Sujet Précédent Sujet Suivant

Infecter mais non detecter

Résolu/Fermé
fabriceg Messages postés 524 Date d'inscription vendredi 29 décembre 2006 Statut Membre Dernière intervention 5 mars 2016 - 19 juil. 2007 à 11:58
 moe - 25 juil. 2007 à 17:33
bonjour a tous
je suis tres certainement infecter par quelques chose mais malheureusement aucun logiciel ne le detecte ( enfin ceux installer sur mon pc ) les symptomes sont les suivants, quand je me trouve sur le net, 2 fois sur 3 quand j'ouvre un lien je ne tombe pas sur la bonne fenetres voir assez souvent je tombe sur des sites pour adultes. la derniere fois que cela est arriver c'etait sur mon pc de salon et seul AVG antispyware l'avait detecter, or mon pc de salon est sous XP et mon pc portable lui est sous vista et pour le moment apparement il ne sont pas compatible, adaware se personnal et windows defender ne detecte rien. comment faire, merci de m'aider car la je suis dans une impasse, et surtout comment se fais t'il que je sois infecter alors que maintenant les pc dispose de securiter renforcer. merci

107 réponses

Précédent
Réponse 81 / 107
fabriceg Messages postés 524 Date d'inscription vendredi 29 décembre 2006 Statut Membre Dernière intervention 5 mars 2016 70
21 juil. 2007 à 11:18
re,
impossible de restaurer le fichier de sauvegarde que l'on a fait hier, le pc me marque "Impossible d'importer C:\Users\fabrice\Desktop\cle_winlogon.reg : touts les données n'ont pas été inscrites correctement dans le registre. Certaines clés sont ouvertes par le systeme ou par d'autres processus"A+
0
Réponse 82 / 107
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
21 juil. 2007 à 12:03
Re,

on va procéder autrement.

Clic droit sur le fichier, choisir modifier. Il va s'ouvrir dans le bloc notes.

Copie-colle le dans ta réponse s'il ne fait pas plus de 20 lignes.

S'il en fait plus, donne moi le nombre de lignes approximatives.
@+
0
Réponse 83 / 107
fabriceg Messages postés 524 Date d'inscription vendredi 29 décembre 2006 Statut Membre Dernière intervention 5 mars 2016 70
21 juil. 2007 à 12:37
re,
il fait 172 lignes
0
Réponse 84 / 107
ricket
21 juil. 2007 à 13:07
Il semble bien qu'il soit infecté. J'ai eu un problème similaire. Il n'existe pas de logiciel de protection parfait.
un reformatage arrangera tout.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 85 / 107
fabriceg Messages postés 524 Date d'inscription vendredi 29 décembre 2006 Statut Membre Dernière intervention 5 mars 2016 70
21 juil. 2007 à 13:15
re,
je dois partir bosser ( et oui un week end, il en faut ) je rentre vers 21h, je ne pourrais donc pas vous repondre durant tout ce temps, a ce soir
0
Réponse 86 / 107
!aur3n7
21 juil. 2007 à 13:23
Bonjour à tous,

Je viend de corriger OAD en prenant en compte les remarques faites.
j'ai corrigé en même temps une erreur ligne 267 (%systemdrive% au lieu de %programfiles% )

Merci pour les remontées.

Laurent
0
Réponse 87 / 107
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
21 juil. 2007 à 13:43
Bonjour à tous,

fabrice, mets le en mp (le fichier ne mérite pas de passer à la postérité et on peut supprimer les mp après usage). Mais j'en ai besoin pour te donner la suite des manips.

!aur3n7, merci de ton boulot. Il a été bien utile ici.

ricket, à ton avis, il était infecté ou il est encore infecté ? Quand aux logiciels de protection, il en est de meilleurs que d'autres (truisme).
@+
0
moe
21 juil. 2007 à 15:48
Salut

Pour le dnschanger et dans le cas pu il n'y a pas multi-infection, en fait, c'est ce qui est mentionné dans :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"System"=-> nom.exe
qui doit déterminer les actions à mener ensuite.
DSS par exemple à l'air de repérer facilement la modif de cette valeur.

Première étape après récupération de "nom.exe": Bosser hors connection si possible.

Seconde étape: Vérifier à l'aide d'un antirootkit si le processus est actif.
Si c'est le cas et celon les fonctionnalités de l'antirootkit utilisé, faire tuer le processus et le faire supprimer.

A partir de là, dans l'hypothèse d'un nettoyage "à la main", soit le processus inactif est redevenu visible via l'explorateur ou soit il reste invisible car le hook qui permet de le cacher est toujours actif.

Troisième étape:

S'il est visible, sa recherche et suppression ne posera aucun problème.
Nettoyer la clé du registre qui lui assure de pouvoir être réexécuté au redemarrage du pc ("System"=-> nom.exe)
Et via Hijackthis fixer les 017, sous vista peut-être que la v2 d'hijackthis définitive pose moins de problèmes liés à la compatibilité que la 1.99.1
Nettoyage des fichiers temporaires.

S'il reste invisible:
Nettoyer la clé du registre qui lui assure de pouvoir être réexécuté au redemarrage.
Via Hijackthis fixer les 017.
Nettoyage des fichiers temporaires

Quatrième étape:
Reboot du pc.
Si le fichier était resté invisible à l'étape précédente, le supprimer.
Et important, revérifier ensuite la valeur de "System" et les 017.
Si cette valeur est vierge, l'infection à de grandes chances d'être out définitivement.


Sinon pour l'outil de stronghold, apparement il a été installé le 2007-07-19 à 21:41:37

2007-07-19 21:41:37 0 d-------- C:\Windows\system32\backuped
2007-07-19 21:41:37 0 d-------- C:\Program Files\True Sword 4

Peut-être que le dossier C:\Windows\system32\backuped contient des éléments de réponse sur la détection de cette infection, mais bon vu que le problème de fabrice semble être en bonne voie de résolution c'est pas vraiment important.

a+

PS:
OAD est un outil qui sera très utile à l'avenir, donc normal pour les remontées et surtout content qu'elles aient pu servir...
0
Réponse 88 / 107
fabriceg Messages postés 524 Date d'inscription vendredi 29 décembre 2006 Statut Membre Dernière intervention 5 mars 2016 70
21 juil. 2007 à 21:22
re,
me voila de retour, lyonnais92, qu'entend tu par "mets le en MP" qu'est ce que mp et surtout je met quoi en mp? merci
0
Réponse 89 / 107
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
21 juil. 2007 à 22:56
Re,

désolé,

tu me copies le fichier .reg dans un message personnel (MP).

Sur un de mes posts, dans les icônes, la dernière permet d'envoyer un MP.

Tu cliques, un message vierge s'ouvre, tu donnes un titren tu copies le fichier et tu envoies.
@+
0
Réponse 90 / 107
fabriceg Messages postés 524 Date d'inscription vendredi 29 décembre 2006 Statut Membre Dernière intervention 5 mars 2016 70
22 juil. 2007 à 14:24
bonjour,
desolé de n'avoir pu repondre plus rapidement mais j'ai eu un emploi du temps professionnel un peu bizare ces 2 derniers jours, le dossier que je dois t'envoyer c'est bien la sauvegarde du fichier que l'on a renomer 'cle_winlogon', la sauvegarde du dossier ou se trouvait le fichier kdbig.exe?
0
Réponse 91 / 107
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
22 juil. 2007 à 14:39
Bonjour,

à toi de ne pas t'excuser, c'est l'internaute qui fixe le rythme.

C'est le fichier fix.reg de 172 lignes dont j'ai besoin.
@+
0
fabriceg Messages postés 524 Date d'inscription vendredi 29 décembre 2006 Statut Membre Dernière intervention 5 mars 2016 70
22 juil. 2007 à 15:01
re,
j'ai un souci je n'arrive pas a accerder au site de mon pc infecté ( ou pas ) mais j'y arrive de mon pc de salon, en revanche je n'arrive pas a copier ce fichu dossier sur une cle usb pour l'envoyer de l'autre pc, vista ne veux pas, comment puis-je faire ,
0
fabriceg Messages postés 524 Date d'inscription vendredi 29 décembre 2006 Statut Membre Dernière intervention 5 mars 2016 70
22 juil. 2007 à 15:34
re, c bon tout est rentrer dans l'ordre, je ne sais pas ce qu'il c'est passer, voila ce que tu m'as demander ( en fin je crois que c'est ca )
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ReportBootOk"="1"
"Shell"="explorer.exe"
"Userinit"="C:\\Windows\\system32\\userinit.exe,"
"VmApplet"="rundll32 shell32,Control_RunDLL \"sysdm.cpl\""
"AutoRestartShell"=dword:00000001
"LegalNoticeCaption"=""
"LegalNoticeText"=""
"PowerdownAfterShutdown"="0"
"ShutdownWithoutLogon"="0"
"cachedlogonscount"="10"
"forceunlocklogon"=dword:00000000
"passwordexpirywarning"=dword:0000000e
"Background"="0 0 0"
"DebugServerCommand"="no"
"WinStationsDisabled"="0"
"DisableCAD"=dword:00000001
"scremoveoption"="0"
"ShutdownFlags"=dword:00000027
"AutoAdminLogon"="0"
"System"="kdbig.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{0ACDD40C-75AC-47ab-BAA0-BF6DE7E7FE63}]
@="Wireless Group Policy"
"DisplayName"=hex(2):40,00,77,00,6c,00,67,00,70,00,63,00,6c,00,6e,00,74,00,2e,\
00,64,00,6c,00,6c,00,2c,00,2d,00,31,00,30,00,30,00,00,00
"ProcessGroupPolicyEx"="ProcessWLANPolicyEx"
"GenerateGroupPolicy"="GenerateWLANPolicy"
"DllName"=hex(2):77,00,6c,00,67,00,70,00,63,00,6c,00,6e,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{25537BA6-77A8-11D2-9B6C-0000F8080861}]
@="Folder Redirection"
"ProcessGroupPolicyEx"="ProcessGroupPolicyEx"
"DllName"=hex(2):66,00,64,00,65,00,70,00,6c,00,6f,00,79,00,2e,00,64,00,6c,00,\
6c,00,00,00
"NoMachinePolicy"=dword:00000001
"NoSlowLink"=dword:00000001
"PerUserLocalSettings"=dword:00000001
"NoGPOListChanges"=dword:00000000
"NoBackgroundPolicy"=dword:00000000
"GenerateGroupPolicy"="GenerateGroupPolicy"
"EventSources"=hex(7):28,00,46,00,6f,00,6c,00,64,00,65,00,72,00,20,00,52,00,65,\
00,64,00,69,00,72,00,65,00,63,00,74,00,69,00,6f,00,6e,00,2c,00,41,00,70,00,\
70,00,6c,00,69,00,63,00,61,00,74,00,69,00,6f,00,6e,00,29,00,00,00,00,00
"DisplayName"=hex(2):40,00,66,00,64,00,65,00,70,00,6c,00,6f,00,79,00,2e,00,64,\
00,6c,00,6c,00,2c,00,2d,00,32,00,36,00,31,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{3610eda5-77ef-11d2-8dc5-00c04fa31a66}]
@="Microsoft Disk Quota"
"DisplayName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,\
00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\
5c,00,64,00,73,00,6b,00,71,00,75,00,6f,00,74,00,61,00,2e,00,64,00,6c,00,6c,\
00,2c,00,2d,00,31,00,30,00,30,00,00,00
"NoMachinePolicy"=dword:00000000
"NoUserPolicy"=dword:00000001
"NoSlowLink"=dword:00000001
"NoBackgroundPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"PerUserLocalSettings"=dword:00000000
"RequiresSuccessfulRegistry"=dword:00000001
"EnableAsynchronousProcessing"=dword:00000000
"DllName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,\
00,73,00,6b,00,71,00,75,00,6f,00,74,00,61,00,2e,00,64,00,6c,00,6c,00,00,00
"ProcessGroupPolicy"="ProcessGroupPolicy"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{426031c0-0b47-4852-b0ca-ac3d37bfcb39}]
@="QoS Packet Scheduler"
"DisplayName"=hex(2):40,00,67,00,70,00,74,00,65,00,78,00,74,00,2e,00,64,00,6c,\
00,6c,00,2c,00,2d,00,32,00,30,00,31,00,00,00
"ProcessGroupPolicy"="ProcessPSCHEDPolicy"
"DllName"=hex(2):67,00,70,00,74,00,65,00,78,00,74,00,2e,00,64,00,6c,00,6c,00,\
00,00
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3}]
"ProcessGroupPolicy"="ProcessGroupPolicyForZoneMap"
"DllName"=hex(2):69,00,65,00,64,00,6b,00,63,00,73,00,33,00,32,00,2e,00,64,00,\
6c,00,6c,00,00,00
@="Internet Explorer Zonemapping"
"NoGPOListChanges"=dword:00000001
"RequiresSucessfulRegistry"=dword:00000001
"DisplayName"=hex(2):40,00,69,00,65,00,64,00,6b,00,63,00,73,00,33,00,32,00,2e,\
00,64,00,6c,00,6c,00,2c,00,2d,00,33,00,30,00,35,00,31,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{7933F41E-56F8-41d6-A31C-4148A711EE93}]
@="Windows Search Group Policy Extension"
"DllName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,72,00,63,00,68,00,61,00,64,00,6d,00,69,00,6e,00,2e,00,64,00,6c,00,6c,00,\
00,00
"EnableAsynchronousProcessing"=dword:00000000
"NoBackgroundPolicy"=dword:00000000
"NoGPOListChanges"=dword:00000001
"NoMachinePolicy"=dword:00000000
"NoSlowLink"=dword:00000000
"NoUserPolicy"=dword:00000001
"PerUserLocalSettings"=dword:00000000
"ProcessGroupPolicy"="ProcessGroupPolicy"
"RequiresSuccessfulRegistry"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}]
@="Security"
"DisplayName"=hex(2):40,00,28,00,72,00,75,00,6e,00,74,00,69,00,6d,00,65,00,2e,\
00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,29,00,5c,00,73,00,63,00,\
65,00,63,00,6c,00,69,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,00,37,00,36,00,35,\
00,30,00,00,00
"ProcessGroupPolicy"="SceProcessSecurityPolicyGPO"
"GenerateGroupPolicy"="SceGenerateGroupPolicy"
"ExtensionRsopPlanningDebugLevel"=dword:00000001
"ProcessGroupPolicyEx"="SceProcessSecurityPolicyGPOEx"
"ExtensionDebugLevel"=dword:00000001
"DllName"=hex(2):73,00,63,00,65,00,63,00,6c,00,69,00,2e,00,64,00,6c,00,6c,00,\
00,00
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"EnableAsynchronousProcessing"=dword:00000001
"MaxNoGPOListChangesInterval"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B}]
"ProcessGroupPolicyEx"="ProcessGroupPolicyEx"
"GenerateGroupPolicy"="GenerateGroupPolicy"
"ProcessGroupPolicy"="ProcessGroupPolicy"
"DllName"="iedkcs32.dll"
@="Internet Explorer Branding"
"NoSlowLink"=dword:00000001
"NoBackgroundPolicy"=dword:00000000
"NoGPOListChanges"=dword:00000001
"NoMachinePolicy"=dword:00000001
"DisplayName"=hex(2):40,00,69,00,65,00,64,00,6b,00,63,00,73,00,33,00,32,00,2e,\
00,64,00,6c,00,6c,00,2c,00,2d,00,33,00,30,00,31,00,34,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}]
"ProcessGroupPolicy"="SceProcessEFSRecoveryGPO"
"DllName"=hex(2):73,00,63,00,65,00,63,00,6c,00,69,00,2e,00,64,00,6c,00,6c,00,\
00,00
@="EFS recovery"
"DisplayName"="@(runtime.system32)\\scecli.dll,-7651"
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"RequiresSuccessfulRegistry"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B587E2B1-4D59-4e7e-AED9-22B9DF11D053}]
@="802.3 Group Policy"
"DisplayName"=hex(2):40,00,64,00,6f,00,74,00,33,00,67,00,70,00,63,00,6c,00,6e,\
00,74,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,00,31,00,30,00,30,00,00,00
"ProcessGroupPolicyEx"="ProcessLANPolicyEx"
"GenerateGroupPolicy"="GenerateLANPolicy"
"DllName"=hex(2):64,00,6f,00,74,00,33,00,67,00,70,00,63,00,6c,00,6e,00,74,00,\
2e,00,64,00,6c,00,6c,00,00,00
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{e437bc1c-aa7d-11d2-a382-00c04f991e27}]
@="IP Security"
"ProcessGroupPolicyEx"="ProcessIPSECPolicyEx"
"GenerateGroupPolicy"="GenerateIPSECPolicy"
"DllName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,70,\
00,6f,00,6c,00,73,00,74,00,6f,00,72,00,65,00,2e,00,64,00,6c,00,6c,00,00,00
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000000
"DisplayName"=hex(2):40,00,43,00,3a,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,\
00,73,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,70,00,\
6f,00,6c,00,73,00,74,00,6f,00,72,00,65,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,\
00,35,00,30,00,31,00,32,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{FB2CA36D-0B40-4307-821B-A13B252DE56C}]
@="Enterprise QoS"
"DisplayName"=hex(2):40,00,67,00,70,00,74,00,65,00,78,00,74,00,2e,00,64,00,6c,\
00,6c,00,2c,00,2d,00,32,00,30,00,33,00,00,00
"ProcessGroupPolicy"="ProcessEQoSPolicy"
"DllName"=hex(2):67,00,70,00,74,00,65,00,78,00,74,00,2e,00,64,00,6c,00,6c,00,\
00,00
"RequiresSuccessfulRegistry"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoLogonChecked]
0
Réponse 92 / 107
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
22 juil. 2007 à 21:22
Bonsoir,

oui, c'est le fichier que je voulais.

Ouvre le Bloc Notes.
Copie le texte ci-dessous (entre les * mais sans les *) avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) :

*****************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
*****************************
Clique sur "Fichier", "Enregistrer sous".
Clique sur Bureau (dans la colonne de gauche)
Dans Nom du fichier tu écris fix.reg
Pour Type tu choisis "tous les fichiers" avec le menu déroulant.
Tu cliques sur Enregistrer.
Tu fermes le Bloc-notes

Sur ton bureau, tu clique droit sur l'icône de Fix.reg
Tu cliques sur Fusionner.
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides.
(j'ai décalqué la procédure ce Xp mais je pense que c'est la même)

Tu remets un log Hijackthis.
@+
0
Réponse 93 / 107
moe
22 juil. 2007 à 21:46
Salut

Pour recréer la valeur System vide il faut deux guillemets après '=', sinon le tiret indiquera au reg qu'il faut à nouveau virer 'System': 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


a+
0
Réponse 94 / 107
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
22 juil. 2007 à 22:15
Bonsoir,

moe, encore merci de cette "précision". En plus, j'aurai pu le trouver tout seul : "LegalNoticeCaption"=""
ou "LegalNoticeText"="" dans la même clé.

fabrice, tu fais ceci (une légère mais importante modif par rapport à mon post 97.

Ouvre le Bloc Notes.
Copie le texte ci-dessous (entre les * mais sans les *) avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) :

*****************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
*****************************
Clique sur "Fichier", "Enregistrer sous".
Clique sur Bureau (dans la colonne de gauche)
Dans Nom du fichier tu écris fix.reg
Pour Type tu choisis "tous les fichiers" avec le menu déroulant.
Tu cliques sur Enregistrer.
Tu fermes le Bloc-notes

Sur ton bureau, tu clique droit sur l'icône de Fix.reg
Tu cliques sur Fusionner.
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides.
(j'ai décalqué la procédure ce Xp mais je pense que c'est la même)

Tu remets un log Hijackthis.

@+
0
Réponse 95 / 107
fabriceg Messages postés 524 Date d'inscription vendredi 29 décembre 2006 Statut Membre Dernière intervention 5 mars 2016 70
22 juil. 2007 à 23:41
re,
voici le log hijackthis apres la manip avec fix.reg
Logfile of HijackThis v1.99.1
Scan saved at 23:38:56, on 22/07/2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\Program Files\Grisoft\AVG Free\avgcc.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\Program Files\Common Files\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\hijahdkis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://farice-gardon.spaces.live.com//PhotoUpload/VistaMsnPUpldfr-fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgemc.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\Program Files\Common Files\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
0
Réponse 96 / 107
fabriceg Messages postés 524 Date d'inscription vendredi 29 décembre 2006 Statut Membre Dernière intervention 5 mars 2016 70
23 juil. 2007 à 15:26
bonjour,
pas de reponse apres mon dernier post, cela veux t'il dire que mon probleme est resolu?a+
0
Réponse 97 / 107
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
23 juil. 2007 à 16:16
Bonjour,

oui, ton problème est résolu. Il l'est de fait depuis vendredi. Depuis, on est sur des détails.


On peut faire le ménage de tous les outils utilisés.

Relance OTMoveIt, clique sur le bouton cleanup et redémarre l'ordi.

Blacklight, DSS, OTMoveIt et tout ce qui a été créé avec eux devraient avoir disparu.

Pour les autres outils, on va faire en deux temps.

relance Hijackthis, choisis the misc tools section, clique open sur Uninstall manager, clique sur save list.

Poste la liste dans ta réponse.

@+
0
Réponse 98 / 107
fabriceg Messages postés 524 Date d'inscription vendredi 29 décembre 2006 Statut Membre Dernière intervention 5 mars 2016 70
23 juil. 2007 à 19:33
re,
j'ai effectuer la manip avec OTMoveIT puis redemarrer comme tu me l'as demander et voici le rapport hijackthis
Ad-Aware SE Personal
Adobe Flash Player ActiveX
Adobe Flash Player Plugin
Adobe Reader 8 - Français
Archiveur WinRAR
AVG Anti-Spyware 7.5
AVG Free Edition
BitComet 0.70
CCleaner (remove only)
DivX Codec
DivX Content Uploader
eMule
EPSON Logiciel imprimante
EPSON Scan
Ev0
EVEREST Home Edition v2.20
Google Toolbar for Internet Explorer
HijackThis 1.99.1
InfraRecorder
Java(TM) SE Runtime Environment 6 Update 1
Language pack for Ad-Aware SE
Microsoft Office Access MUI (French) 2007
Microsoft Office Excel MUI (French) 2007
Microsoft Office InfoPath MUI (French) 2007
Microsoft Office Outlook MUI (French) 2007
Microsoft Office PowerPoint MUI (French) 2007
Microsoft Office PowerPoint Viewer 2003
Microsoft Office Professional Plus 2007
Microsoft Office Professional Plus 2007
Microsoft Office Proof (Arabic) 2007
Microsoft Office Proof (Dutch) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Spanish) 2007
Microsoft Office Proofing (French) 2007
Microsoft Office Publisher MUI (French) 2007
Microsoft Office Shared MUI (French) 2007
Microsoft Office Word MUI (French) 2007
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (2.0.0.4)
Navigateur Orange
Nokia Connectivity Cable Driver
Nokia PC Suite
Nokia PC Suite
Orange - Logiciels Internet
Package de pilotes Windows - Nokia Modem (11/03/2006 6.82.0.1)
PC Connectivity Solution
Security Update for Excel 2007 (KB936509)
Security Update for Office 2007 (KB934062)
Security Update for Office 2007 (KB936514)
Security Update for Publisher 2007 (KB936646)
SUPER © Version 2007.bld.21 (Jan 4, 2007)
Synaptics Pointing Device Driver
Tomb Raider: Anniversary 1.0
TuneUp Utilities 2007
Update for Office 2007 (KB932080)
Update for Office 2007 (KB934391)
Update for Office 2007 (KB934393)
Update for Outlook 2007 (KB937608)
Update for Outlook 2007 Junk Email Filter (kb936558)
Update for Word 2007 (KB934173)
Windows Live Messenger
Windows Live OneCare safety scanner
Windows Live OneCare safety scanner
Windows Live Sign-in Assistant
XviD 1.1 final uninstall
0
Réponse 99 / 107
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
23 juil. 2007 à 22:11
Re,

désinstalles hijackthis à partir de Ajout/suppression de programme.

Supprime les autres outils par l'explorateur Windows, dont OAD, Diaghelp, C:\Windows\system32\backuped , C:\Program Files\True Sword 4 et tout ce qu'ils ont créés aussi.

@+
0
Réponse 100 / 107
fabriceg Messages postés 524 Date d'inscription vendredi 29 décembre 2006 Statut Membre Dernière intervention 5 mars 2016 70
24 juil. 2007 à 22:09
bonsoir,
je viens de desistaller hijackthis par ajout/suppression de programme, je m'aprette a faire le reste de la manip, mais 2 questions se posent a moi, la premiere , comment savoir quels sont les fichier qui ont été créer par les logiciel de desinfection, et le dossier "cle_winlogon.reg que l'on a créer et fais fusionner ( sur le bureau) il faut le supprimer ou non, merci a+
0

Discussions similaires

Livebox s'allume mais marque pas de réseau orange
Bebelle -
kaumune -

9 réponses
Livebox 4 Réseau Orange non détecté
Azfun -
brupala -

10 réponses
Le pc charge le telephone mais n'ouvre pas ses fichiers
SayenDz -
BunoCS -

5 réponses
Mon iPhone ne charge plus mais détecte le chargeur
marseillesud -
lil_oo -

5 réponses
Detecter un portable dans un périmètre de..??
Senna_the_best -
gaby193 -

4 réponses