiliser movelt avec ceci pour résultat File/Folder C:\WINDOWS\xhelper.dll not found. Created on 07/13/2007 22:38:30 puis fais le scan avec bitdefender dont tu verras le résultat ci dessous. Est ce que je dois faire ce que tu me décris ci dessus avec pocket killbox ? Merci de toute l'attention que tu potes à mon problème et de ta patience voici le rapport de bitdefender BitDefender Online Scanner - Rapport d'analyse

BitDefender Online Scanner

Rapport d'analyse généré à: Fri, Jul 13, 2007 - 23:52:04

Voie d'analyse: C:\;D:\;E:\;G:\;H:\;I:\;J:\;

Statistiques
Temps	01:04:12
Fichiers	368947
Directoires	8857
Secteurs de boot	3
Archives	13834
Paquets programmes	21442

Résultats
Virus identifiés	1
Fichiers infectés	1
Fichiers suspects	0
Avertissements	0
Désinfectés	0
Fichiers effacés	1

Info sur les moteurs
Définition virus	672115
Version des moteurs	AVCORE v1.0 (build 2410) (i386) (Jun 12 2007 21:08:27)
Analyse des plugins	14
Archive des plugins	38
Unpack des plugins	6
E-mail plugins	6
Système plugins	1

Paramètres d'analyse
Première action	Désinfecté
Seconde Action	Supprimé
Heuristique	Oui
Acceptez les avertissements	Oui
Extensions analysées	*;
Excludez les extensions
Analyse d'emails	Oui
Analyse des Archives	Oui
Analyser paquets programmes	Oui
Analyse des fichiers	Oui
Analyse de boot	Oui

Fichier analysé	Statut
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP481\A0053948.exe	Infecté par: BehavesLike:Win32.ExplorerHijack
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP481\A0053948.exe	Echec de la désinfection
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP481\A0053948.exe	Supprimé

OU Fichier analysé C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP481\A0053948.exe Infecté par: BehavesLike:Win32.ExplorerHijack C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP481\A0053948.exe Echec de la désinfection C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP481\A0053948.exe Supprimé

papyber · Answer

as tu encore des soucis?
cela semble propre
si tout va bien supprime tout ce qu'on a utilisé car ce ne sera plus utile désormais 
passe un coup de ccleaner 
https://www.pcastuces.com/logitheque/ccleaner.htm
installe ce logiciel très utile et scanne ton PC avec une fois par semaine au moins...
AVG Antispyware
https://www.avg.com/en-ww/free-antivirus-download

mode d'utilisation : 
Lance AVG Anti-Spyware, mets le à jour,
Clique sur le bouton « Analyse »
Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.
Retour à l'onglet Analyse. 
Clique sur Analyse complète du système.
A la fin du scan, choisis " Appliquer toutes les actions " 
Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.


tu peux le coupler avec celui-ci
spybot search and destroy
https://www.safer-networking.org/?page=download

défragmente

pense à bien te protéger, j'ai découvert ce lien qui est plutôt pas mal à ce sujet

https://forum.pcastuces.com/default.asp

désactive ta restauration
clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer
redémarre ton PC
clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer
démarrer/tous les programmes/ outils système/ restauration du système/ créer un point de restauration


la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...
 
 
et bon surf

berlingot · Answer

j'ai juste un souci pour accéder à ma messagerie orange , c'est peut être lié à zone alarm, j'ai envoyer un mail à orange pour en savoir plus, car j'y accède avec firefox mais pas avec orange ou internet explorer

A part cela je pense ne plus avoir de soucis je te remercie de ton aide précieuse, merci de tous tes conseils et du temps que tu m'a consacré

je vais faire ce que tu viens de me conseiller

berlingot · Answer

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	10:46:42 14/07/2007

 + Résultat de l'analyse:	



:mozilla.6:C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dw4oa2ui.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Navipromo\Backups\pegqvifbd_nav.dat.off -> Trojan.Small : Nettoyé.


Fin du rapport






que penses tu du rapport? 
je ne sais pas pour ccleaner si je dois lui permettre d'effacer les fichiers de moins de 48 heures
Il me reste le problème de l'erreur que je n'arrive pas corriger dans c cleaner et mon problème de messagerie.
grâce à toi avast ne me signale plus de virus ou cheval de troie

papyber · Answer

quelle erreur dans ccleaner?
et rappelle moi ton problème de messagerie?

berlingot · Answer

dans ccleaner j'ai tours une erreur que j'arrive pas réparer :

Probleme :

icon par defaut invalide

Donnée :

c:/Program Files/Zone Labs/ ZoneAlarm/Updclient.exe,279


Clé registre :

HKCR/ZAMailSafe/DefaultIcon 


j'ai  un souci pour accéder à ma messagerie orange , c'est peut être lié à zone alarm, j'ai envoyer un mail à orange pour en savoir plus, car j'y accède avec firefox mais pas avec orange ou internet explorer. Quand j'essaye d'accéder à ma messagerie par le gestionnaire orange il est écrit que je ne peux pas m'identifier pour des raisons techniques

papyber · Answer

vérifie qu'ils ne sont pas bloqués par zone Alarm

berlingot · Answer

j'ai vérifié dans contrôle des programmes de zone alarm, ils ne sont pas bloqués

berlingot · Answer

n'arrivant pas régler les 2 derniers problèmes : l'erreur de ccleaner qui ne voulait pas être corrigé et l'impossibilité d'accéder à ma messagerie à partir d'orange, j'ai redémarrer l'ordinateur pour voir. Et c'est résolu, c'est fantastique. Alors que ça fait plus de 24h que la messagerie ne fonctionnait pas et que je l'avais déjà redémarrer
je te suis très reconnaissante du temps que tu as pris pour m'aider et de ta gentillesse, je te remercie infiniment. 
Je vais créer un point de restauration comme tu me l'as conseillé et étudier le lien que tu m'as donné pour protéger davantage mon ordinateur

papyber · Answer

je suis très content que tout soit réglé
bon surf

BehavesLike:Win32.ExplorerHijack

20 réponses

Votre réponse

Discussions similaires

Newsletters