Infection myalbum2007.zip Résolu/Fermé

Question

Bonjour @ tous,

Eh oui sur mon PC je me suis fait avoir comme un bleu par ce virus émanant de MSN (fichier myalbum2007.zip), cela s'est passé vers le mois de Juillet.

J'ai tenté de réparer mes erreurs tout seul comme un grand en suivant les tutos de nombreux et précieux internautes. 
Puis je suis parti en congés, ouah ça fait du bien :-)

Pour autant à mon retour je pense (comme à mon départ d'ailleurs) que je n'ai pas éradiquer tout le problème, en effet j'ai de gros soucis pour surfer, mes pages internet s'affichent avec une lenteur hallucinante.
D'ailleurs pour pallier à ce problème je vous écris à l'instant d'un ordinateur portable qui me sauve bien la mise ;-p

Merci beaucoup de me dire si vous pouvez m'aider à verifier ce qu'il en est de mon PC.

Pour info j'ai été embêté entres-autres par des fichiers comme ctccw32.dll et j'en passe et des meilleurs .......

Thierry

Utilisateur anonyme · Answer

Salut à toi,
lis ceci pour commencer:
http://leblogdeclaude.blogspot.com/2007/06/bienvenue-sur-ccm.html
réponds juste au deux petites questions
--------------------------------------------------------------
Ensuite pour évaluer la situation actuelle: (comme je le conseille fermes avant un max de choses inutiles: genre:Messenger/Office/Internet Explorer/ect...)
pour info, comme je ne sais où se situent tes connaissances et la protection de ton PC, lis ceci:
https://leblogdeclaude.blogspot.com/2006/10/informatique-comment-se-protger-si-on.html
Ensuite fais et copies le rapport Hijackthisici-----> (respecte les conseils à l'install)
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

docbrown69 · Answer

Bonjour et merci de ta réponse,

Tout d'abord j'ai bien lu tes 10 recommandations et je les accepte totalement.

Ensuite voici mes réponses à tes deux questions : 

mon PC est du groupe : a
Mon fire-wall est de catégorie c

Je sens que je vais me faire disputer pour la deuxième réponse ;-)

Sinon je rajouterais que récemment Avast (mon antivirus actuel) s'est emballé avec de nombreuses alertes "Chevaux de Troie" et j'ai souvent utiliser la fonction "supprimer" a la question qu'il  me posait alors que le conseil était de "mettre en quarantaine" (je l'ai vu un peu trop tard), je sais je suis un peu benêt.
Dans la foulée je me suis retrouvé avec un PC sans plus rien sur le bureau et qui en le rédémarrant ne voulait plus redémarrer, donc du coup j'ai mis le cd de Windows XP afin de faire une réparation de tout ceci, j'y suis arrivé et je peux donc enfin poster le rapport Hijackthis que tu me demandes, le voici donc :

Logfile of HijackThis v1.99.1
Scan saved at 19:07:38, on 20/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\winsys2.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32	askmgr.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - http://components.viewpoint.com/...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{721E7A51-6B83-4B91-838C-BC6A3B74DEE9}: NameServer = 212.27.32.176,212.27.32.177,212.27.39.1,212.27.39.2,212.27.39.134,212.27.39.135,213.228.0.23,213.228.0.212,213.228.0.159,213.228.0.168
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe


Encore merci d'avance pour ton aide ;-)

Thierry

Utilisateur anonyme · Answer

félicitation...tu t'en es bien sorti avec la réparation xp !
bien, venons en au fait.
cocher + fixer ceci:
comment ça ?
https://leblogdeclaude.blogspot.com/2007/05/comment-utiliser-hijackthis-fixer.html
--------------------------------------------------------

 	O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
 	O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
 	O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe (file missing)
------------------------------
pour ceci arrêtes le service, à moins que ce soit toi qui l'a désactivé ?
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe (file missing)
perso je suis d'avis que certaines mises à jour fichent le bazar dans un PC qui fonctionne bien !
donc stop à cette main mise de Microect....
vérifie qu'il est arrêté:
Microsoft security update service 
https://leblogdeclaude.blogspot.com/2007/07/comment-stopper-un-service.html
------------------------------------------------------

ensuite
faire ceci + poster le rapport:
https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-navifix.html

docbrown69 · Answer

Merci de ta réponse rapide et merci de me féliciter pour la réparation de XP :-) Je me sens une peu moins benêt ;-)

Au fait j'ai oublié de te dire, coincidence ou pas, qu'après la réparation je surfais 100 fois plus vite avec IE 6 qu'avec IE 7 que j'ai réinstallé dans la foulée. 
De ton côté je sais que tu conseilles Mozilla, il faudra que l'on en reparle le moment venu si cela ne t'embête pas.

J'ai fixé les 5 lignes que tu m'as demandé. 

Concernant celle-ci O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe (file missing)
Effectivement c'est moi qui est du désactiver la mise à jour automatique de Windows car en fait dans ton blog après tes 10 conseils tu le préconises.
Par contre on ne la réactivera pas à la fin de la désinfection ?

Voici donc le le rapport demandé.

Search Navipromo version 2.0.8 commencé le 20/08/2007 à 20:46:11,37
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 15.08.2007 a 15h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Propri‚taire\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 08/20/07 at 20:46:12.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 08/20/07 at 20:48:38 (return code = 0).


*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 


*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 


3)Recherche Certificats :


*** Recherche avec GenericNaviSearch Beta ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !


*** Analyse Terminé le 20/08/2007 à 20:48:48,79 ***

Utilisateur anonyme · Answer

+1, t'es le premier je pense qui fait ça avec précision....^^
"Effectivement c'est moi qui est du désactiver la mise à jour automatique de Windows car en fait dans ton blog après tes 10 conseils tu le préconises"
bien,
clean de ce coté-là.
fais ceci:
télécharges ceci:
http://www.malekal.com/download/clean.zip
installes-le dossier sur ton bureau (plus facile) ensuite, tu clic sur clean.cmd
choissis l'option1.
postes le rapport

docbrown69 · Answer

Preuve que j'ai bien tout lu :-)

Au fait j'oubliais ton blog il est vraiment super bien fait ;-) Des tutos simples etc ........

voici le rapport 

 20/08/2007 a 22:10:24,68 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
 
*** Recherche des fichiers dans C:\Program Files 
*** Fin du rapport !

Utilisateur anonyme · Answer

fais ceci un rapport Smitfraud s'il te plaît:
https://leblogdeclaude.blogspot.com/2007/04/informatique-procdure-smitfraud.html

docbrown69 · Answer

Au moment de télécharger le logiciel Avast me dit "un virus a été trouvé".

Fichier : http://siri.urz.free.fr/Fix/SmitfraudFix.exe\SmitfraudFix\Reboot.exe
Nom du logiciel malveillant : Win32:Trojan-gen. {VB}
Type de logiciel malveillant : Virus/Ver
Version VPS : 000767-2, 20/08/2007

Il me propose d'abandonner la connexion ce qui aura pour but "d'arrêter le téléchargement du fichier dangereux"

Que fais-je ? 
Je ne tiens pas compte de ce message, je ferme la fenêtre ?

docbrown69 · Answer

J'ai retenté de télécharger le programme et cette fois ci Avast n'a rien dit. 
Par contre au moment de l'exécution du programme, Avast a de nouveau tilter (par contre je n'ai pas tout noter mais il me semble que c'était la même alerte) avec cette fois tous les options possibles "mettre en quarantaine, etc ....." j'ai fermé la fenêtre et je l'ai volontairement oublié ........ j'espère que je n'ai pas fait une bétise.

En tout cas voici le rapport 

SmitFraudFix v2.213b

Rapport fait à 23:33:39,87, 20/08/2007
Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\winsys2.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.32.176
DNS Server Search Order: 212.27.32.177
DNS Server Search Order: 212.27.39.1
DNS Server Search Order: 212.27.39.2
DNS Server Search Order: 212.27.39.134
DNS Server Search Order: 212.27.39.135
DNS Server Search Order: 213.228.0.23
DNS Server Search Order: 213.228.0.212
DNS Server Search Order: 213.228.0.159
DNS Server Search Order: 213.228.0.168

HKLM\SYSTEM\CCS\Services\Tcpip\..\{721E7A51-6B83-4B91-838C-BC6A3B74DEE9}: NameServer=212.27.32.176,212.27.32.177,212.27.39.1,212.27.39.2,212.27.39.134,212.27.39.135,213.228.0.23,213.228.0.212,213.228.0.159,213.228.0.168
HKLM\SYSTEM\CS1\Services\Tcpip\..\{721E7A51-6B83-4B91-838C-BC6A3B74DEE9}: NameServer=212.27.32.176,212.27.32.177,212.27.39.1,212.27.39.2,212.27.39.134,212.27.39.135,213.228.0.23,213.228.0.212,213.228.0.159,213.228.0.168
HKLM\SYSTEM\CS2\Services\Tcpip\..\{721E7A51-6B83-4B91-838C-BC6A3B74DEE9}: NameServer=212.27.32.176,212.27.32.177,212.27.39.1,212.27.39.2,212.27.39.134,212.27.39.135,213.228.0.23,213.228.0.212,213.228.0.159,213.228.0.168


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

docbrown69 · Answer

je viens de refaire tourner le programme et Avast envoie le même message que précédemment

Seul la zone fichier change.

Fichier : C:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix\Reboot.exe
Nom du logiciel malveillant : Win32:Trojan-gen. {VB} 
Type de logiciel malveillant : Virus/Ver 
Version VPS : 000767-2, 20/08/2007 

Et donc il me propose ; "Déplacer/Renommer, Supprimer, Réparer, Mettre en quarantaine"
Je peux aussi "continuer" ou bien faire "stop"

Voili voilou

Utilisateur anonyme · Answer

pour ceci:
"Au moment de télécharger le logiciel Avast me dit "un virus a été trouvé".

Fichier : http://siri.urz.free.fr/Fix/SmitfraudFix.exe\SmitfraudFix\Reboot.exe
Nom du logiciel malveillant : Win32:Trojan-gen. {VB}
Type de logiciel malveillant : Virus/Ver
Version VPS : 000767-2, 20/08/2007 "
ça s'appelle un faux positif...moi j'en ai 13 dans mon PC!
(genre Smitfraud/Sdfix/hijackthisCombofix) les anti-virus ne connaisent pas, et ça les contrarie !...LOL
Il y a moyen de faire une liste d'exception, mais bob ! Le plus simple est de désactivé...de plus ça libère de la ressource !
donc pas de panique !
c'est légitime...
----------------------------------------------------------------------------------------
désactives Avast pendant les scan avec un outil, quel qu'il soit.
----------------------------------------------------------------------------------------
Bien fais ceci:
http://leblogdeclaude.blogspot.com/2007/07/utilisation-de-combofix.html
postes le rapport

docbrown69 · Answer

Bonsoir, Alors j'ai désactivé Avast et j'ai procédé à ce que tu m'as demandé. Il y a juste eu un petit changement après le reboot, IE m'a dit qu'il n'était plus mon navigateur par défaut et j'ai cliqué sur "oui" pour qu'il le redevienne. Le pare feu Windows m'a aussi bloqué sur le programme Microsoft Active Sync que j'utilise pour mon PDA en me demandant si je voulais bloquer etc ....... j'ai fermé avec la croix rouge. Je préféres te tenir au courant de tout ce qui se passe on ne sait jamais ;-) Voici le rapport : ComboFix 07-08-17.2 - "Propri‚taire" 2007-08-21 18:53:19.1 - NTFSx86 MINIMAL Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.806 [GMT 2:00] Command switches used :: /wow ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\DOCUME~1\PROPRI~1\APPLIC~1\.. ew.txt C:\WINDOWS etadpu420.exe C:\WINDOWS\system32\drivers\asc3550u.sys C:\WINDOWS\update.exe ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\LEGACY_ASC3550U -------\LEGACY_MSUPDATE -------\LEGACY_NTMLSVC -------\msupdate -------\NtmlSvc ((((((((((((((((((((((((( Files Created from 2007-07-21 to 2007-08-21 ))))))))))))))))))))))))))))))) 2007-08-21 18:52 51,200 --a------ C:\WINDOWS ircmd.exe 2007-08-20 23:33 3,540 --a------ C:\WINDOWS\system32 mp.reg 2007-08-20 23:32 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-08-20 23:32 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-08-20 23:32 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-08-20 20:46 3,290 --a------ C:\WINDOWS\system32\gnc.exe 2007-08-20 20:43 d-------- C:\Program Files\Navilog1 2007-08-20 19:00 d-------- C:\Program Files\Hijackthis Version Fran‡aise 2007-08-19 22:58 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-08-19 22:58 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-08-19 22:58 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-08-19 22:43 d-------- C:\WINDOWS\Prefetch 2007-08-19 22:30 d-------- C:\WINDOWS\NV8361064.TMP 2007-08-19 22:27 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll 2007-08-19 22:27 13,312 --a------ C:\WINDOWS\system32\irclass.dll 2007-08-16 00:20 d-------- C:\WINDOWS\AU_Temp 2007-08-16 00:07 221,184 --a------ C:\WINDOWS\system32\wmpns.dll 2007-08-15 22:43 37,478 --a------ C:\WINDOWS\system32\43538122ld.exe (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-16 00:20 86094 --a------ C:\WINDOWS\BPMNT.dll 2007-08-16 00:20 1163344 --a------ C:\WINDOWS\vsapi32.dll 2007-08-16 00:03 71749 --a------ C:\WINDOWS\hcextoutput.dll 2007-08-16 00:03 267845 --a------ C:\WINDOWS sc.exe 2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AvastSS.scr 2007-07-08 10:26 28672 --a------ C:\WINDOWS\system32\drivers\CO_Mon.sys 2007-07-07 00:26 257 --a------ C:\WINDOWS\msdres.bin 2007-07-06 00:22 69689 --a------ C:\WINDOWS\UNZIP.DLL 2007-07-06 00:22 507904 --a------ C:\WINDOWS\TMUPDATE.DLL 2007-07-06 00:22 286720 --a------ C:\WINDOWS\PATCH.EXE 2007-07-05 14:45 283 --a------ C:\WINDOWS\comm.bin 2007-07-05 00:11 --------- d-------- C:\Program Files\eChanblard 2004-02-11 05:00 80014 --a------ C:\WINDOWS\Fonts.\unins000.exe --------- C:\Program Files\Hijackthis Version Française ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 19:20] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22] "nwiz"="nwiz.exe" [2006-10-22 12:22 C:\WINDOWS\system32 wiz.exe] "EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.exe" [2005-02-08 06:00] "Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17] "SW20"="C:\WINDOWS\system32\sw20.exe" [2006-10-27 15:11] "SW24"="C:\WINDOWS\system32\sw24.exe" [2006-10-27 15:12] "WinSys2"="C:\WINDOWS\system32\winsys2.exe" [2006-10-03 14:37] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2007-05-14 12:18] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 09:41] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-06-01 16:51] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22] "RTHDCPL"="RTHDCPL.EXE" [2006-04-17 09:34 C:\WINDOWS\RTHDCPL.exe] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00] "H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-24 10:20] "MoneyAgent"="C:\Program Files\Microsoft Money\System\mnyexpr.exe" [2003-06-18 13:00] [HKEY_USERS\.default\software\microsoft\windows\currentversion un] "DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableRegedit"=0 (0x0) "NoFind"=0 (0x0) "NoRun"=0 (0x0) "NoDesktop"=0 (0x0) "NoClose"=0 (0x0) "StartMenuLogOff"=0 (0x0) "HideClock"=0 (0x0) R0 viamraid;viamraid;C:\WINDOWS\system32\DRIVERS\viamraid.sys R3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5b.sys S3 FETNDIS;Pilote NT de carte VIA PCI 10/100Mo Fast Ethernet;C:\WINDOWS\system32\DRIVERS\fetnd5.sys S3 GMSIPCI;GMSIPCI;\??\E:\INSTALL\GMSIPCI.SYS S3 MSICPL;MSICPL;\??\E:\install4\MSICPL.sys S3 NTACCESS;NTACCESS;\??\E:\NTACCESS.sys S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS Contents of the 'Scheduled Tasks' folder 2007-07-04 10:31:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe 2007-08-21 16:56:47 C:\WINDOWS\Tasks\MP Scheduled Scan.job - C:\Program Files\Windows Defender\MpCmdRun.exe ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-21 18:56:56 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\CrystalSysInfo] "ImagePath"="\??\C:\WINDOWS\system32\SysInfo.sys" Completion time: 2007-08-21 18:57:38 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-08-21 18:57 --- E O F ---

Utilisateur anonyme · Answer

Bien, fais ceci:

https://leblogdeclaude.blogspot.com/2007/08/scan-de-votre-machine-avec-genproc.html
copie le rapport

docbrown69 · Answer

et hop 

Rapport GenProc 0.69 [1] effectué le 21/08/2007 à 20:11:40,65 - SystemRoot = C:\WINDOWS 

# Etape 1/ Télécharge :  
  
- CCleaner https://www.ccleaner.com/ccleaner/download
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme. 
 
- SDfix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (créé par AndyManchesta) et sauvegarde le sur ton Bureau. 
 
 
***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://docs.microsoft.com/en-us/?mfr=true (choisis ta session courante "Propriétaire") ***** 
 
 
# Etape 2/  
 
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur "RunThis.bat" pour lancer le script.
- Appuie sur "Y" pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier  SDFix sous le nom "Report.txt".
~ Le fichier "SDFIX_README.htm" (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
~ Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésite donc pas à télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir. 
 
# Etape 3/ 
 
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout. 
 
# Etape 4/ 

Redémarre normalement et poste : 
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ; 
- Le contenu du fichier Report.txt ; 


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

Utilisateur anonyme · Answer

Bien,
fais exactement ce qu'il est conseillé.

docbrown69 · Answer

J'ai fait tout ce qui a été demandé.

Concernant HijackThis, j'ai tenté d'installer ce qui était proposé à l'étape 4 et finalement Windows m'a baragouiné un truc en anglais et ne m'a pas installé le logiciel.
Du coup j'ai utilisé la version française que tu m'avais fait installé auparavant et j'ai un scan et sauvegarde de log.

Voici le rapport : 

Logfile of HijackThis v1.99.1
Scan saved at 21:29:47, on 21/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\system32\winsys2.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - http://components.viewpoint.com/...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{721E7A51-6B83-4B91-838C-BC6A3B74DEE9}: NameServer = 212.27.32.176,212.27.32.177,212.27.39.1,212.27.39.2,212.27.39.134,212.27.39.135,213.228.0.23,213.228.0.212,213.228.0.159,213.228.0.168
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Voici le fichier report.txt de SDFIX : 


SDFix: Version 1.99

Run by Propri‚taire on 21/08/2007 at 21:14

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\PROPRI~1\Bureau\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

Trojan Files Found:

C:\-17383~1 - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

File Backups: - C:\DOCUME~1\PROPRI~1\Bureau\SDFix\backups\backups.zip
Registry Backups: - C:\DOCUME~1\PROPRI~1\Bureau\SDFix\backups\backupreg.zip
Full Registry Backup: - C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE

Files with Hidden Attributes:

C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp
C:\WINDOWS\system32\config\SAM.tmp.LOG
C:\WINDOWS\system32\config\SECURITY.tmp.LOG

                                 Finished

Utilisateur anonyme · Answer

donnes un coup de CCleaner
il te reste encore des traces...
C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp 
fais ceci:
https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-de-nettoyage.html

docbrown69 · Answer

Bonsoir, Bonsoir,

C'est fait 

Juste deux petites questions : 

   - Concernant CCcleaner, qu'entends tu par "Pour effacer toutes vos traces de navigation et alléger votre système, sélectionnez toutes les options." ?
   - Concernant Super-Antispyware, j'ai coché C: comme tu le demandes, je ne dois pas cocher mon lecteur D : ?

Sinon j'ai eu la boite de dialogue "scanning is complet, No harmful software was detected"

Au fait plus on avance dans la procédure de désinfection et plus mon surf est rapide :-)

@ plus

Thierry

Utilisateur anonyme · Answer

" comme tu le demandes, je ne dois pas cocher mon lecteur D :"
si tu soupçonne en d: (infection, tu coches)
" - Concernant CCcleaner, qu'entends tu par "Pour effacer toutes vos traces de navigation et alléger votre système, sélectionnez toutes les options." ? "
tu vas dans les deux onglets/Windows/et applications.
tu peux aussi pour complèter rechercher les erreurs dans la base de registre.

docbrown69 · Answer

Non je ne penses pas qu'il y' ait d'infection en D: du moins j'espère.

Mon lecteur D: ne contient que des documents persos, des vidéos, des photos etc aucun programme.

Donc si j'ai bien compris j'ai tout bien fait :-) j'ai sélectionné toutes les options .....

J'ai fait aussi la recherche d'erreurs dans la base de registre.

Que dois-je faire ensuite ..... ?

Utilisateur anonyme · Answer

Plus rien avec CCleaner !
Perso je l'utilise 2 à 3 fois la semaine.
J'utilise à chaque fin de surf (parfois 10 fois par jour )
AFT-cleaner
-----------------------------------------------
bien fais ceci + rapport
Un coup de clean:
http://www.malekal.com/download/clean.zip
Dézipper l'outil et option 1.

docbrown69 · Answer

Et voici le rapport

 22/08/2007 a 20:48:50,95 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
 
*** Recherche des fichiers dans C:\Program Files 
*** Fin du rapport !

Utilisateur anonyme · Answer

propre.
-------télécharges ceci:
http://sosvirus.changelog.fr/Green_day/Lopxpsetup.exe
lances l'install.
ensuite tu auras un raccourcis crée sur le bureau:
Lopxp(.bat)
clic dessus et fais l'option 1(rechercher/générer un rapport)
puis écran rouge.

copie le  rapport.
parfois ça bug à l'ouverture du fichier TXT, va alors le chercher manuellement.
Il indiquera où il se trouve...

docbrown69 · Answer

Le voici : 


_____________ Rapport Lopxp fait le 22/08/2007 à 21:14:29

Exécuté dans : C:\Program Files\Lopxp


/!\ Attention /!\

  Les résultats de ce rapport sont sujets à interprétations,
  Et ne démontrent pas systématiquement des dossiers infectés...


___________________________________________________________________________
 
[1] ->  Threads Internet Explorer



___________________________________________________________________________

[2] -> Recherche présence de Messenger Plus!...


Messenger Plus! 2     N'est pas ou plus installé.

MessengerPlus! 3     N'est pas ou plus installé.

Messenger Plus! Live     N'est pas ou plus installé.

___________________________________________________________________________

[3] -> Tâches planifiées


AppleSoftwareUpdate.job: C:\Program Files\Apple Software Update\SoftwareUpdate.exe -Task
MP Scheduled Scan.job: C:\Program Files\Windows Defender\MpCmdRun.exe Scan -RestrictPrivileges

___________________________________________________________________________

[4] -> Sponsor P2P


___________________________________________________________________________

[5] -> Listing des dossiers Application Data


C:\Documents and Settings\Administrateur\Application Data

03/05/2007 à 07:48 - - Microsoft  


C:\Documents and Settings\Administrateur\Local Settings\Application Data

03/05/2007 à 07:48 - - Microsoft  


C:\Documents and Settings\All Users\Application Data

08/07/2007 à 00:23 - - Grisoft  
30/05/2007 à 20:49 - - Viewpoint  
18/05/2007 à 13:26 - - Adobe  
18/05/2007 à 13:04 - - Adobe(2)  
01/05/2007 à 22:16 - - TechSmith  
30/03/2007 à 22:09 - - Apple Computer 
25/03/2007 à 15:39 - - QuickTime  
26/02/2007 à 01:09 - - Sony Ericsson 
26/02/2007 à 01:09 - - Teleca  
16/02/2007 à 20:09 - - UDL  
10/02/2007 à 10:57 - - nView_Profiles  
10/02/2007 à 01:20 - - NVIDIA  
07/02/2007 à 09:12 - - Windows Genuine Advantage 
07/02/2007 à 02:45 - - Microsoft  
06/02/2007 à 20:18 - - CyberLink  
06/02/2007 à 20:10 - - Spybot - Search & Destroy 


C:\Documents and Settings\Propri‚taire\Application Data

08/07/2007 à 00:23 - - Grisoft  
30/05/2007 à 20:49 - - Viewpoint  
20/05/2007 à 15:03 - - Sun  
14/05/2007 à 12:17 - - Real  
14/05/2007 à 12:08 - - vlc  
23/04/2007 à 22:53 - - Help  
30/03/2007 à 22:13 - - Apple Computer 
25/03/2007 à 15:41 - - Nikon  
19/03/2007 à 12:45 - - uTorrent  
07/03/2007 à 23:13 - - EPSON  
26/02/2007 à 00:16 - - Teleca  
22/02/2007 à 23:34 - - AdobeUM  
17/02/2007 à 02:27 - - OfficeUpdate12  
14/02/2007 à 01:11 - - Talkback  
14/02/2007 à 01:10 - - Thunderbird  
14/02/2007 à 01:09 - - Mozilla  
12/02/2007 à 22:56 - - CyberLink  
07/02/2007 à 02:36 - - Identities  
07/02/2007 à 02:36 - - Microsoft  
06/02/2007 à 20:34 - - Adobe  
06/02/2007 à 20:34 - - OFFICE One v6 
06/02/2007 à 20:33 - - Macromedia  


C:\Documents and Settings\Propri‚taire\Local Settings\Application Data

14/05/2007 à 12:18 - - Google  
01/05/2007 à 22:16 - - TechSmith  
23/04/2007 à 22:53 - - Help  
04/04/2007 à 17:53 - - Apple Computer 
26/02/2007 à 00:27 - - Sony Ericsson 
12/02/2007 à 22:13 - - Identities  
12/02/2007 à 02:31 - - PCHealth  
08/02/2007 à 19:38 - - Ahead  
07/02/2007 à 02:36 - - Microsoft  
06/02/2007 à 20:34 - - Adobe  



___________________________________________________________________________

[6] -> Listing du dossier Program Files


C:\Program Files

22/08/2007 à 21:13 - - Lopxp 
22/08/2007 à 18:54 - - SUPERAntiSpyware 
21/08/2007 à 20:23 - - CCleaner 
20/08/2007 à 20:43 - - Navilog1 
20/08/2007 à 19:00 - - Hijackthis Version Fran‡aise
08/07/2007 à 00:23 - - Grisoft 
22/06/2007 à 22:00 - - WinRAR 
17/06/2007 à 19:13 - - iPod 
17/06/2007 à 19:13 - - iTunes 
20/05/2007 à 15:02 - - Java 
16/05/2007 à 12:58 - - QuickTime 
14/05/2007 à 12:18 - - Real 
14/05/2007 à 11:31 - - VideoLAN 
04/05/2007 à 18:03 - - MagicTune Premium
04/05/2007 à 17:53 - - SEC 
02/05/2007 à 23:03 - - Setup Files
02/05/2007 à 22:59 - - MSI 
01/05/2007 à 22:16 - - TechSmith 
01/05/2007 à 19:24 - - BlueSquad 
01/05/2007 à 19:23 - - PDF2W 
01/05/2007 à 18:14 - - PDFCreator 
07/04/2007 à 10:59 - - Xvid 
30/03/2007 à 22:10 - - Apple Software Update
25/03/2007 à 21:04 - - PhotoFiltre 
25/03/2007 à 19:35 - - uTorrent 
25/03/2007 à 15:40 - - Nikon 
25/03/2007 à 15:38 - - ArcSoft 
19/03/2007 à 00:07 - - eChanblard 
16/03/2007 à 00:32 - - Windows Media Connect 2
15/03/2007 à 23:26 - - MSN Messenger
04/03/2007 à 23:11 - - MSECache 
04/03/2007 à 22:44 - - Microsoft Money
26/02/2007 à 00:51 - - Sony Ericsson
16/02/2007 à 20:06 - - epson 
16/02/2007 à 01:12 - - Spamihilator 
14/02/2007 à 01:09 - - Mozilla Thunderbird
13/02/2007 à 00:15 - - AvantGo Connect
13/02/2007 à 00:15 - - Common Files
13/02/2007 à 00:15 - - Microsoft ActiveSync
11/02/2007 à 22:43 - - Microsoft Office
07/02/2007 à 09:13 - - Windows Defender
07/02/2007 à 02:51 - - Alwil Software
07/02/2007 à 02:46 - - Realtek 
07/02/2007 à 02:45 - - Fichiers communs
07/02/2007 à 02:42 - - InstallShield Installation Information
07/02/2007 à 02:39 - - VIA 
07/02/2007 à 02:36 - - Uninstall Information
07/02/2007 à 01:55 - - xerox 
07/02/2007 à 01:55 - - microsoft frontpage
07/02/2007 à 01:53 - - WindowsUpdate 
07/02/2007 à 01:53 - - Services en ligne
07/02/2007 à 01:53 - - Movie Maker
07/02/2007 à 01:52 - - NetMeeting 
07/02/2007 à 01:52 - - Outlook Express
07/02/2007 à 01:52 - - Internet Explorer
07/02/2007 à 01:52 - - ComPlus Applications
07/02/2007 à 01:52 - - Online Services
07/02/2007 à 01:52 - - Windows Media Player
07/02/2007 à 01:52 - - Messenger 
07/02/2007 à 01:52 - - MSN Gaming Zone
07/02/2007 à 01:51 - - MSN 
07/02/2007 à 01:51 - - Windows NT
06/02/2007 à 20:26 - - Adobe 
06/02/2007 à 20:20 - - Ahead 
06/02/2007 à 20:18 - - CyberLink 
06/02/2007 à 20:13 - - ToniArts 
06/02/2007 à 20:10 - - Spybot - Search & Destroy

___________________________________________________________________________

[7] -> Clés registre de démarrage


___________________________________________________________________________

[8] -> Popups autorisés


# Internet Explorer

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
PopupMgr	REG_SZ	yes


# Mozilla Firefox (1 autorisé  2 interdit)

# Suite Mozilla / SeaMonkey (1 autorisé  2 interdit)


___________________________________________________________________________

[9] -> Suggestion nettoyage registre 

- Aucune suggestion.

----------------------------------------------------------> Fin du rapport

Utilisateur anonyme · Answer

je suppose que tu as bien : Microsoft Windows Defender Antispyware
je vois ceci dans le task:
 C:\Program Files\Windows Defender\MpCmdRun.exe Scan -RestrictPrivileges 
tu peux m'en dire plus ?
 Apple Computer 
--------------------------------------------------
tu n'as pas un logiciel de p2p, tu le confirme ?

Sponsor P2P 
---------------------------------------------

docbrown69 · Answer

Oui j'ai bien Microsoft Windows Defender (antispyware ?)
Plus précisément voici ce que j'ai (fait en visualisant "about Windows Defender")
Windows Defender Version:  1.1.1593.0
Engine Version: 1.1.2803.0
Definition Version:  1.21.2837.1
Product ID: 81664-280-8359872-04129

For more information on Windows Defender and available support options, visit https://www.microsoft.com/fr-fr/security?rtc=1

C'est mon assembleur de PC qui m'a mis ce logiciel ......

-----------------------------------------------------------------------------------------------------------------------------

Concernant Apple Computer, tu veux aussi des infos c'est ça ? je pense que c'est pour les mises à jour de Quick Time + I Tunes.

-----------------------------------------------------------------------------------------------------------------------------

J'ai un logiciel de P2P, il s'apelle eChanblard https://www.ustart.org

Utilisateur anonyme · Answer

Ok,
apparement il est clean---->
[4] -> Sponsor P2P 
rien en -dessous.
---------------------------------------------------------------
 eChanblard https://www.ustart.org
je ne connaissais...pas du tout !
----------------------------------------------------------
bien fais ceci:
dans cette page, télécharges muti-virus cleaner.
https://leblogdeclaude.blogspot.com/2007/08/eradiquer-le-worms-versbagle-et.html
fais un scan minutieux.
postes le rapport

docbrown69 · Answer

Bonsoir,

Je viens de faire tourner multi-virus Cleaner.

Tout d'abord j'avais le choix entre analyse rapide, complète, approfondie et personnalisée. J'ai choisi complète comme indiqué dans ton tuto sur ton blog, en effet je n'ai pas trouvé d'option "minutieux".
Et comme sur ton tuto j'ai laissé décoché "analyser la mémoire".
J'ai tout bon ?

Sinon il ne m'a sorti aucun rapport, est-ce normal ?
Il m'a juste dit qu'il n'y avait aucun virus. je crois que le message précis est "aucun fichier infecté détecté"

docbrown69 · Answer

Ouh zut j'ai laissé mon antivirus déconnecté pendant 1/2 h en restant sur la page du forum "virus, sécurité"

Ca craint rien j'espère ? Rassures moi !

merci

Utilisateur anonyme · Answer

pas de soucis, sans fire-wall est beaucoup plus risqué.
Je pense à un truc...
fais ou refais ceci:
https://leblogdeclaude.blogspot.com/2007/07/virus-ramass-sur-msn.html

docbrown69 · Answer

ok, mon fire-wall était connecté mais vu que c'est celui de XP, hum hum ..... je sais que tu n'a pas confiance en celui-ci

voici le rapport : 

MSN_Fix 1.468  
 
C:\Documents and Settings\Propri‚taire\Bureau\MSNFix\MSNFix 
Fix exécuté le 23/08/2007 - 18:23:34,23 By Propri‚taire 
mode normal    
    
************************ Recherche les fichiers présents      
    
Aucun Fichier trouvé 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
************************ Fichiers suspects 
 
Aucun Fichier trouvé 
 
  
 
------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   ---------------------------------------------

Utilisateur anonyme · Answer

pas confiance, le mot est faible !
ça ou rien, pour moi c'est la même chose...
je te conseille ou reconseille d'installer illico un fire-wall...sinon, tu vas te réinfecté, ça c'est une certitude à 1000% !
https://leblogdeclaude.blogspot.com/2006/10/informatique-comment-se-protger-si-on.html

docbrown69 · Answer

Mince alors j'ai du mal interprété ce qui était dit sur ton blog : "Ensuite ne rien installer durant la tentative de décontamination." Du coup je n'ai rien installé du tout.
Mais en effet avant il y a "Si tu réponds c ou e vas faire un tour illico ici.", ayant répondu c j'aurais peut-être du installer un firewall de suite ou de te poser la question, mais j'avoue qu'à la vue de la phrase au dessus je ne l'ai pas fait pensant que j'allais tout faire rater .......

La je viens de faire plusieurs choses, tu m'arrêtes si j'ai fait une bétise !!!!!!

Je viens d'installer Zone Alarm 7.0.337.000 en version gratuite, je n'ai pas pris l'essai gratuit de la suite logicielle pendant 15 jours ......
Il m'a demandé de donner l'accès à un programme MSASCui.exe, apparemment c'est Windows Défender donc j'ai accepté.

Au fait j'avais SuperAntispyware qui se chargait à chaque démarrage de mon PC, du coup j'ai été dans les options et j'ai décoché le fait qu' à chaque démarrage de Windows il se lance, c'est ok ?

Je ne sais pas si cela vient de moi mais mon depuis l'install de ZA, mon PC est plus lent au démarrage !?!?

Donc là j'ai Avast + ZA, me conseilles-tu une autre combinaison dans le domaine du gratuit ? 
Ou bien penses-tu qu'il me faudrait investir dans une suite logicielle de sécurité, j'ai vu que toi tu utlises F-Secure ..... moi j'avais un oeil sur BitDefender .......

J'espère sérieusement que mon PC n'est pas à nouveau infecté ? Je suis en train de me filer une trouille ....

D'ailleurs est-ce que je peux me permettre de te demander où nous en sommes de la désinfection, on avance bien ?

Utilisateur anonyme · Answer

Au fait j'avais SuperAntispyware qui se chargait à chaque démarrage de mon PC, du coup j'ai été dans les options et j'ai décoché le fait qu' à chaque démarrage de Windows il se lance, c'est ok ? 
-----------------------------> Trés bonne initiative.(aucun logiciel scanner "bestioles" ne dois démarrer, à part le fire-wall/antivir )
Kerio est plus léger, ou alors c'est le couple Avast /ZAlarm.
Perso je trouve que Avast est gourmand en ressource. Antivir est plus léger.
Perso je te conseille de virer Avast, et de le remplacer par Antivir.
Les mises à jour (Antivir ) de la liste virale est plus énergique façe au invasion virales.

Donc 1  essayes de virer, Avast.
Remplace par Antivir.
Regarde alors si ça te convient.
Si pas , vire alors Zone-alarm et remplace par Kerio, ou alors GhostWall. (pas mal aussi)
http://www.ghostsecurity.com/downloads/ghostwall_setup.exe

docbrown69 · Answer

Bonjour, Bonjour,

J'espère que tu vas bien .....

J'ai de nouveau suivi tes conseils et je vais te dire ce que j'ai fait, tu m'arrêtes si je me suis trompé : 

1/ J'ai désintallé Avast et je l'ai remplacé par Antivir (la version décrite ci-dessous) : 
    
Build-Number build.dat 247 10/05/2007
Search engine avewin32.dll 7.04.01.63 25/08/2007
Virus definition file antivir.vdf 6.39.01.42 24/08/2007
Control Center avcenter.exe 7.01.00.05 27/03/2007
Config Center avconfig.exe 7.01.00.02 27/03/2007
Luke Filewalker avscan.exe 7.00.04.15 20/04/2007
Archive Library avpack32.dll 7.03.00.15 25/08/2007
AntiVir Guard avguard.exe 7.00.00.52 28/03/2007
Filter avgntflt.sys 6.39.00.05 02/05/2007
Scheduler sched.exe 7.00.00.46 16/04/2007
Updater update.exe 1.02.10.06 04/04/2007

J'ai fait une installation complète, il m'a demandé si je voulais faire une mise à jour de suite, je l'ai faite. 
Ensuite vu que j'avais encore Zone Alarm il m'a demandé plein d'accès programme que j'ai accepté :
   - avguard.exe
   - avgnt.exe
   - sched.exe
   - update.exe
   - avnotify.exe
   - avcenter.exe
Mais bon je pense que cela aura peu d'importance par la suite, tu verras.

Sinon 3 petites questions sur Antivir : 
       - J'ai cru lire qu'il n'avait pas de scan des mails, ayant Outlook 2003 en logiciel de messagerie, est-ce important ou pas ?
       - Je ne suis pas un fou de l'anglais, je dirais même plus que je n'y comprends pas grand chose, quand tu as une alerte antivirus qu'elle option doit-on choisir : celle qu'il propose par défaut ou bien il faut changer (j'ai noté sur un site qu'il y avait Move to quarantaine, delete, rename, Acces Deny, Ignore et un autre souvent grisé "repair"). J'aurais tendance à dire que par défaut il te propose la bonne option, non ?
       - Dois-je paramétrer d'autres choses sur cet antivirus que je ne maitriserais pas comme toi ?

Suite à ce premier changement, le PC redémarrait plus vite mais ce n'était pas encore ça ......

Donc j'ai continué à faire ce que tu me conseillais.

2/ J'ai désinstallé Zone Alarm (voila pourquoi je pense que les demandes d'accès plus haut ont peu d'intérêt) et j'ai installé Kerio (je ne peux pas faire de copier coller de la version mais apparemment c'est la 4.5.916)

J'ai fait une install simple (en anglais il y'avait écrit no popup mode (ou node))
Et lui ne m'a demandé aucun accès programme et à tout fait automatiquement apparemment.
J'ai vu que c'était une version d'essai de 30 jours et qu'ensuite tu perds des options (apparemment peu utile pour des utilisateurs occasionnels comme moi)

1 question sur Kerio : 

   - Dois-je paramétrer d'autres choses sur ce firewall que je ne maitriserais pas comme toi ?

Et là au redémarrage de mon PC, c'est nickel car cela va beaucoup plus vite ! 

Par contre je me permet de te reposer la question, est-ce que cela vaudrait le coup d'investir dans une "suite de sécurité (antivirus, firewall, etc .....)

Au fait je voulais te dire que depuis que je fait la désinfection avec ton aide, je ne fais que surfer sur "comment ça marche"et quasiment rien d'autres, je n'utilise plus Outlook ou d'autres loficiels, je n'installe rien et ne désinstales rien que tu ne m'autorises pas à faire.
En effet j'avais lu que tant que tu ne déclarais pas mon PC Clean, il faut respecter tout ceci, j'ai toujours tout bon ?
De plus je me dépanne avec un portable.

En tout cas ton aide est vraiment précieuse .........

Voila voila !!!!! que dois je faire ensuite ?

Encore merci mille fois ....

Thierry

Utilisateur anonyme · Answer

bien, je vois que tu avances dans le bon sens.
"Par contre je me permet de te reposer la question, est-ce que cela vaudrait le coup d'investir dans une "suite de sécurité (antivirus, firewall, etc"
je te conseille vivement F-secure Internet security....simple fonctionnel efficace, et sans prose de tête, mon PC est protégé par ça...et rien à dire depuis 2005.
Le gratuit reste le gratuit ! avec les risques potentiels de se faire infecté.
Seconde chose, comme je le préconnise ici....il m'a fallu un sacré chemin d'ailleurs pour enfin comprendre qu'il faut arrêter de rapatrier ses Mails sur son PC...
regardes ici:
https://leblogdeclaude.blogspot.com/2006/10/informatique-comment-se-protger-si-on.html
pour moi ça se résume en une seule chose....Gmail, je lui fais confiance depuis quelques années. Jamais eu aucun soucis !
Et quid de mes autres adresses mails?
Ben, pas de soucis tu rajoute tes comptes, et il va te rappatrier, les autres comptes si tu le désires....depuis lors , je diminue trés fortement une sacrée source de contaminantion...via Mails.
Avec outlook, tu rappatries les mails sur ton PC !
Pas bon !
Kerio je ne connais pas dans le détail, mais tu as des tutos...
genre à ceci:
https://forums.cnetfrance.fr
a+

docbrown69 · Answer

Ok je note que le gratuit reste le gratuit mais que penses tu des autres suites (hors F-Secure) : ex Bit Defender, Panda, GDA etc ..... ?

Concernant les mails je suis bien embêté car je synchronisais jusqu'à ma contamination mon PDA avec Outllook, toutefois rien ne m'oblige à rapattrier mes mails, je peux juste synchroniser et utiliser pour les mails GMail ou bien j'ai aussi un oeil sur Yahoo mail (d'ailleurs que penses-tu de yahoo mail ?)
Ou alors peut-être puis-je synchroniser mon PDA avec autre chose ?

Sinon je sais que tu préconises Mozilla, ça modifie beaucoup le surf ? Car je veux bien changer mais je me souviens que tu disais de garder IE (au cas où pour certains sites), c'est ça ? 

Sinon concernant ma décontamination, considères-tu que mon PC est clean dorénavant ou pas ? Car je n'ose plus rien faire avec, tu vas me prendre pour un fou .... 
Comme je te l'ai déjà dit pour l'instant je n'utilse que mon portable !!!!!
Et vu que tu écris ceci sur ton blog "La désinfection du PC est terminée ,seulement quand je déclare le PC clean.
Pas avant....Un PC peut parfaitement avoir l'air de fonctionner normalement, tout en étant encore infecté ! Une extrême prudence est donc de rigeur. Respectez donc mon feu vert !" et que je suis très discipliné, j'attends ...

Dois faire d'autres manips ?

Merci encore

Utilisateur anonyme · Answer

que penses tu des autres suites
j'ai Bitdefender sur un autre PC, mais il ne surfe presque pas.
A mon avis , tout----->sauf Norton !
regardes ici, mais on trés vite le tour des bons logiciels...
F-secure est trés simple et éfficace, maintenant ton choix peut être guidé vers d'autres critères, à toi de voir donc...
http://dr-malware.com
-----------------------------
Je ne conseille pas Yahoo mail...quand je vois le bazar que mets les leur toolbar !!! (brr)
-----------------------------
Sinon je sais que tu préconises Mozilla, ça modifie beaucoup le surf ?
oui, de telle façon qu'il est moins dangereux !!!
Sinon avec l'adsl et les machinnes actuelles pas de différences notoires....si ce n'est la sécurité.
-----------------------------------------------------------------------------------------------
Sinon concernant ma décontamination, 
fais ceci:
avec Internet Explorer.... (^^)
http://support.f-secure.fr/fra/home/ols.shtml
les résultats sont fiables...si tu en désires plus---->
https://leblogdeclaude.blogspot.com/2006/10/informatique-scan-en-ligne.html
----
comment se comporte le PC ?

docbrown69 · Answer

Ok je note pour les suites, je me déciderais un peu plus tard.

Yahoo Mail ? c'est bien dommage car l'interface et vraiment sympa. Mais la toolbar Yahoo, on est pas obligé de l'installer ?

Alors sinon comme d'hab voici ce que j'ai fait, tu m'arrêtes si je me suis trompé : 

J'ai installé Moziilla en version standard avec tout ce que tu préconises (AdBlock Plus et Mac Afee SiteAdvisor).
Par contre depuis que je l'ai installé j'ai Antivir qui me met une alerte à chaque démarrage de Mozilla

Il me dit que dans C\Windows\System32\43538122ld.exe, il a trouvé un "Trojan horse" dénomée TR/Agent.37478 et à chaque fois il me propose de faire Acces Deny et je le fais. Que dois-je faire de plus .. ?

Sinon j'ai F-Secure en ligne (il m'a demandé d'installer un controle active X) 
Et j'ai fait un "full system scan".

A un moment Kerio m'a déclenché une alerte dont voici la description : 

Détails techniques sur l'intrusion :

Application injectrice : C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe(new line)
Description : fssm32(new line)
Version du fichier : 7.50.13332.1(new line)
Produit : F-Secure Corp. fssm32(new line)
Version du produit : 7.50.13332.1(new line)
Créé le : 2007/8/26, 08:22:46(new line)
Modifié le : 2007/8/26, 08:22:46(new line)
Dernier accès le : 2007/8/26, 08:28:21

Application cible : C:\WINDOWS\Explorer.EXE(new line)
Description : Explorateur Windows(new line)
Version du fichier : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)(new line)
Produit : Système d'exploitation Microsoft® Windows®(new line)
Version du produit : 6.00.2900.2180(new line)
Créé le : 2006/3/2, 12:00:00(new line)
Modifié le : 2006/3/2, 12:00:00(new line)
Dernier accès le : 2007/8/26, 07:30:49

Adresse de l'injection : 0x00BE0000

Le scan à continué et au final il a trouvé ceci : 

Scanning Report
Sunday, August 26, 2007 10:28:19 - 10:56:07

Computer name: PCTHIERRYETLISE
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\
Result: 8 malware found
Tracking Cookie (spyware)

    * System (Disinfected)
    * System
    * System
    * System
    * System
    * System
    * System
    * System 

Statistics
Scanned:

    * Files: 34118
    * System: 4451
    * Not scanned: 15 

Actions:

    * Disinfected: 1
    * Renamed: 0
    * Deleted: 0
    * None: 7
    * Submitted: 0 

Files not scanned:

    * C:\PAGEFILE.SYS
    * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
    * C:\DOCUMENTS AND SETTINGS\PROPRI&#65533;TAIRE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS DEFENDER\FILETRACKER\{6AF9CEFB-8E57-41F5-B1AF-78FF005A2477}
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\032DB7F6CA7D5E3568707565917EA6E8_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\0FE853E9D7124E74333A595482456D81_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\2729627890C941E1919E04D192363821_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\572DC89994B69BC3B5A671207D2A6600_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\5E0C18BC06F3138CE9AC912694E1408A_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\824B99BF2748CD78346573882D62237E_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\96E0B25857450F0AA8B33DEF246340AF_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\A09A079E70AC10B0B9B2CE90EFE71969_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\BD9163B3838899119F854020C4658204_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\C439704F4D17B108F548F8A8570BF683_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\DC3954A471C426A1DE647478CCA9A5F6_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\FAA976D7D06B038BE05973726DF2BA2C_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A 

Options
Scanning engines:

    * F-Secure Libra: 2.4.2, 2007-08-24
    * F-Secure AVP: 7.0.171, 2007-08-24
    * F-Secure Orion: 1.2.37, 2007-08-24
    * F-Secure Blacklight: 1.0.64
    * F-Secure Draco: 1.0.35, 0598-150-72
    * F-Secure Pegasus: 1.19.0, 2007-07-20 

Scanning options:

    * Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB BAT LNK ANI AVB CEO CMD LSP MAP MHT MIF PDF PHP POT WMF NWS TAR TGZ WSF ZL? {* ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
    * Use Advanced heuristics 

      Copyright © 1998-2006 Product support |Send virus sample to F-Secure
      F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.

Voila sinon à part ça comme tu me le demandes, le PC se comporte largement mieux que quand j'ai écris mon premier message ....

@ + 

Thierry

Utilisateur anonyme · Answer

fais une recherche de 43538122ld.exe
localise-le pour le faire scanner (puis le renommer/ puis supprimer )
je me méfierai de ceci:
43538122ld.exe
fais ceci, scan le fichier suspect avec Virus Total 
postes le rapport de Virus Total.
j'ai un doute.
si  on voit que c'est une bestiole renommes-le en rajoutant l'extension .vir au bout, ce qui va l'annuler.
Regarde ensuite si ça ne perturbe pas le system.
Si pas, effaces/supprimes la chose....
revéfivier ensuite si ça ne s'auto- réactive pas, on sait jamais....dès fois que le cheval de troie soit entrer et fait son travail...
il se peut aussi que F-secure l'a viré.

docbrown69 · Answer

Eh mince si ça se trouve j'ai chopé une nouvelle salopri .....

Il a fallu que je déconnecte Antivir le temps de l'analyse par virus Total, sinon je n'arrivais pas à envoyer le fichier.

Voici le rapport de Virus Total, je n'en ai pas fait plus pour l'instant, j'ai peur de faire une betise :

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2007.8.25.0 2007.08.24 - 
AntiVir 7.4.1.63 2007.08.25 TR/Agent.37478 
Authentium 4.93.8 2007.08.26 - 
Avast 4.7.1029.0 2007.08.26 - 
AVG 7.5.0.484 2007.08.25 - 
BitDefender 7.2 2007.08.26 DeepScan:Generic.Malware.MN!dld.FD5D4377 
CAT-QuickHeal 9.00 2007.08.25 (Suspicious) - DNAScan 
ClamAV 0.91 2007.08.26 - 
DrWeb 4.33 2007.08.26 Trojan.Packed.155 
eSafe 7.0.15.0 2007.08.26 Suspicious Trojan/Worm 
eTrust-Vet 31.1.5085 2007.08.24 - 
Ewido 4.0 2007.08.26 - 
FileAdvisor 1 2007.08.26 - 
Fortinet 2.91.0.0 2007.08.26 - 
F-Prot 4.3.2.48 2007.08.26 - 
F-Secure 6.70.13030.0 2007.08.26 - 
Ikarus T3.1.1.12 2007.08.26 - 
Kaspersky 4.0.2.24 2007.08.26 - 
McAfee 5105 2007.08.24 New Poly Win32 
Microsoft 1.2803 2007.08.26 - 
NOD32v2 2484 2007.08.25 Win32/TrojanProxy.Agent.MX 
Norman 5.80.02 2007.08.24 - 
Panda 9.0.0.4 2007.08.26 Suspicious file 
Prevx1 V2 2007.08.26 Trojan.RPCC.Payload 
Rising 19.37.62.00 2007.08.26 - 
Sophos 4.21.0 2007.08.26 - 
Sunbelt 2.2.907.0 2007.08.25 VIPRE.Suspicious 
Symantec 10 2007.08.26 - 
TheHacker 6.1.9.173 2007.08.26 - 
VBA32 3.12.2.3 2007.08.26 - 
VirusBuster 4.3.26:9 2007.08.25 - 
Webwasher-Gateway 6.0.1 2007.08.26 Trojan.Agent.37478 
Information additionnelle 
File size: 37478 bytes 
MD5: 9157cd432f4a741159638a7be5d4cdc5 
SHA1: 0e2927a1764f41c88fda2c864d6af058fcb11d34 
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=373690996690760692BC00B06F4AC0007D2ADF20 
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. 

Que fais-je ? J'ai l'impression que je ne vais pas m'en sortir ...... :-)

Utilisateur anonyme · Answer

d'abord pas de panique; on l'a localisé / ---->détruits l'intrus.
https://leblogdeclaude.blogspot.com/2007/03/informatique-supprimer-un-programme.html
fais un scan avec antivir ensuite.
Déconnecté et terminant le plus de processus possible.
Postes le rapport

docbrown69 · Answer

Salut,

Tout d'abord une petite question : est-ce possible qu' Adblockplus est un impact sur I.E. ? 
En effet j'ai des pubs avec I.E qui ne s'affiche plus ?!?! A moins que cela ne vienne de Kerio ..... ? 

En effet ensuite il y a un autre truc bizarre par exemple sur le tuto de ton blog, je ne vois aucune des images que tu proposes et si je cliques sur l'une d'entre-elles j'ai le droit à un message qui dit "Ad blocked here by KPF." qui s'affiche.

Enfin pour revenir à l'intrus, en regardant ton tuto donc à l'aveuglette ;-) Je n'arrive rien à faire de ce que tu demandes : ainsi dans le processus du gestionnaire des taches je ne vois pas le fichier à terminé/tué et dans Hijackthis pareil .... ?????

Bizarre, bizarre .......

Utilisateur anonyme · Answer

re,
pour adblock ajoute une execption (préférences) dans la liste liste blanche.
tu peux aussi désactivé pour mon site, à coté de l'icone Adblock (espèce de sens interdit) tu clic sur la toute petite flèche et tu coche autoriser.A ce moment-là ça devient vert.
tu dois aussi t'abonner, comme ça tu aras des listes à jour:
https://adblockplus.org/fr/subscriptions

------
Adblockplus est un impact sur I.E. , non, c'est Kerio.
------------
tu veux dire que tu as perdu " 43538122ld.exe " ?

docbrown69 · Answer

Alors en fait c'est bien Kerio qui bloquait les images de ton blog, en effet il a eu options "bloquer les publicités" et apparemment il est un peu violent et il fait double emploi avec Adblockplus ....... j'ai décoché cette option et maintenant je vois les images de ton blog ;-)

Non je n'ai pas perdu 43538122ld.exe, je le vois en utilisant l'explorer de Windows. 
Par contre en suivant ton tuto, je ne le trouve ni dans le gestionnaire des taches de Windows ni dans Hijackthis "options => ouvrir le processus" pour le désactivé/terminé/tuer.

Ou alors je me trompe de façon de procéder ?

Thierry

Utilisateur anonyme · Answer

bien, c'est que le processus n'existe en temps que tel !
pas lancé...donc évidemment invisible dans les processus !
43538122ld.exe à détruire donc.
s'il te complique la vie---->
https://leblogdeclaude.blogspot.com/2007/03/informatique-supprimer-un-programme.html

docbrown69 · Answer

A détruire en faisant un clic droit => supprimer directement sur explorer ou en utilisant Hijackthis et l'option supprimer fichier au reboot (comme dans ton tuto) ?

Je te fais un scan antivir ensuite avec rapport à poster ici ?

Utilisateur anonyme · Answer

essaye d'abord le plus simple effectivement:
supprimer directement sur explorer
si ça va pas tu essayes avec Hijackthis
https://leblogdeclaude.blogspot.com/2007/03/informatique-supprimer-un-programme.html

docbrown69 · Answer

Alors j'ai réussi à le supprimer sur explorer.

Je suis en train de faire un scan antivir (comme tu me l'avais demandé plus) et il m'a déjà détecté 3 trucs, j'ai choisi à chaque fois l'option qu'il me proposait par défaut et qui était "move to quarantaine"

Je te postes le rapport dès que c'est fini.

A suivre ....... :-)

Utilisateur anonyme · Answer

move to quarantaine
bonne option, ça laisse en fait une possibilité de marche arrière...ça arrive parfois, il y a des faux positifs...donc  attention !
Surtout que tu en a une paire sur ton PC...geenre Smitfraud/clean.zip/lopxp/combofix.exe /ect...en général les antivirus, on tendance à virer les outils !...LOL !

docbrown69 · Answer

Ok alors j'ai un petit souci j'ai scanné une première fois et j'ai eu 4 alertes finalement mais j'ai paumé le rapport, hum hum ....... !!!!! Promis j'ai pas fait express ;-)

Bon je vais te décrire ce que j'ai en quarantaine (je peux même pas faire de copier coller, grrrrr)

1/ Filename : SDFix.exe
Filename : C:\Documents and Settings\Propriétaire\Bureau\SDFix.exe
Quanrantine object : 4719200d.qua
Restored : NO
Sent to Antivir : NO
Operating System : Windows NT/2000/XP Workstation
Search engine : 7.04.01.63
Virus definition File : 6.39.01.50
Detection : Contains suspicious code HEUR/Exploit.HTML
Date/Time : 27/08/2007, 21:02

2/ Filename : FIXLM.reg
Filename : C:\Documents and Settings\Propriétaire\Bureau\SDFix\apps\FIXLM.reg
Quanrantine object : 472b204a.qua
Restored : NO
Sent to Antivir : NO
Operating System : Windows NT/2000/XP Workstation
Search engine : 7.04.01.63
Virus definition File : 6.39.01.50
Detection : Contains suspicious code HEUR/Exploit.HTML
Date/Time : 27/08/2007, 21:03

3/ Filename : C:\Program Files\Navilog1
avilog1.bat
Quanrantine object : 474922a4.qua
Restored : NO
Sent to Antivir : NO
Operating System : Windows NT/2000/XP Workstation
Search engine : 7.04.01.63
Virus definition File : 6.39.01.50
Detection : Contains suspicious code HEUR/Exploit.HTML
Date/Time : 27/08/2007, 21:13

4/ Filename : C:\WINDOWS\system32\osa9.exe~
Quanrantine object : 47342551.qua
Restored : NO
Sent to Antivir : NO
Operating System : Windows NT/2000/XP Workstation
Search engine : 7.04.01.63
Virus definition File : 6.39.01.50
Detection : Is the Trojan horse TR/Crypt.XPACK.gen
Date/Time : 27/08/2007, 21:24

Voila tout ce que j'ai en quarantaine, piourf c'est long à recopier !!!!!

Ensuite j'ai fait une deuxième scan dont voici cette fois le rapport : 

AntiVir PersonalEdition Classic
Report file date: lundi 27 août 2007  21:50

Scanning for 1036264 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         Propriétaire
Computer name:    PCTHIERRYETLISE

Version information:
BUILD.DAT    : 247           14437 Bytes  10/05/2007 11:55:00
AVSCAN.EXE   : 7.0.4.15     282664 Bytes  20/04/2007 11:37:14
AVSCAN.DLL   : 7.0.4.4       33832 Bytes  27/03/2007 11:31:54
LUKE.DLL     : 7.0.4.11     143400 Bytes  27/03/2007 11:26:04
LUKERES.DLL  : 7.0.4.0       10280 Bytes  19/03/2007 11:18:59
ANTIVIR0.VDF : 6.35.0.1    7371264 Bytes  31/05/2006 13:08:58
ANTIVIR1.VDF : 6.39.0.129  7251968 Bytes  10/07/2007 09:35:53
ANTIVIR2.VDF : 6.39.1.43   1542656 Bytes  25/08/2007 09:35:14
ANTIVIR3.VDF : 6.39.1.50     27648 Bytes  27/08/2007 15:50:34
AVEWIN32.DLL : 7.4.1.63    2724352 Bytes  25/08/2007 09:35:54
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26/02/2007 09:36:26
AVPREF.DLL   : 7.0.2.1       24616 Bytes  27/03/2007 11:31:50
AVREP.DLL    : 7.0.0.1      155688 Bytes  16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15     360488 Bytes  25/08/2007 09:35:54
AVREG.DLL    : 7.0.1.2       31784 Bytes  15/03/2007 08:05:08
AVEVTLOG.DLL : 7.0.0.18      86056 Bytes  27/03/2007 11:16:05
AVARKT.DLL   : 1.0.0.17     278568 Bytes  02/05/2007 10:32:26
NETNT.DLL    : 7.0.0.0        7720 Bytes  08/03/2007 10:09:42
RCIMAGE.DLL  : 7.0.1.15    2228264 Bytes  13/03/2007 09:46:18
RCTEXT.DLL   : 7.0.45.0      86056 Bytes  19/03/2007 11:42:42

Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: lundi 27 août 2007  21:50

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'iPodService.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'LSSrvc.exe' - '1' Module(s) have been scanned
Scan process 'kpf4ss.exe' - '1' Module(s) have been scanned
Scan process 'epmworker.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'Generic.exe' - '1' Module(s) have been scanned
Scan process 'CapabilityManager.exe' - '1' Module(s) have been scanned
Scan process 'mnyexpr.exe' - '1' Module(s) have been scanned
Scan process 'wcescomm.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'RTHDCPL.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'realsched.exe' - '1' Module(s) have been scanned
Scan process 'WinSys2.exe' - '1' Module(s) have been scanned
Scan process 'Application Launcher.exe' - '1' Module(s) have been scanned
Scan process 'E_FATIACE.EXE' - '1' Module(s) have been scanned
Scan process 'MSASCui.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'MsMpEng.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
42 processes with 42 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '24' files ).


Starting the file scan:

Begin scan in 'C:\' <Systeme>
C:\pagefile.sys
      [WARNING]   The file could not be opened!


End of the scan: lundi 27 août 2007  22:12
Used time: 22:22 min

The scan has been done completely.

   4186 Scanning directories
 253057 Files were scanned
      0 viruses and/or unwanted programs were found
      0 classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
 253057 Files not concerned
   2519 Archives were scanned
      1 Warnings
      0 Notes
      0 Hidden objects were found

Thierry

docbrown69 · Answer

Ah mince je viens de retrouver le premier rapport il est stocké sur Antivir ....... ouin ouin ouin, j'ai tout recopié pour rien ..... AntiVir PersonalEdition Classic Report file date: lundi 27 août 2007 21:01 Scanning for 1036264 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 2) [5.1.2600] Username: Propriétaire Computer name: PCTHIERRYETLISE Version information: BUILD.DAT : 247 14437 Bytes 10/05/2007 11:55:00 AVSCAN.EXE : 7.0.4.15 282664 Bytes 20/04/2007 11:37:14 AVSCAN.DLL : 7.0.4.4 33832 Bytes 27/03/2007 11:31:54 LUKE.DLL : 7.0.4.11 143400 Bytes 27/03/2007 11:26:04 LUKERES.DLL : 7.0.4.0 10280 Bytes 19/03/2007 11:18:59 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 13:08:58 ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10/07/2007 09:35:53 ANTIVIR2.VDF : 6.39.1.43 1542656 Bytes 25/08/2007 09:35:14 ANTIVIR3.VDF : 6.39.1.50 27648 Bytes 27/08/2007 15:50:34 AVEWIN32.DLL : 7.4.1.63 2724352 Bytes 25/08/2007 09:35:54 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26 AVPREF.DLL : 7.0.2.1 24616 Bytes 27/03/2007 11:31:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24 AVPACK32.DLL : 7.3.0.15 360488 Bytes 25/08/2007 09:35:54 AVREG.DLL : 7.0.1.2 31784 Bytes 15/03/2007 08:05:08 AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27/03/2007 11:16:05 AVARKT.DLL : 1.0.0.17 278568 Bytes 02/05/2007 10:32:26 NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42 RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13/03/2007 09:46:18 RCTEXT.DLL : 7.0.45.0 86056 Bytes 19/03/2007 11:42:42 Configuration settings for the scan: Jobname..........................: Local Drives Configuration file...............: C:\Program Files\AntiVir PersonalEdition Classic\alldrives.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: on Boot sectors.....................: F:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: lundi 27 août 2007 21:01 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'wscntfy.exe' - '1' Module(s) have been scanned Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned Scan process 'iPodService.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned Scan process 'LSSrvc.exe' - '1' Module(s) have been scanned Scan process 'kpf4ss.exe' - '1' Module(s) have been scanned Scan process 'epmworker.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'Generic.exe' - '1' Module(s) have been scanned Scan process 'CapabilityManager.exe' - '1' Module(s) have been scanned Scan process 'mnyexpr.exe' - '1' Module(s) have been scanned Scan process 'wcescomm.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'RTHDCPL.exe' - '1' Module(s) have been scanned Scan process 'rundll32.exe' - '1' Module(s) have been scanned Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned Scan process 'jusched.exe' - '1' Module(s) have been scanned Scan process 'realsched.exe' - '1' Module(s) have been scanned Scan process 'WinSys2.exe' - '1' Module(s) have been scanned Scan process 'Application Launcher.exe' - '1' Module(s) have been scanned Scan process 'E_FATIACE.EXE' - '1' Module(s) have been scanned Scan process 'MSASCui.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'MsMpEng.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 42 processes with 42 modules were scanned Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Boot sector 'D:\' [NOTE] No virus was found! Boot sector 'A:\' [NOTE] In the drive 'A:\' no data medium is inserted! Starting to scan the registry. The registry was scanned ( '24' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\Documents and Settings\Propriétaire\Bureau\SDFix.exe [0] Archive type: RAR SFX (self extracting) --> SDFix\apps\FIXLM.reg [DETECTION] Contains suspicious code HEUR/Exploit.HTML [INFO] The file was moved to '4719200d.qua'! C:\Documents and Settings\Propriétaire\Bureau\SDFix\apps\FIXLM.reg [DETECTION] Contains suspicious code HEUR/Exploit.HTML [INFO] The file was moved to '472b204a.qua'! C:\Program Files\Navilog1 avilog1.bat [DETECTION] Contains suspicious code HEUR/Exploit.HTML [INFO] The file was moved to '474922a4.qua'! C:\WINDOWS\system32\osa9.exe~ [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen [INFO] The file was moved to '47342551.qua'! Begin scan in 'D:\' D:\Ma musique\Albums\FR Intégral JEAN JACQUES GOLDMAN - 174 Mp3 - 12 Albums + 1 INEDIT by Nanouland.ace [0] Archive type: ACE --> Int‚gral - Jean Jacques Goldman\07 - Traces (1989) - Live\01 - Famille (Live).mp3 [WARNING] Error creating the file --> Int‚gral - Jean Jacques Goldman\04 - Non homologu‚ (1985)\01 - Compte pas sur moi.mp3 [WARNING] No further files can be extracted from this archive. The archive will be closed [WARNING] No further files can be extracted from this archive. The archive will be closed D:\Ma musique\Albums\Henri Des comptines 12 albums complet par oncleblu.rar [0] Archive type: RAR --> La.R‚cr‚.-.Les.jolies.chansons.de.nos.Enfants--_--.livret.illust [1] Archive type: ACE --> La R‚cr‚ - Une Souris Verte et les jolies chansons de nos Enfants\Avignon.jpg [WARNING] Error creating the file --> La R‚cr‚ - Une Souris Verte et les jolies chansons de nos Enfants\Dodo_l'enfant_do.jpg [WARNING] No further files can be extracted from this archive. The archive will be closed [WARNING] No further files can be extracted from this archive. The archive will be closed D:\Ma musique\Albums\L5_Retiens Moi Nouveau Album 128 kbps+Cover par Ade.ace [0] Archive type: ACE --> L5_Retiens Moi Nouveau Album 128 kbps+Cover par Ade\L5 - 12-EtrangŠre.mp3 [WARNING] Error creating the file --> L5_Retiens Moi Nouveau Album 128 kbps+Cover par Ade\L5 - 01-Aime.mp3 [WARNING] No further files can be extracted from this archive. The archive will be closed [WARNING] No further files can be extracted from this archive. The archive will be closed D:\Ma musique\Albums\Star Academy 2 Nouveau Album 128 kbps+covers par Ade.ace [0] Archive type: ACE --> Star Academy 2 Nouveau Album 128 kbps+covers par Ade\Star Academy 2 - Les Ann‚es Berger\01. Musique.mp3 [WARNING] Error creating the file --> Star Academy 2 Nouveau Album 128 kbps+covers par Ade\Star Academy 2 - Les Ann‚es Berger\02. Le Paradis Blanc.mp3 [WARNING] No further files can be extracted from this archive. The archive will be closed [WARNING] No further files can be extracted from this archive. The archive will be closed Begin scan in 'A:\' Search path A:\ could not be opened! Le périphérique n'est pas prêt. Begin scan in 'E:\' Search path E:\ could not be opened! Le périphérique n'est pas prêt. Begin scan in 'F:\' Search path F:\ could not be opened! Le périphérique n'est pas prêt. End of the scan: lundi 27 août 2007 21:47 Used time: 45:45 min The scan has been done completely. 4592 Scanning directories 294210 Files were scanned 4 viruses and/or unwanted programs were found 3 classified as suspicious: 0 files were deleted 0 files were repaired 4 files were moved to quarantine 0 files were renamed 1 Files cannot be scanned 294203 Files not concerned 2728 Archives were scanned 13 Warnings 0 Notes 0 Hidden objects were found

Utilisateur anonyme · Answer

tiens ! ils ont collé un spyware dans Office ? de mieux en mieux !

4/ Filename : C:\WINDOWS\system32\osa9.exe~ 
-----------
comme je te le disais....faux positif !
1/ Filename : SDFix.exe
Filename : C:\Documents and Settings\Propriétaire\Bureau\SDFix.exe
Quanrantine object : 4719200d.qua
Restored : NO
Sent to Antivir : NO
Operating System : Windows NT/2000/XP Workstation
Search engine : 7.04.01.63
Virus definition File : 6.39.01.50
Detection : Contains suspicious code HEUR/Exploit.HTML
Date/Time : 27/08/2007, 21:02

2/ Filename : FIXLM.reg
Filename : C:\Documents and Settings\Propriétaire\Bureau\SDFix\apps\FIXLM.reg
Quanrantine object : 472b204a.qua
Restored : NO
Sent to Antivir : NO
Operating System : Windows NT/2000/XP Workstation
Search engine : 7.04.01.63
Virus definition File : 6.39.01.50
Detection : Contains suspicious code HEUR/Exploit.HTML
Date/Time : 27/08/2007, 21:03

3/ Filename : C:\Program Files\Navilog1
avilog1.bat
Quanrantine object : 474922a4.qua
Restored : NO
Sent to Antivir : NO
Operating System : Windows NT/2000/XP Workstation
Search engine : 7.04.01.63
Virus definition File : 6.39.01.50
Detection : Contains suspicious code HEUR/Exploit.HTML
Date/Time : 27/08/2007, 21:13

docbrown69 · Answer

Ok alors que me conseilles-tu concernant ces 4 découvertes dont 3 faux positifs ?

Utilisateur anonyme · Answer

ces 4 découvertes dont 3 faux positifs
ne pas laisser l'antivirus toucher à ça.
Perso je colle tous mes outils dans un dosier "outils" et je fais une règle d'exception avec l'anti-virus.(sinon à chaque scan...c'est rebelote !), ok ?

docbrown69 · Answer

D'accord je comprends le principe, c'est facile à faire sur Antivir ?

Par contre pour ces 4 qui sont en quarantaine, que fais-je ? Je les restaure, j'en restaure certains ?

Utilisateur anonyme · Answer

tous...oui.
Sauf---->
celui qui me déconcerte c'est le 4 --->C:\WINDOWS\system32\osa9.exe~ 
vérifies que ça correspond à office, j'ai un petit doute mais bon !
je le verrais plus dans ---->c:\program files\office   ou un truc du genre, non ?

docbrown69 · Answer

C'est fait j'ai restauré les 3 et le 4ème correspond apparemment bien à office .....

Eh mince une nouvelle alerte Antivir 

Virus or unwanted program 'TR/Agent.37478 [TR/Agent.37478]'
detected in file 'C:\System Volume Information\_restore{524E58EA-578B-4CE7-9BF7-2AE83E31DD36}\RP12\A0001251.exe.
Action performed: Deny access

Comme tu peux le voir en action j'ai fait "Deny Access"

Je fais quoi, on dirait le même qui s'est étendu, grrrrr ......

piourf j'en peux plus :-)

Utilisateur anonyme · Answer

ben, tu as un point de restauration infecté....
je te conseille donc de les virer.
virus system volume information

docbrown69 · Answer

Alors j'ai fait ce qui était expliqué c'est à dire de cocher "désactiver la restauration système". C'est ok 

Ensuite dans la foulée, il est demandé de créer un point de restauration et là tu es obligé de décocher "désactiver la restauration système", en fait tu as pas vraiment le choix.

Et là j'ai vu qu'il ne restait qu'un seul point de restauration celui qui s'est créé en automatique à 21 h 11

C'est bon ? Ou je n'ai rien compris ?

docbrown69 · Answer

Au final j'ai scanné avec Antivir juste C:\System Volume Information 

Voici le rapport 

AntiVir PersonalEdition Classic
Report file date: mardi 28 août 2007  21:17

Scanning for 1037656 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         Propriétaire
Computer name:    PCTHIERRYETLISE

Version information:
BUILD.DAT    : 247           14437 Bytes  10/05/2007 11:55:00
AVSCAN.EXE   : 7.0.4.15     282664 Bytes  20/04/2007 11:37:14
AVSCAN.DLL   : 7.0.4.4       33832 Bytes  27/03/2007 11:31:54
LUKE.DLL     : 7.0.4.11     143400 Bytes  27/03/2007 11:26:04
LUKERES.DLL  : 7.0.4.0       10280 Bytes  19/03/2007 11:18:59
ANTIVIR0.VDF : 6.35.0.1    7371264 Bytes  31/05/2006 13:08:58
ANTIVIR1.VDF : 6.39.0.129  7251968 Bytes  10/07/2007 09:35:53
ANTIVIR2.VDF : 6.39.1.43   1542656 Bytes  25/08/2007 09:35:14
ANTIVIR3.VDF : 6.39.1.56     46080 Bytes  28/08/2007 17:36:28
AVEWIN32.DLL : 7.4.1.63    2724352 Bytes  25/08/2007 09:35:54
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26/02/2007 09:36:26
AVPREF.DLL   : 7.0.2.1       24616 Bytes  27/03/2007 11:31:50
AVREP.DLL    : 7.0.0.1      155688 Bytes  16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15     360488 Bytes  25/08/2007 09:35:54
AVREG.DLL    : 7.0.1.2       31784 Bytes  15/03/2007 08:05:08
AVEVTLOG.DLL : 7.0.0.18      86056 Bytes  27/03/2007 11:16:05
AVARKT.DLL   : 1.0.0.17     278568 Bytes  02/05/2007 10:32:26
NETNT.DLL    : 7.0.0.0        7720 Bytes  08/03/2007 10:09:42
RCIMAGE.DLL  : 7.0.1.15    2228264 Bytes  13/03/2007 09:46:18
RCTEXT.DLL   : 7.0.45.0      86056 Bytes  19/03/2007 11:42:42

Configuration settings for the scan:
Jobname..........................: ShlExt
Configuration file...............: C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\e0b57e95.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:, 
Scan memory......................: on
Process scan.....................: off
Scan registry....................: off
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mardi 28 août 2007  21:17

Starting the file scan:

Begin scan in 'C:\System Volume Information'


End of the scan: mardi 28 août 2007  21:17
Used time: 00:02 min

The scan has been done completely.

      1 Scanning directories
      0 Files were scanned
      0 viruses and/or unwanted programs were found
      0 classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      0 Files cannot be scanned
      0 Files not concerned
      0 Archives were scanned
      0 Warnings
      0 Notes
      0 Hidden objects were found

Utilisateur anonyme · Answer

En fait tu as cocher...xp a virer illico les points de restauration, dont celui infecté (j'ai pas encore vu de logiciel capable d'aller mettre son nez dans les points de restaurations !) ...quand on recoche il en a recrée un.
En fait quand 1 point est infecté....il faut vier tout...pas le choix...puis recocher (pour en refaire un)
A noter que xp fait un pont de restauration automatiquement toute les 24 heure je pense, et de plus à chaque gros install...

docbrown69 · Answer

ok donc je me suis pas trop mal débrouillé alors ?

Dis moi ce que tu me conseilles de faire ensuite ? 
Car sage comme je suis j'attends toujours ton feu vert (PC Clean) pour surfer comme avant avec mon PC ....... :-)

Utilisateur anonyme · Answer

Bien....refais un scan en ligne.
F-secure + Bitdefender.
Dés fois que !
https://leblogdeclaude.blogspot.com/2006/10/informatique-scan-en-ligne.html
poste les rapports.

docbrown69 · Answer

Il faut bien que je déconnecte Antivir ?

docbrown69 · Answer

Du coup je n'ai pas déconnecté Antivir, j'espère qu'il n'y aura pas trop d'incidence ?

Je peux le refaire sans Antivir si besoin .......

J'ai donc fait le scan en ligne de F-Secure.
Pendant le scan j'ai Antivir qui m'a balancé 1 alerte sur un faux positif : navilog1.bat, j'ai ignoré l'alerte vu ce que tu m'avais dit précédemment.

J'ai eu aussi une alerte Kerio dont voici le rapport, rien d'anormal j'espère ?

Détails techniques sur l'intrusion :

Application injectrice : C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe(new line)
Description : fssm32(new line)
Version du fichier : 7.50.13332.1(new line)
Produit : F-Secure Corp. fssm32(new line)
Version du produit : 7.50.13332.1(new line)
Créé le : 2007/8/26, 08:22:46(new line)
Modifié le : 2007/8/26, 08:22:46(new line)
Dernier accès le : 2007/8/28, 20:22:10

Application cible : C:\WINDOWS\Explorer.EXE(new line)
Description : Explorateur Windows(new line)
Version du fichier : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)(new line)
Produit : Système d'exploitation Microsoft® Windows®(new line)
Version du produit : 6.00.2900.2180(new line)
Créé le : 2006/3/2, 12:00:00(new line)
Modifié le : 2006/3/2, 12:00:00(new line)
Dernier accès le : 2007/8/28, 17:34:13

Adresse de l'injection : 0x00A60000

Sinon voici le rapport de F-Secure : 

Scanning Report
Tuesday, August 28, 2007 22:21:41 - 22:56:11

Computer name: PCTHIERRYETLISE
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\
Result: 1 malware found
Tracking Cookie (spyware)

    * System (Disinfected) 

Statistics
Scanned:

    * Files: 34327
    * System: 4488
    * Not scanned: 15 

Actions:

    * Disinfected: 1
    * Renamed: 0
    * Deleted: 0
    * None: 0
    * Submitted: 0 

Files not scanned:

    * C:\PAGEFILE.SYS
    * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
    * C:\DOCUMENTS AND SETTINGS\PROPRI&#65533;TAIRE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS DEFENDER\FILETRACKER\{F6B07FE8-22E6-4CAE-B867-186585D45278}
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\032DB7F6CA7D5E3568707565917EA6E8_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\0FE853E9D7124E74333A595482456D81_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\2729627890C941E1919E04D192363821_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\572DC89994B69BC3B5A671207D2A6600_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\5E0C18BC06F3138CE9AC912694E1408A_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\824B99BF2748CD78346573882D62237E_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\96E0B25857450F0AA8B33DEF246340AF_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\A09A079E70AC10B0B9B2CE90EFE71969_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\BD9163B3838899119F854020C4658204_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\C439704F4D17B108F548F8A8570BF683_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\DC3954A471C426A1DE647478CCA9A5F6_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A
    * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\FAA976D7D06B038BE05973726DF2BA2C_33FC896B-EC8B-490B-9D7A-1F94FACF6F2A 

Options
Scanning engines:

    * F-Secure Libra: 2.4.2, 2007-08-28
    * F-Secure AVP: 7.0.171, 2007-08-28
    * F-Secure Orion: 1.2.37, 2007-08-28
    * F-Secure Blacklight: 1.0.64
    * F-Secure Draco: 1.0.35, 2007-08-20
    * F-Secure Pegasus: 1.19.0, 2007-07-20 

Scanning options:

    * Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB BAT LNK ANI AVB CEO CMD LSP MAP MHT MIF PDF PHP POT WMF NWS TAR TGZ WSF ZL? {* ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
    * Use Advanced heuristics 

      Copyright © 1998-2006 Product support |Send virus sample to F-Secure
      F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.

Ensuite j'ai lancé un scan avec BitDefender en ligne, toujours avec Antivir connecté .....

J'ai eu deux alertes de la part d'Antivir : encore 2 faux positifs : navilog1.bat et FIXLM.reg, là aussi j'ai ignoré ces deux alertes.

Sinon voici le rapport de BitDefender : 

BitDefender Online Scanner - Real Time Virus Report

Generated at: Tue, Aug 28, 2007 - 23:57:09

Scan Info

Scanned Files

247194

Infected Files

0

Virus Detected

No virus found.

This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.

Utilisateur anonyme · Answer

Bien, d'après eux tu es clean...
Juste pour info, désactives toujour ton Anti-virus avec un san en ligne, sinon les deux vont se suivrent.
Pas le fire-wall.
En règle général fais un AFT-cleaner+CCleaner avant un scan anti-virus.
Mais ici ton PC n'avait presque rien comme intrus...pour moi c'est ok.

docbrown69 · Answer

Merci beaucoup cela fait plaisir comme nouvelle, je vais pouvoir reprendre une activité normale avec mon PC c'est cool.

Sinon j'aurais toujours une ou deux questions pour toi, si cela ne t'embête pas bien sur :-)

Je commence par la première : Est-ce que je laisse les Mises à jours de Windows Update désactivés ?

Utilisateur anonyme · Answer

" Est-ce que je laisse les Mises à jours de Windows Update désactivés ?"
Non....je ne suis pas partisans de ce fait :-/....du tout !
Un PC fonctionne , nickel...puis un jour une mise à jour N° bidule, vient  mettre un joyeux  "bazar" dans une machine qui fonctionnait nickel !
...manque de bol le désinstall ne va plus...Grrrrr
Qu'à celà ne tienne ! Autre idée !
La restauration Ststème ne fonctionne plus, tu vois le truc ? :-////
Tu prends la photo de ta tête en souvenir...^^ 
Et tu peux me croire que c'est du vécu...à méditer...la mise à jour auto...NON.
-----------------------------------

docbrown69 · Answer

Mince alors ça m'embête un peu car j'ai besoin des mises à jour du courrier indésirable Outlook, remarque je dois pouvoir aller chercher ça en manuel ...... 
Une petite question : Tu risques quoi comme genre de bazar ? les mises à jours de sécurité ne sont elle pas censés renforcer Windows et tous ses éléments ...... ?

Une autre petite question : sur IE j'étais automatiquement reconu sur certains forums, mais là avec Mozilla je retape le pseudo et le mot de passe, est-ce normal ?

Merci encore pour tout et pour le temps que tu consacres à me répondre.

docbrown69 · Answer

Au fait concernant les mises à jour j'ai oublié de préciser que je passe par Microsoft Update (avec Office etc ....) et non Windows Updae, je ne sais pas si cela à une grande importance mais je voulais t'en faire part.

Sinon concernant la deuxième question, je parle de forums mais pour l'instant je n'ai tester qu'avec Comment ça marche, il faudrait que je vois avec d'autres que je fréquentes pour voir si ce n'est pas qu'une spécificité du forum où nous conversons .....

docbrown69 · Answer

Oublions la deuxième question car cela marche très bien sur un des forums que je fréquente le plus et maintenant ça marche ici, il me reconnait ^^ Tu vas peut être me dire que ce n'est pas forcément bien
En tout cas pour ici cela vient peut-être du fait que je me connectais à la fois de ce PC et à la fois du portable qui m'a servi en secours.

Alors restons sur l'autre question (je répète :-p) : Tu risques quoi comme genre de bazar ? les mises à jours de sécurité ne sont elle pas censés renforcer Windows et tous ses éléments ...... ?

Utilisateur anonyme · Answer

salut à toi,
"Une petite question : Tu risques quoi comme genre de bazar ? les mises à jours de sécurité ne sont elle pas censés renforcer Windows et tous ses éléments ...... ? "
Pour info, mon expérience en la matière m'a fait rencontrer des crash total de machine PC à cause de mise à jour Microsoft.
Comme je te dis, n'effectue que certaines mises à jour....vérifie toujours avec le n° de mise à jour, si elles n'ont pas posées trop de problèmes sur Google, tu veux un exemple ?
Je peux t'en donner des milliers, mais bon, voici la première qui me tombe sous la main...
Et note qu'une des conclusions est ---->
Depuis, j'ai enlevé l'AutoUpdate, et je verifie chaque KB avant install
http://blogs.developpeur.org/themit/archive/2005/12/23/16040.aspx

je te suggère ceci comme démarche...si tu veux plus d'info et que tu "t'auto-persuades" du bien fondé de mon affirmation (il me semble avoir du mal-là !---->LOL) recherches avec Google:
"problème mise à jour kb":
https://www.google.fr/search?hl=fr&q=probl%C3%A8me+mise+%C3%A0+jour+kb&btnG=Recherche+Google&meta=&gws_rd=ssl
lis et persuades-toi que ma démarche bassée sur mon expérience est bien fondée.
Ca me ferai plaisir (d'une certaine façon) que tu en sorte avec cette conviction "Depuis, j'ai enlevé l'AutoUpdate, et je verifie chaque KB avant install", perso je trouve cette démarche intelligente et sensée....à toi de voir sur ce point ...Oufti ! là, j'ai épuisé mes ressources en matière de persuasion sur ce point 'mdr)
celà répond donc à ta question finale...
Alors restons sur l'autre question (je répète :-p) : Tu risques quoi comme genre de bazar ? les mises à jours de sécurité ne sont elle pas censés renforcer Windows et tous ses éléments ...... ?

--------------------------------------------------------------------------------------------------------------------------------------------------------
"sur IE j'étais automatiquement reconu sur certains forums, mais là avec Mozilla je retape le pseudo et le mot de passe, est-ce normal ? "
ça c'est une question de gestion de cookies....à conserver et à mettre au frais !
Perso sur CCM jamais eu ce soucis...il est à parier que CCM gère la reconnaissance des adresse IP! Tous les forum ne le font pas !
Ce qui fait qu'avec un coup de AFT-cleaner tu enlèves tous tes cookies ! Conclusion si tu trouves que le fait de retaper ton nom d'utisateur et pass sur certains sites est une contrainte, je crois qu'il existe des petits utilitaire pour ça:
genre à ceci :
http://minelog.com/telecharge2-217-14-13061.html
il y en a des milliers d'autres ! a toi de rechercher, s'il ne te convient pas.Perso....je préfère ma tête ...MDR !
-----------------------------------------------------------------------------------------------------------------

docbrown69 · Answer

Je te reposais cette question car je pense que si tu m'incites fortement à ne plus faire les mises à jour auto, c'est que tu as une bonne raison et tu es vraiment en train de me convaincre, reste juste à savoir comment je procède.
Ton niveau de compétence en informatique et l'aide que tu m'as donné sur mon souci de virus me font dire que je peux vraiment te faire confiance.

Par contre à ton avis comment je fais pour savoir si des mises à jour sont dispo ?

       1 - Je vais voir directement sur le site de Windows, je regarde ce qui est dispo et je sélectionne ce que je veux ? Et donc je laisse les mises à jours désactivé (comme c'est le cas à ce jour) ?
       2 - Je coche "Avertir en cas de nouvelles mise à jour mais sans télécharger" dans l'onglet mise à jour auto ?
       3 - Je coche "Télécharger automatiquement les mises à jours et avertir lorsqu'elle sont prêtes à être installées" dans ce même onglet ?

J'aurais tendance à penser de prendre l'option 2, ainsi je suis averti sur mon PC et j'installe si je veux, qu'en penses-tu ?

Si j'ai tout bien compris, il me faut donc, pour chaque KB, chercher dans Google  en tapant "problème mise à jour KBXXXXXX", c'est ça ?
Ainsi je pourrais savoir si quelqu'un a eu un souci ? Et installer ou non en fonction de ceci ....
Bon ça me fait un peu peur car directement sur le site de Windows j'ai en mise à jour critiques 86 éléments rien que pour moi, gloups !!!

Enfin je me répètes mais tu es train de me convaincre de faire ainsi car tant qu'à faire autant que je maitrises ce que je fais rentrer sur mon PC !!!!!

Et toi tu fais ces mises à jours en analysant ou tu ne fais pas du tout de mises à jour ?

Sinon pour revenir sur la reconnaissance sur forum, j'ai remarqué que cela se faisait (pour CCM entres autres) qu'en je me connecte d'un autre PC sur ce forum, sinon en fait il  me reconnait bien.

docbrown69 · Answer

Au fait pour info j'ai coché la pastille comme quoi mon problème était résolu car je penses que c'est le cas. J'ai bien fait ou pas ?

Par contre on peut toujours converser ici pour que je te demande encore quelques petits conseils ? ^^

Utilisateur anonyme · Answer

pas de soucis comme le posy t'appartient en priororité, à chaque fois que tu vas rajouter un message ici je vais le voir directement dans mes sujets en cours.
Ne post plus rien après ce message, sauf si tu as un truc à demander, ok
a+ donc.
cordialement

docbrown69 · Answer

Salut salut,

Tu as du oublié de lire la réponse n° 74, en effet en cliquant tu as du arriver directement sur le 75 (le rajout que j'ai fait après)

Et donc en 74 j'avais écrit ceci pour te répondre au 73 et avoir des conseils de ta part, je pense que tu ne l'as pas vu : 

" Je te reposais cette question car je pense que si tu m'incites fortement à ne plus faire les mises à jour auto, c'est que tu as une bonne raison et tu es vraiment en train de me convaincre, reste juste à savoir comment je procède.
Ton niveau de compétence en informatique et l'aide que tu m'as donné sur mon souci de virus me font dire que je peux vraiment te faire confiance.

Par contre à ton avis comment je fais pour savoir si des mises à jour sont dispo ?

1 - Je vais voir directement sur le site de Windows, je regarde ce qui est dispo et je sélectionne ce que je veux ? Et donc je laisse les mises à jours désactivé (comme c'est le cas à ce jour) ?
2 - Je coche "Avertir en cas de nouvelles mise à jour mais sans télécharger" dans l'onglet mise à jour auto ?
3 - Je coche "Télécharger automatiquement les mises à jours et avertir lorsqu'elle sont prêtes à être installées" dans ce même onglet ?

J'aurais tendance à penser de prendre l'option 2, ainsi je suis averti sur mon PC et j'installe si je veux, qu'en penses-tu ?

Si j'ai tout bien compris, il me faut donc, pour chaque KB, chercher dans Google en tapant "problème mise à jour KBXXXXXX", c'est ça ?
Ainsi je pourrais savoir si quelqu'un a eu un souci ? Et installer ou non en fonction de ceci ....
Bon ça me fait un peu peur car directement sur le site de Windows j'ai en mise à jour critiques 86 éléments rien que pour moi, gloups !!!

Enfin je me répètes mais tu es train de me convaincre de faire ainsi car tant qu'à faire autant que je maitrises ce que je fais rentrer sur mon PC !!!!!

Et toi tu fais ces mises à jours en analysant ou tu ne fais pas du tout de mises à jour ?

Sinon pour revenir sur la reconnaissance sur forum, j'ai remarqué que cela se faisait (pour CCM entres autres) qu'en je me connecte d'un autre PC sur ce forum, sinon en fait il me reconnait bien.

Configuration: Windows XP
Firefox 2.0.0.6 "

Utilisateur anonyme · Answer

j'avais pas vu....sorry !

"Par contre à ton avis comment je fais pour savoir si des mises à jour sont dispo ? "
Je ne peux que te donner mon opinion sur la "chose".
Ne pas cocher la case des mises à jour automatique.
.
Un PC peut parfaitement fonctionner avec les mises à jour du SP1, en fait le SP1 est un pack d'une suite de mise à jour.
Une fois installé XP pro fonctionne parfaitement.
Ensuite est venu l'usine à gaz du SP2 qui inclus le SP1 + un tas de mises à jour.
Pour s'en convaincre:
liste des correctifs SP1
https://support.microsoft.com/en-us/help/324720/
liste des correctifs SP2
https://support.microsoft.com/en-us/help/811113/
perso mon PC n'a pas digéré le SP2, certain élèments on fichu le "bazar" j'ai du faire une restauration système pour le remettre d'aplomb !
Ceci dit beaucoup de PC le diggère sans sourciller, je ne rentre pas ici dans la polémique SP2 ou pas...chaque cas est différent.
Ce que mon expérience m'a appris...je ne colle pas SP2 sur un vieux PC,  après 2003  les PC semblent mieux le digérer!
Donc sur ce point, chacun voit ça avec sa machine, en souhaitant que la restauration Système fonctionne, ou le désinstall...si jamais ça bloque en plein désinstall...on est bon pour un reéinstall complet et propre ! (formatage+ réinstall complet XP SP1) Le Net grouille d'exemples concrets de cas d'indigestion du SP2.
Maintenant, Microsoft fait toujours des mises à jours de son produit....pratiquement, si on s'y connait pas il est préférable de laisser les mises à jour sur "auto", si on s'y connait un minimum, on filtre via Microsoft update, et avant de downloader on tapes le n° de mise à jour dans google.
ex:  problème mise à jour KB 905915
http://blogs.developpeur.org/themit/archive/2005/12/23/16040.aspx
en résumer si l'on tient à faire une mise à jour n° KB xxxxxx on recherche dans Google pour voir si elle pose problème ou pas.
"Et toi tu fais ces mises à jours en analysant ou tu ne fais pas du tout de mises à jour ? "
Perso, je ne m'occupe plus des mises à jour et mon PC fonctionne merveilleusement bien.( j'ai d'autres chats à fouetter, que de mettre le bazar dans mon propre ordi !)
Ce qui fait qu'en définitive, un PC fonctionne parfaitement avec le SP1.
Un PC peut fonctionne parfaitement avec le SP2...puis un beau jour "crashé" à cause d'une mise à jour . Il n'y a plus qu'à souhaiter à ce moment là que l'on a eu la bonne idée, d'activer la restauration Système, et que la désinstallation de la mise à jour se passe bien...dans le cas contraire, bonne chance !
En conclusion, c'est à toi de choisir ce qu'il est préférable de faire pour ta machine.
Je peux juste t'informer qu'un PC fonctionne parfaitement sans mise à jour automatique....;-)
Ta décision t'appartient en connaissance de cause.

docbrown69 · Answer

Dis-moi tu ne m'en voudras pas si je remets les mises à jour auto en marche ?

En effet quand je lis que tu dis que si l'on s'y connait un minimum, on filtre avec Microsoft Update. 
Certes je me débrouille un peu en informatique mais je dois avouer que parfois cela me dépasse un peu surtout dans la description des mises à jours, je ne comprends pas tout. J'ai peur de perdre un temps fou avant de savoir si je fais ou non la mise à jour.

Sinon pour info mon PC m'a été livré d'entrée de jeu avec le SP2 (il est d'ailleurs d'office sur mon CD de XP Edition Familiale),
Mon PC date de cette année (2007), donc si je regarde bien ce que tu dis il doit mieux digérer le SP 2 que les vieux PC d'avant 2003.

Tu m'as convaincu dans ta façon de m'expliquer le pourquoi du comment des mises à jour, toutefois je préfères laisser mon PC le faire lui même car j'ai vraiment peur de perdre mon temps à cause de ma petite expérience. J'espère ne pas avoir à m'en mordre les doigts.

J'espère que tu comprendras mon point de vue.

Je remets en marche les mises à jour en croisant les doigts pour que tout se passe bien. 

Thierry

Utilisateur anonyme · Answer

"J'espère ne pas avoir à m'en mordre les doigts. "
tu l'as dit toi-même...
en fait rien de tel que sa propre expérience en la matière !
Vérifies toutefois si tes points de restauration se font correctement...si j'étais toi...je ferais un Ghost de mon PC actuel...ça peut toujours servir !
En gros...ton Pc à le sp2...et il fonctionne bien.
Fais donc un point de restauration avant de faire une mise à jour...on sait jamais qu'elle te mette le bazar !

;-)

docbrown69 · Answer

Comme d'habitude arrêtes moi si je dis des bétises ......

Apparemment les points de restauration se font correctement en automatique avant les mises à jour, c'est bien ceux qui s'appelle "software distribution 3.0". 
Car là je viens de faire une grosse mise à jour (77 éléments en tout) et un point de resto comme celui dont je viens de parler s'est créé.

Toutefois avant chaque mise à jour ou nouveau programme, en général je crée un point de restauration en manuel ......

Au fait qu'appelles tu un ghost ?

Dis moi dans toutes les manips pour le nettoyage que nous avons faites ensemble, on a remis à zéro pas mal de choses non ?
Ex : Les mises à jour XP (77 au total rien que ce jour à moins que ce soit normal), le lecteur Windows media (en effet je n'ai plus la version 11),  etc ...... 
C'est normal je pense mais confirme moi ;-)

Sinon je voulais revenir sur le sujet du webmail car je voulais en utiliser un nouveau, je sais que tu utilises Gmail mais je dois avouer que je n'aime pas trop et donc j'avais lorgné sur Yahoo Mail mais tu m'avais déconseillé vu que leur Toolbar est merdique.
Dis moi si je n'utilises pas la Toolbar, est-ce que le fait de n'utiliser que le webmail peut me causer des soucis ?
Pourquoi j'aime bien Yahoo Mail ? pour l'interface, le stockage illimité ! Et je compte réduire tous mes mails à 2 uniquement (ce que Yahoo propose), c'est à dire un sérieux (prénom.nom) et un autre moins sérieux (pour mes collègues etc ....) et faire disparaitre la bonne douzaine que j'ai créé auparavant .......

Utilisateur anonyme · Answer

C'est normal je pense mais confirme moi ;-) 
normal oui....
", le lecteur Windows media (en effet je n'ai plus la version 11)
tu n'imagines le nombre de soucis qu'à engendré et engendre encore cette usine à gaz....
jamais il ne passera sur mon ordi, la 10 fonctionne nickel....attention à la 11 !
Tu comprends pourquoi...je ne mets pas les mises à jour auto !
Niet !
-----------------
'Dis moi si je n'utilises pas la Toolbar'
bonne idée...je remarque qu'au Canada il n'aime pas du tout....
Le principal est de ne pas utilser Outlook
Et de ne pas pas rapatrier les mails sur le PC.
Sauf ceux que tu certifies être sûr ! Attention aux  usurpations...mon père s'est fait "couillonner" comme ça !
Et vu que c'est un Mac...ben, il a appeler le technicien au-secour !!! (LOL)
-------------------------
Apparemment les points de restauration se font correctement en automatique avant les mises à jour,
vérifies bien...surtout au train ou tu y vas...LOL
;-)

docbrown69 · Answer

Au fait tu m'as pas dit ce qu'était un ghost ?

En tout cas je vais rester à la version 10 de Windows Média (comme toi) en plus pour ça tu as le choix au moment de la mise à jour et tu peux même désinstaller après coup, j'avoue que moi aussi j'ai eu quelques soucis à le faire marcher correctement dans le passé .......

Qu'est-ce qu'il n'aime pas beaucoup au Canada ?..... la Toolbar ?
En tout cas si tu me confirmes que je peux utiliser Yahoo Mail sans risques tant que je n'utilises pas cette satané Toolbar ? Je vais vite foncer dessus ......

Au train où j'y vais, bah dis que je suis un fou furieux pendant que tu y est, non mais lol ;-)

En tout cas, je vais me répéter mais ton aide a vraiment été précieuse, ensuite tu m'as convaincu sur beaucoup de choses à faire ou à ne pas faire comme l'utilisation de Mozilla, Antivir, Kerio et bien d'autres encore. 
Pour les mises à jour auto, c'est encore un peu délicat pour moi mais un jour je ferais peut-être comme toi ....... ;-p
Encore merci du temps que tu consacres à mes questions .....

Utilisateur anonyme · Answer

ghost....?
une image de ton disque c:
ah, oui je parle de ça ici:
https://leblogdeclaude.blogspot.com/2007/01/informatique-problme-disque-dur-externe.html
----------------------------------------
affirmatif : Toolbar Yahoo...d'après quelques-uns de mes contacts, ils n'aiment pas du tout.
 Yahoo Mail sans risques
oui, mais c'est comme pour tout si tu colles une pièce jointe sur ton bureau, il est impératif de la scanner à l'anti-virus avant...et à l'anti-spyware aussi...genre AVG.
--------------------------------------------------
a+ ;-)

docbrown69 · Answer

Ok je vois ce qu'est un  Ghost maintenant .....
Mais dis moi tu parles de tout sur ton blog ;-) une vraie bibliothèque de l'informatique et du web !

Tu sais concernant les Toolbar, je n'aime pas tout simplement, que ce soit n'importe laquelle j'ai tendance à désintaller ou a faire désinstaller si j'en vois chez d'autres personnes (ex : ma mère etc .....)
J'ai tendance à dire que ce sont des nids à me..e :-) après peut-être que je généralise un peu trop !

Sinon si tu me dis que pour Yahoo Mail c'est ok, eh bien je vais pas tarder à foncer.
Au fait tu sais qu'il intègre Norton Antivirus à chaque chargement de pièces jointes ? Je ne sais pas ce que ça vaut par contre !!!!!

Sinon j'avais une autre question : Tous les outils, logiciels que tu m'as fait installé, il faut que je les garde ?

Utilisateur anonyme · Answer

"Tu sais concernant les Toolbar, je n'aime pas tout simplement"
Tu as raison, ce sont toutes des espions....sans généraliser !

Faut se mettre en tête que c'est le but caché....
---------------------------
"Au fait tu sais qu'il intègre Norton Antivirus à chaque chargement de pièces jointes"
D'accord disons que c'est mieux que rien....
---->Sinon j'avais une autre question : Tous les outils, logiciels que tu m'as fait installé, il faut que je les garde ?
Je te conseille de virer les installations, et de garder les installs ou les zip sur un DVD, comme ça tu ne dois plus télécharger en cas de besoin !

docbrown69 · Answer

Ok mais désinstaller, réinstaller régulièrement, ça ne risque pas de foutre un peu la zizanie ?

C'est bizarre mais tous les outils logiciels que tu m'as fait télécharger, j'ai cru que tu m'avais dit de les mettre dans un dossier "outils" en créant une règle d'exception sur Antivir, je me trompe ?

Une nouvelle question : parmi tous ces outils que me conseilles tu de faire régulièrement et surtout à quelle fréquence ?

Utilisateur anonyme · Answer

"
C'est bizarre mais tous les outils logiciels que tu m'as fait télécharger, j'ai cru que tu m'avais dit de les mettre dans un dossier "outils" en créant une règle d'exception sur Antivir, je me trompe ?
"
perso j'ai les outils sur un DD externe, fichiers d'install, + installés en permanence dans un dossier Outil.
-----------------------------------------------------------------------------------------
Note:
----------------------
Si tu as Combofix, désinstalles-le et vires-le, il y a un doute, que je n'ai pu éclaicir à ce sujet...l'outil aurait subi une attaque d'un Rootkit.
Perso , jamais eu de soucis avec ça, mais bon !
Le Net est bourrer de fausses alertes !
Mais par prudence s'il est sur ton PC tu le vires.
Pour tous les autres aucun soucis en vue....
-------------------
"parmi tous ces outils que me conseilles tu de faire régulièrement et surtout à quelle fréquence ?"
Aft-cleaner ...après chaque session sur le NET.
Pour les autres, ça dépend de ta protection...perso une fois par mois (j'ai F-secure Internet secutity 2007)
Si tu as du gratuit, une fois la semaine pour scanner avec Spybot + AVG + Superantispyware
+ CCleaner
https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-de-nettoyage.html
Si tu as un doute, tu fais la longue:
https://leblogdeclaude.blogspot.com/2006/10/informatique-procdure-de-nettoyage.html
et pour les détails plus croustillants...tu postes un message ici en dessous, comme ça je vois toujours si tu as besoin d'aide....
a+

Infection myalbum2007.zip

88 réponses

Discussions similaires