Modification du registre desactivee

xamax -  
 clair83 -
Bonjour,
je recois des messages du type "your computer is infected", "potential spyware operation"
qui s'affichent sur l'ecran. J'ai essaye d'utiliser smitfraudfix, mais il est ecrit que la modification
du registre a ete desactivee par l'administrateur (il en est de meme pour la restauration du
systeme et la gestion des taches.
J'ai fait un "hijackthis" dont voici le rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:10:48, on 12.08.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\ll\Local Settings\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer = 212.247.156.66,212.247.156.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer = 212.247.156.66,212.247.156.70
O17 - HKLM\System\CS2\Services\Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer = 212.247.156.66,212.247.156.70
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum379.txt
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4187 bytes
Je crains de ne plus pouvoir utiliser l'ordinateur, si quelqu'un peut m'aider je lui adresse d'avance
un tres grand merci.
Salutations atout le monde
Configuration: Windows XP
Internet Explorer 6.0

20 réponses

  1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonjour,

    j'aimerai quand même que tu utlises smitfraud.

    SUpprime le tien et reprend

    * Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31

    http://siri.urz.free.fr/Fix/SmitfraudFix.exe

    * Installe le à la racine de C

    * double clic sur l'exe pour le décompresser et lancer le fix.
    Utilisation ----- option 1 - Recherche :
    * Double clique sur smitfraudfix.cmd
    * Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
    * Poste le rapport ici
    process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
  2. xamax Messages postés 40 Statut Membre
     
    Bonjour,
    je t'ai deja ecrit mais je ne sais pas si le message t'est parvenu (sinon excuse-moi de remplir ta boite Email).
    Voici le rapport Smitfraud que tu me demandes:
    SmitFraudFix v2.211

    Rapport fait à 5:57:56.43, 13.08.2007
    Executé à partir de C:\Documents and Settings\ll\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINDOWS\Explorer.exe
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    Fichier hosts corrompu !

    192.168.200.3 download.microsoft.com
    192.168.200.3 downloads.microsoft.com
    192.168.200.3 go.microsoft.com
    192.168.200.3 microsoft.com
    192.168.200.3 msdn.microsoft.com
    192.168.200.3 office.microsoft.com
    192.168.200.3 support.microsoft.com
    192.168.200.3 windowsupdate.microsoft.com
    192.168.200.3 www.microsoft.com
    192.168.200.3 pandasoftware.com
    192.168.200.3 www.pandasoftware.com

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    C:\WINDOWS\system32\printer.exe PRESENT !
    C:\WINDOWS\system32\WinAvXX.exe PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ll

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ll\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ll\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="C:\\WINDOWS\\System32\\hrum379.txt"

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    pe386 détecté, utilisez un scanner de Rootkit

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: SiS 900-Based PCI Fast Ethernet Adapter
    DNS Server Search Order: 212.247.156.66
    DNS Server Search Order: 212.247.156.70

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer=212.247.156.66,212.247.156.70
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer=212.247.156.66,212.247.156.70
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer=212.247.156.66,212.247.156.70

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    C'est sympa de m'aider,
    bien a toi,
    Xamax
    0
  3. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonjour,

    je suis un peu en retard, on continue

    Maintenant :

    Utilisation ----- option 2 -Nettoyage :

    * Redémarre l'ordinateur en mode sans échec
    (tapoter F8 au boot pour obtenir le menu de démarrage ou http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924

    * Double clique sur smitfraudfix.cmd

    * Sélectionne 2 pour supprimer les fichiers responsables de l'infection.

    A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

    Le fix déterminera si le fichier wininet.dll est infecté.

    A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

    * Redémarre en mode normal et poste le rapport ici

    N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
    Attention que l'option 2 de l'outil supprime le fond d'écran !

    0
    1. xamax Messages postés 40 Statut Membre
       
      Bonjour,
      j'ai procede comme tu me l'as ecrit.
      Sur l'ecran il est indique que le fichier C:\DOCUME~1\ADMIN1\LOCALS1~\Temp\* est absent.
      Quand j'essaie de nettoyer le registre apparait le message :la modification du registre a ete desactivee par votre administrateur .
      As-tu une suggestion ?
      Je te souhaite une excellente journee,
      Xamax
      0
      1. philae83 Messages postés 12854 Statut Contributeur sécurité 206 > xamax Messages postés 40 Statut Membre
         
        bonjour xamax

        peux tu pour le moment reposter un rapport Hijackthis stp. On va continuer à faire le ménage

        également

        * télécharge AVG Anti-Spyware (ewido)

        https://www.avg.com/en-ww/free-antivirus-download

        * tu l'installes

        * lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente

        puis

        Lance AVG Anti-Spyware

        Clique sur le bouton Analyse (de la barre d'outils)

        puis fait dans l'ordre stp. Tu sauvegardes le rapport APRES avoir mis les actions.

        Puis sur l'onglet Paramètres,
        sous : "Comment réagir "clique sur Actions recommandées. Sélectionne Quarantaine.

        Reviens à l'onglet Analyse. Clique sur Analyse complète du système.

        A la fin du scan, choisis l'option 3

        "Appliquer toutes les actions " en bas.

        Clique sur "Enregistrer le rapport".

        Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

        Poste le.

        0
  4. La loupiote Messages postés 2575 Statut Membre 1 541
     
    salut

    pour hijackthis

    cohe et fix avec do a syten scan only

    - F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe
    - O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
    - O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
    - O4 - Startup: system.exe
    - O4 - Global Startup: autorun.exe
    - O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    - O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum379.txt

    Tu remarqueras a la ligne 07 que ca te désactivait regedit !!!!

    0
    1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
       
      bonjour La loupiote

      merci de me laisser continuer ce topic que j'avais commencé.
      TU fais fixer des lignes...........OK, mais après ???? les fichiers on en fait quoi ???

      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. La loupiote Messages postés 2575 Statut Membre 1 541
     
    salut philae83

    Désolé je ne m'était par apercu que tu était propriétaire du topic

    bonne continuation
    0
    1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
       
      re bonjour

      propriétaire certes non, mais plusieurs intervenants pour une désinfection, c'est un peu difficile à suivre
      0
      1. espion3004 > philae83 Messages postés 12854 Statut Contributeur sécurité
         
        re bonjour le rapport hijack démontre que cette personne n'a pas le pack SP2 et absense de pare-feu

        et fortement contaminé
        :

        O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
        O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe

        y'en à plein d'autre mais le plus puissant :


        O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
        Nasty Effacer immédiatement ! This entry was classified from our visitors as bad

        re.
        0
  7. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonsoir

    xamax
    es tu toujours là ?

    tu en es où du rapport demandé ?
    0
    1. xamax Messages postés 40 Statut Membre
       
      Salut Philae,
      je suis parti pour quelques jours.
      J'ai demande a une amie de faire les actions proposees mas je ne sais pas si elle y parviendra...
      Au plus tard dimanche je t'envoie les rapports .
      Encore merci pour ton aide,
      bien a toi,
      Xamax
      0
  8. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    ok pas de soucis on verra plus tard au pire

    0
  9. xamax Messages postés 40 Statut Membre
     
    Salut Philae,
    voici les rapports:

    + Résultat de l'analyse:

    HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
    HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
    HKU\S-1-5-21-1935655697-2139871995-839522115-1003\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
    C:\Documents and Settings\ll\Cookies\ll@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Ignoré.

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:23:53, on 14.08.2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\printer.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program File s\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\Documents and Settings\ll\Local Settings\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\Sys tem32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: system.exe
    O4 - Global Startup: autorun.exe
    O4 - Global Startup: hp psc 1000 series.lnk = ?
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer = 212.247.156.66,212.247.156.70
    O17 - HKLM\System\CS1\Services \Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer = 212.247.156.66,212.247.156.70
    O17 - HKLM\System\CS2\Services\Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer = 212.247.156.66,212.247.156.70
    O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum379.txt
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    0
  10. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonsoir et désolée pour le retard

    * réinstalle hijackthis correctement, il ne doit pas se situer dans les fichiers temporaires.

    * lance hijackthis "do a system scan only" puis coche :

    O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
    O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
    O4 - Global Startup: autorun.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum379.txt

    * ferme toutes les applications ouvertes y compris internet explorer et clique sur "fix checked"

    puis

    * Assure toi d'avoir accès à tous les fichiers

    -démarrer

    -poste de travail ou autre dossier

    -menu outils

    -options de dossier

    -onglet affichage

    puis

    - activer la case : Afficher les fichiers et dossiers cachés

    - désactiver la case : Masquer les extensions des fichiers dont le type est connu

    - désactiver la case : Masquer les fichier protégés du système d'exploitation

    Puis - Appliquer

    * et Supprime le(s) fichier(s) ci dessous si il(s) est (sont) présent(s) :

    (en mode sans échec si nécessaire)

    C:\WINDOWS\System32\WinAvXX.exe
    C:\WINDOWS\System32\hrum379.txt
    C:\WINDOWS\web\related.htm

    * Dans l'Explorateur Windows recache les fichiers système afin de ne pas faire d'erreur à l'avenir. Retourne à la fenêtre Paramètres de dossiers et sélectionne Ne pas afficher les fichiers cachés ou les fichiers système

    L'infection désactive Windows Update ainsi que l'accès au panneau de cnofiguration, vous pouvez recevoir un message disant que l'accès au panneau de configuration est interdit suite à des restrictions.
    Vous pouvez restaurer l'accès en faisant ces manipulations :
    
    - Télécharge Activer_regedit_taskmgr.reg
    http://www2.malekal.com/download/telecharger.com/Activer_regedit_taskmgr.reg
    
    - Désactive tous les logiciels de protection : AVG Anti-Spyware, Doctor Spyware, SpySweeper etc..
    - Double-clic sur Activer_regedit_taskmgr.reg et accepte l'inscription des données
    - Redémarre l'ordinateur 
    malekal_morte
    
    


    si c'est ton cas, suis les recommandations de malekal.

    reposte un nouveau rapport hijackthis
    (je ne serais là que demain soir)

    0
  11. xamax Messages postés 40 Statut Membre
     
    Salut Philae,
    j'ai bien recu tes recommandations (tres precises, merci).
    Cependant quand je veux activer regedit j'ai toujours le message m'indiquant
    que les modifications du registre sont desactivees par l'administrateur et je
    ne sais pas quoi faire...
    Bien a toi,
    Xamax
    0
  12. xamax Messages postés 40 Statut Membre
     
    P.S.
    J'ai oublie le rapport de hijackthis:

    Scan saved at 14:56:40, on 20.08.2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\System32\printer.exe
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\Documents and Settings\ll\Bureau\Maintenance\HiJackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: system.exe
    O4 - Global Startup: autorun.exe
    O4 - Global Startup: hp psc 1000 series.lnk = ?
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer = 85.255.115.116,85.255.112.169
    O17 - HKLM\System\CCS\Services\Tcpip\..\{CE2FCD76-2F5B-4CA1-8A10-75CC2D988EF9}: NameServer = 85.255.115.116,85.255.112.169
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
    O17 - HKLM\System\CS1\Services\Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer = 85.255.115.116,85.255.112.169
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.36 85.255.112.23
    O17 - HKLM\System\CS2\Services\Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer = 85.255.114.36,85.255.112.23
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    0
  13. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonsoir,

    il y a du nouveau dans ton rapport + quelque chose que j'ai oublié, on reprend donc

    toutes ces manipulations sont à faire dans l"ordre, stp.

    * Télécharge ce fichier (par ejvindh)
    http://www.uploads.ejvindh.net/rustbfix.exe

    * sauvegarde-le sur ton Bureau.

    * Double clique rustbfix.exe afin de lancer l'outil.
    Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
    Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
    * Copie colle le contenu de ces deux rapports

    puis

    IMPORTANT : réinstalle hijackthis correctement, il ne doit pas être dans les fichiers temporaires
    C:\Documents and Settings\ll\Local Settings\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe 


    ensuite

    * Télécharge le FixWareout d'un de ces deux sites sur le bureau:

    http://download.bleepingcomputer.com/lonny/Fixwareout.exe
    http://downloads.subratam.org/Fixwareout.exe

    Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
    Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le.
    Ton système mettra un peu plus de temps au démarrage, c'est normal.

    Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes:

    lance hijackthis "do a system scan only" puis coche ces lignes :

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe
    O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
    O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
    O4 - Startup: system.exe
    O4 - Global Startup: autorun.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer = 85.255.115.116,85.255.112.169
    O17 - HKLM\System\CCS\Services\Tcpip\..\{CE2FCD76-2F5B-4CA1-8A10-75CC2D988EF9}: NameServer = 85.255.115.116,85.255.112.169
    O17 - HKLM\System\CS1\Services\Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer = 85.255.115.116,85.255.112.169
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.36 85.255.112.23
    O17 - HKLM\System\CS2\Services\Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer = 85.255.114.36,85.255.112.23

    Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.

    A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

    Au final, poste le contenu du fichier C:\fixwareout\report.txt avec un nouveau rapport HijackThis

    reviens avec les rapports

    0
  14. xamax Messages postés 40 Statut Membre
     
    Bonjour Philae,
    j'ai execute rustbfix.exe j'ai obtenu un ecran sans icones et je ne pouvais meme plus
    arreter l'ordinateur normalement.
    Heureusement quelques bons informaticiens m'ont aide a retablir la situation.
    Voici donc les rapports demandes (ainsi qu'un hijack):

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:09:10, on 21.08.2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
    C:\Documents and Settings\ll\Bureau\Maintenance\HiJackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: hp psc 1000 series.lnk = ?
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer = 212.247.156.66
    O17 - HKLM\System\CS1\Services\Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer = 212.247.156.66
    O17 - HKLM\System\CS2\Services\Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer = 212.247.156.66
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    0
  15. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonsoir

    j'ai execute rustbfix.exe j'ai obtenu un ecran sans icones et je ne pouvais meme plus
    arreter l'ordinateur normalement.
    Heureusement quelques bons informaticiens m'ont aide a retablir la situation. 


    tu ne t'es pas demandé si ce n'est pas dû à ton infection tous ces problèmes....???? et si tu as trouvé de si bons informaticiens, pourquoi ne leur as tu pas demandé de te virer tes m.....également ? ceci dit, il est vrai que je ne suis pas une informaticienne

    sincèrement, ce n'est certainement pas de ma faute si ton pc a planté.
    l'outil utilisé était le bon.

    ensuite

    as tu accès à regedit maintenant ou non ?

    avast n'a pas l'air d'être dans le démarrage de ton pc ? ce n'est pas normal non +

    refait un scan avec AVG AS et poste le rapport ici ensuite

    résume ce qui te reste comme problème stp

    0
  16. xamax Messages postés 40 Statut Membre
     
    Bonjour Philae,
    contrairement a ce que je croayais les problemes n'ont pas disparu.
    J'ai voulu effectuer un nettoyage avec smitfraud (en mode sans echec)
    mais un message m'indique que la modification de regiistre a ete desactivee par l'administrateur
    et que le fichier c:\docume~1\admin~1\locals~1\temp\*.* ne peut etre trouve.
    Quand j'appuie sur Ctrl,Alt,Suppr il m'est indique que le gestionnaire des taches est desactive par l'administrateur.
    Par ailleurs Avast ne peut tourner qu'avec un des deux utilisateurs.

    Je joins le traditionnel hijackthis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:51:07, on 28.08.2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\ll\Bureau\Maintenance\HiJackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: hp psc 1000 series.lnk = ?
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer = 212.247.156.66
    O17 - HKLM\System\CS1\Services\Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer = 212.247.156.66
    O17 - HKLM\System\CS2\Services\Tcpip\..\{B586C877-3354-4238-98B6-886E8B416257}: NameServer = 212.247.156.66
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    0
  17. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonsoir,

    je suis désolée pour le retard, mais j'étais malade

    as tu toujours les mêmes soucis ?

    si c'est le cas, essaye déjà ceci :

    * Télécharge clean.zip de Malekal (merci Malekal).
    http://www.malekal.com/download/clean.zip
    * Dézippe-le sur le bureau.
    * Ouvre le dossier jaune nommé clean sur ton bureau.
    * Double-clique sur clean.cmd
    * Choisis l'option 1 et copie sur le bureau le rapport généré. Il doit normalement aussi se trouver là : c:\rapport_clean.txt
    * Clique sur Q pour quitter le programme.

    * Redémarre en mode sans échec. Pour cela : au démarrage du PC, tapote sur F8 (ou F5). Ton PC démarre, mais sans accès à Internet.
    * Ouvre le dossier jaune nommé clean sur ton bureau.
    * Double-clique sur clean.cmd
    * Choisis l'option 2 et copie sur le bureau le rapport généré.
    * Si une fenêtre s'ouvre, laisse-la.
    * Clique sur Q pour quitter le programme.
    * Redémarre normalement.

    0
  18. xamax Messages postés 40 Statut Membre
     
    Salut Philae,
    j'espere que tu es bien retablie .
    Voici le rapport demande:

    Script execute en mode sans echec
    Rapport clean par Malekal_morte - http://www.malekal.com
    Script execute en mode sans echec 02.09.2007 a 8:13:22.85

    Microsoft Windows XP [version 5.1.2600]

    *** Suppression des fichiers dans C:

    *** Suppression des fichiers dans C:\WINDOWS\

    *** Suppression des fichiers dans C:\WINDOWS\system32

    *** Suppression des fichiers dans C:\Program Files

    *** Suppression des clefs du registre effectuee..
    *** Fin du rapport !

    (il m'indique toujours que la modification du registre est desctivee!).
    Le premier rapport (effectue avec "1") n'indiquait rien non plus...

    Merci pour ton aide,
    amicalement,
    Xamax
    0
  19. clair83
     
    SmitFraudFix v2.387

    Rapport fait à 12:02:56,76, 26/12/2008
    Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Analog Devices\Core\smax4pnp.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winajgwd.exe
    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winhltsu.exe
    C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Policies.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    Agent.OMZ.Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Broadcom NetXtreme 57xx Gigabit Controller - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 212.217.4.13
    DNS Server Search Order: 212.217.0.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{2BEAAD5A-18DC-423D-81C8-9694D17C5960}: NameServer=212.217.4.13,212.217.0.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{2BEAAD5A-18DC-423D-81C8-9694D17C5960}: NameServer=212.217.4.13,212.217.0.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{2BEAAD5A-18DC-423D-81C8-9694D17C5960}: NameServer=212.217.4.13,212.217.0.1

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0