Windows security alert
Résolu
Guillo
-
armando -
armando -
aprés avoir fait encore une fois smitFraud fix option 1 voici le rapport obtenu :
SmitFraudFix v2.219
Rapport fait à 12:58:02,09, 04/09/2007
Executé à partir de C:\Documents and Settings\cornichon\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Synapse Développement\Synapse Update\Synapse Update.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\hijackthis\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
Fichier hosts corrompu !
192.168.200.3 download.microsoft.com
192.168.200.3 downloads.microsoft.com
192.168.200.3 go.microsoft.com
192.168.200.3 microsoft.com
192.168.200.3 msdn.microsoft.com
192.168.200.3 office.microsoft.com
192.168.200.3 support.microsoft.com
192.168.200.3 windowsupdate.microsoft.com
192.168.200.3 www.microsoft.com
192.168.200.3 pandasoftware.com
192.168.200.3 www.pandasoftware.com
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\printer.exe PRESENT !
C:\WINDOWS\system32\WinAvXX.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\cornichon
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\cornichon\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
C:\DOCUME~1\CORNIC~1\MENUDM~1\PROGRA~1\DMARRA~1\system.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\CORNIC~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\system32\\hadjajr.ini"
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Intel(R) PRO/100 VE Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 194.117.200.10
DNS Server Search Order: 194.117.200.15
HKLM\SYSTEM\CCS\Services\Tcpip\..\{40E24F4F-E927-4805-AE45-DF87DC58F615}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{40E24F4F-E927-4805-AE45-DF87DC58F615}: NameServer=194.117.200.10,194.117.200.15
HKLM\SYSTEM\CS1\Services\Tcpip\..\{40E24F4F-E927-4805-AE45-DF87DC58F615}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{40E24F4F-E927-4805-AE45-DF87DC58F615}: NameServer=194.117.200.10,194.117.200.15
HKLM\SYSTEM\CS3\Services\Tcpip\..\{40E24F4F-E927-4805-AE45-DF87DC58F615}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{40E24F4F-E927-4805-AE45-DF87DC58F615}: NameServer=194.117.200.10,194.117.200.15
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.115.62 85.255.112.156
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.115.62 85.255.112.156
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.115.62 85.255.112.156
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
SmitFraudFix v2.219
Rapport fait à 12:58:02,09, 04/09/2007
Executé à partir de C:\Documents and Settings\cornichon\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Synapse Développement\Synapse Update\Synapse Update.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\hijackthis\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
Fichier hosts corrompu !
192.168.200.3 download.microsoft.com
192.168.200.3 downloads.microsoft.com
192.168.200.3 go.microsoft.com
192.168.200.3 microsoft.com
192.168.200.3 msdn.microsoft.com
192.168.200.3 office.microsoft.com
192.168.200.3 support.microsoft.com
192.168.200.3 windowsupdate.microsoft.com
192.168.200.3 www.microsoft.com
192.168.200.3 pandasoftware.com
192.168.200.3 www.pandasoftware.com
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\printer.exe PRESENT !
C:\WINDOWS\system32\WinAvXX.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\cornichon
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\cornichon\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
C:\DOCUME~1\CORNIC~1\MENUDM~1\PROGRA~1\DMARRA~1\system.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\CORNIC~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\system32\\hadjajr.ini"
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Intel(R) PRO/100 VE Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 194.117.200.10
DNS Server Search Order: 194.117.200.15
HKLM\SYSTEM\CCS\Services\Tcpip\..\{40E24F4F-E927-4805-AE45-DF87DC58F615}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{40E24F4F-E927-4805-AE45-DF87DC58F615}: NameServer=194.117.200.10,194.117.200.15
HKLM\SYSTEM\CS1\Services\Tcpip\..\{40E24F4F-E927-4805-AE45-DF87DC58F615}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{40E24F4F-E927-4805-AE45-DF87DC58F615}: NameServer=194.117.200.10,194.117.200.15
HKLM\SYSTEM\CS3\Services\Tcpip\..\{40E24F4F-E927-4805-AE45-DF87DC58F615}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{40E24F4F-E927-4805-AE45-DF87DC58F615}: NameServer=194.117.200.10,194.117.200.15
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.115.62 85.255.112.156
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.115.62 85.255.112.156
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.115.62 85.255.112.156
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
A voir également:
- Windows security alert
- Microsoft security essentials - Télécharger - Antivirus & Antimalwares
- Clé windows 8 - Guide
- Montage video windows - Guide
- Windows ne démarre pas - Guide
- Windows movie maker - Télécharger - Montage & Édition
132 réponses
Re,
Je voudrais que tu fasses ceci
1°- Tu acceptes de poursuivre la désinfection du PC en appliquant les consignes du post # 108 § C)-
2°- Tu lances FixWareout comme indiqué post 99
3°- Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau: < http://sosvirus.changelog.fr/MSNFix.zip >
• Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R Taper R puis [Enter]
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage
• Note : Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
--- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt; à poster SVP.
4°- 1)-Télécharger The Avenger par Swandog46 sur le Bureau avec ce lien: < http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ >
Click sur "Avenger.zip" pour ouvrir le fichier; en extraire "avenger.exe" sur votre bureau
2)-Sélectionner le texte ci-dessous, puis faire clic droit > copier:
Files to delete:
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\hadjajr.ini
Ouvrez le Bloc-Notes et clic sur le menu Edition/Coller afin d'en coller le contenu .
Important : Tu dois avoir le contenu du cadre ci-dessous dans le bloc-note, vérifié qu'il n'y a pas de lignes manquantes au début ou à la fin.
Enregistrez le fichier sur le bureau sous le nom "remove.txt" ( en faisant "fichier" > "enregistrer sous .. > choisir "bureau " > lui donner le nom " remove.txt ".
3)-Double-clic sur l'icône "avenger.exe" du bureau, puis [OK] ( sur le message qui s'affiche ).
•- Sous "Script file to execute" cocher le bouton ratio devant "Load Script from File"
•- Puis cliquer sur l'icône " en forme de dossier ".
< http://img78.imageshack.us/img78/5258/screenshot265wz9.gif >
Sur la page "Open script file" qui s'affiche, sélectionner le fichier "remove.txt" ( NB Il est dans le bureau )
Cliquez sur le "feu vert" pour lancer le script
Cliquez sur Oui
Acceptez de redémarrer ton pc.
5°- Fixe ces 4 lignes avec HJT :
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\hadjajr.ini
6°- Fais ensuite un ScanOnline chez Bitdefender :
< http://www.bitdefender.fr/bd/site/page.php > ou < https://www.bitdefender.fr/ >
( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX)
* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
* Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence )
Accepter et installer le contrôle des ActivesX
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.
(sauvegarder le rapport au format TEXTE svp. merci)
Clic sur "Enregistrer sous..." > enregistrer le rapport au format .txt ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier texte" (*.txt) > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum.
Aide en image MALEKAL_morte < https://www.malekal.com/scan-antivirus-ligne-nod32/ >
Tuto Morgane < http://pageperso.aol.fr/loraline60/bitdefender_scan.htm >
7°- ScanOnline PANDA
Fais un scan en ligne ici ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >
Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.
Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId23736 >
•A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse
•Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : < https://jetable.org/en/index >
•Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.
à+..
Al.
Je voudrais que tu fasses ceci
1°- Tu acceptes de poursuivre la désinfection du PC en appliquant les consignes du post # 108 § C)-
2°- Tu lances FixWareout comme indiqué post 99
3°- Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau: < http://sosvirus.changelog.fr/MSNFix.zip >
• Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R Taper R puis [Enter]
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage
• Note : Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
--- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt; à poster SVP.
4°- 1)-Télécharger The Avenger par Swandog46 sur le Bureau avec ce lien: < http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ >
Click sur "Avenger.zip" pour ouvrir le fichier; en extraire "avenger.exe" sur votre bureau
2)-Sélectionner le texte ci-dessous, puis faire clic droit > copier:
Files to delete:
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\hadjajr.ini
Ouvrez le Bloc-Notes et clic sur le menu Edition/Coller afin d'en coller le contenu .
Important : Tu dois avoir le contenu du cadre ci-dessous dans le bloc-note, vérifié qu'il n'y a pas de lignes manquantes au début ou à la fin.
Enregistrez le fichier sur le bureau sous le nom "remove.txt" ( en faisant "fichier" > "enregistrer sous .. > choisir "bureau " > lui donner le nom " remove.txt ".
3)-Double-clic sur l'icône "avenger.exe" du bureau, puis [OK] ( sur le message qui s'affiche ).
•- Sous "Script file to execute" cocher le bouton ratio devant "Load Script from File"
•- Puis cliquer sur l'icône " en forme de dossier ".
< http://img78.imageshack.us/img78/5258/screenshot265wz9.gif >
Sur la page "Open script file" qui s'affiche, sélectionner le fichier "remove.txt" ( NB Il est dans le bureau )
Cliquez sur le "feu vert" pour lancer le script
Cliquez sur Oui
Acceptez de redémarrer ton pc.
5°- Fixe ces 4 lignes avec HJT :
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\hadjajr.ini
6°- Fais ensuite un ScanOnline chez Bitdefender :
< http://www.bitdefender.fr/bd/site/page.php > ou < https://www.bitdefender.fr/ >
( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX)
* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
* Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence )
Accepter et installer le contrôle des ActivesX
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.
(sauvegarder le rapport au format TEXTE svp. merci)
Clic sur "Enregistrer sous..." > enregistrer le rapport au format .txt ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier texte" (*.txt) > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum.
Aide en image MALEKAL_morte < https://www.malekal.com/scan-antivirus-ligne-nod32/ >
Tuto Morgane < http://pageperso.aol.fr/loraline60/bitdefender_scan.htm >
7°- ScanOnline PANDA
Fais un scan en ligne ici ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >
Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.
Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId23736 >
•A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse
•Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : < https://jetable.org/en/index >
•Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.
à+..
Al.
Bonjour Al,
en reponse à ton topic 117, il n' ya qu'une méthode qui pouvait me laisser jusqu'au bout de l'operation. la 2eme :
Demarrer- executer : regedit puis double clic sur no panel control et affecté la valeur 00000000 mais rien n'a changé, impossible d'acceder au panneau de confirg, donc impossible de finir correctement la grande procédure corrigée que tu m'as indiqué sur la topic 108.
Guillo
en reponse à ton topic 117, il n' ya qu'une méthode qui pouvait me laisser jusqu'au bout de l'operation. la 2eme :
Demarrer- executer : regedit puis double clic sur no panel control et affecté la valeur 00000000 mais rien n'a changé, impossible d'acceder au panneau de confirg, donc impossible de finir correctement la grande procédure corrigée que tu m'as indiqué sur la topic 108.
Guillo
Bonjour guillo
Je n'ai que rarement vu aussi têtu.
À aucun moment tu n'as besoin d'accéder au panneau de configuration pour faire tout ce qui est dit au Post # 125.
Bonne journée
Al.
Je n'ai que rarement vu aussi têtu.
À aucun moment tu n'as besoin d'accéder au panneau de configuration pour faire tout ce qui est dit au Post # 125.
Bonne journée
Al.
Bonjour al,
J’ai fais la procédure du post 125 mais je crois que c’est un echec total :
Voici la rapport genéré par Fixwareout :
Username "cornichon" - 14/09/2007 15:24:17 [Fixwareout edited 9/01/2007]
~~~~~ Prerun check
Cache de résolution DNS vidé.
System was rebooted successfully.
~~~~~ Postrun check
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....
~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe"
"DLA"="C:\\WINDOWS\\System32\\DLA\\DLACTRLW.EXE"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"Adobe Reader Speed Launcher"="\"C:\\Program Files\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\""
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE"
"Acrobat Assistant 8.0"="\"C:\\Program Files\\Adobe\\Acrobat 8.0\\Acrobat\\Acrotray.exe\""
"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
"WinAVX"="C:\\WINDOWS\\system32\\WinAvXX.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"
"SynapseUpdate"="\"C:\\Program Files\\Synapse Développement\\Synapse Update\\Synapse Update.exe\""
"WinAVX"="C:\\WINDOWS\\system32\\WinAvXX.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~
Ensuite le rapport genéré par msnFix est le suivant :
MSNFix 1.499
C:\Documents and Settings\cornichon\Bureau\procedure\MSNFix\MSNFix
Fix exécuté le 14/09/2007 - 15:46:42,09 By cornichon
mode normal
************************ Recherche les fichiers présents
Aucun Fichier trouvé
************************ Recherche les dossiers présents
Aucun dossier trouvé
************************ Fichiers suspects
Aucun Fichier trouvé
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
Puis the avenger fait et voici la rapport :
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cefsaqcc
*******************
Script file located at: \??\C:\WINDOWS\system32\eqjjgngx.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\printer.exe deleted successfully.
File C:\WINDOWS\system32\hadjajr.ini not found!
Deletion of file C:\WINDOWS\system32\hadjajr.ini failed!
Could not process line:
C:\WINDOWS\system32\hadjajr.ini
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
Pour HJT j’ai pu fixer les 3 premières lignes mais pas la 4eme :
O20 - AppInit_DLLs: C:\WINDOWS\system32\hadjajr.ini
Car elle n’y était pas.
Mais pour le Bit defender et le panda impossible de les faire car il me marque impossible de charger bitdefender et pour le panda impossible d’avoir une connexion et pourtant j’ai bien suivi les tutos.
Guillo.
J’ai fais la procédure du post 125 mais je crois que c’est un echec total :
Voici la rapport genéré par Fixwareout :
Username "cornichon" - 14/09/2007 15:24:17 [Fixwareout edited 9/01/2007]
~~~~~ Prerun check
Cache de résolution DNS vidé.
System was rebooted successfully.
~~~~~ Postrun check
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....
~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe"
"DLA"="C:\\WINDOWS\\System32\\DLA\\DLACTRLW.EXE"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"Adobe Reader Speed Launcher"="\"C:\\Program Files\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\""
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE"
"Acrobat Assistant 8.0"="\"C:\\Program Files\\Adobe\\Acrobat 8.0\\Acrobat\\Acrotray.exe\""
"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
"WinAVX"="C:\\WINDOWS\\system32\\WinAvXX.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"
"SynapseUpdate"="\"C:\\Program Files\\Synapse Développement\\Synapse Update\\Synapse Update.exe\""
"WinAVX"="C:\\WINDOWS\\system32\\WinAvXX.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~
Ensuite le rapport genéré par msnFix est le suivant :
MSNFix 1.499
C:\Documents and Settings\cornichon\Bureau\procedure\MSNFix\MSNFix
Fix exécuté le 14/09/2007 - 15:46:42,09 By cornichon
mode normal
************************ Recherche les fichiers présents
Aucun Fichier trouvé
************************ Recherche les dossiers présents
Aucun dossier trouvé
************************ Fichiers suspects
Aucun Fichier trouvé
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
Puis the avenger fait et voici la rapport :
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cefsaqcc
*******************
Script file located at: \??\C:\WINDOWS\system32\eqjjgngx.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\printer.exe deleted successfully.
File C:\WINDOWS\system32\hadjajr.ini not found!
Deletion of file C:\WINDOWS\system32\hadjajr.ini failed!
Could not process line:
C:\WINDOWS\system32\hadjajr.ini
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
Pour HJT j’ai pu fixer les 3 premières lignes mais pas la 4eme :
O20 - AppInit_DLLs: C:\WINDOWS\system32\hadjajr.ini
Car elle n’y était pas.
Mais pour le Bit defender et le panda impossible de les faire car il me marque impossible de charger bitdefender et pour le panda impossible d’avoir une connexion et pourtant j’ai bien suivi les tutos.
Guillo.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonsoir Guillo
Je ne vois pas où se situe un "échec total" .
Sois positif, et (si tu veux sauver ton PC) fais bien ce qui est demandé depuis trop longtemps maintenant.
Le post # 125 comporte le post # 108 § C dont je dois recevoir les 3 rapports de "clean", "SDFix" et "ComboFix" ==> il faut de surcroît bien appliquer la procédure "Restauration Système" dans l'ordre établi, et exécuter _OTMoveIt comme indiqué au 7°.
Après ces trois rapports et après en avoir totalement terminé avec ce post # 108, poste un nouveau rapport HJT, s'il te plaît; et réessaie de lancer les deux ScanOnline.
Merci
Bon W-E
Al.
Je ne vois pas où se situe un "échec total" .
Sois positif, et (si tu veux sauver ton PC) fais bien ce qui est demandé depuis trop longtemps maintenant.
Le post # 125 comporte le post # 108 § C dont je dois recevoir les 3 rapports de "clean", "SDFix" et "ComboFix" ==> il faut de surcroît bien appliquer la procédure "Restauration Système" dans l'ordre établi, et exécuter _OTMoveIt comme indiqué au 7°.
Après ces trois rapports et après en avoir totalement terminé avec ce post # 108, poste un nouveau rapport HJT, s'il te plaît; et réessaie de lancer les deux ScanOnline.
Merci
Bon W-E
Al.
Salut Al,
tout semble rentrer dans l'ordre puisque je n'ai plus de messages d'alertes, plus de triangke jaune dans la barre des taches et je peux maintenant acceder au gestionnaire des taches et au panneau de config.
Voici néaumoins le srapport de clean, SdFix et comboFix:
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 17/09/2007 a 23:35:28,31
Microsoft Windows XP [version 5.1.2600]
*** Suppression des fichiers dans C:
*** Suppression des fichiers dans C:\WINDOWS\
*** Suppression des fichiers dans C:\WINDOWS\system32
*** Suppression des fichiers dans C:\Program Files
*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
SDFix: Version 1.104
Run by cornichon on 17/09/2007 at chez guillo-23:39
Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\CORNIC~1\Bureau\PROCED~1\SDFix\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
No Trojan Files Found
Removing Temp Files...
ADS Check:
C:\WINDOWS
No streams found.
C:\WINDOWS\system32
No streams found.
C:\WINDOWS\system32\svchost.exe
No streams found.
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"
Remaining Files:
---------------
Files with Hidden Attributes:
C:\Documents and Settings\cornichon\Mes documents\My PSP Files\enter_host_plugin_directory_here\KPT Goo\MetaImage.dll
C:\WINDOWS\system32\731B388D9D.sys
C:\WINDOWS\system32\KGyGaAvL.sys
C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp
Finished!
ComboFix 07-09-10.6 - "cornichon" 2007-09-17 23:50:19.1 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.205 [GMT 2:00]
* Created a new restore point
.
((((((((((((((((((((((((((((( Fichiers créés 2007-08-17 to 2007-09-17 ))))))))))))))))))))))))))))))))))))
.
2007-09-17 23:47 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-17 23:39 <REP> d-------- C:\WINDOWS\ERUNT
2007-09-15 00:00 <REP> d-------- C:\DOCUME~1\HIJACK~1\backups
2007-09-11 23:04 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-09-11 23:04 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-09-11 23:04 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-09-09 12:19 <REP> d-------- C:\VundoFix Backups
2007-09-06 14:12 <REP> d-------- C:\Program Files\Yahoo!
2007-09-06 14:12 <REP> d-------- C:\Program Files\CCleaner
2007-09-05 10:26 <REP> d-------- C:\Program Files\Navilog1
2007-09-05 09:51 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-09-05 09:51 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-09-05 09:51 <REP> d-------- C:\Program Files\VundoFix Backups
2007-09-05 09:51 <REP> d-------- C:\DOCUME~1\ADMINI~1\SmitfraudFix
2007-09-05 09:51 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
2007-09-05 09:51 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\You've Got Pictures Screensaver
2007-09-04 23:41 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
2007-09-04 23:41 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
2007-09-04 23:41 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
2007-09-04 23:41 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Corel
2007-09-04 13:42 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-09-03 11:30 2,774 --a------ C:\WINDOWS\system32\tmp.reg
2007-09-02 12:47 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-09-02 12:45 <REP> d-------- C:\DOCUME~1\CORNIC~1\.housecall6.6
2007-09-01 14:58 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-06 12:09 801144 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-09-06 12:05 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 12:05 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 12:03 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 12:02 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 12:00 95608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-09-06 12:00 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-09-02 09:36 --------- d-------- C:\Program Files\eMule
2007-08-14 10:43 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\WinZip
2007-08-13 12:30 --------- d-------- C:\Program Files\TopDesk
2007-08-13 12:17 --------- d-------- C:\DOCUME~1\CORNIC~1\APPLIC~1\OtakuSoftware
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 19:19 271224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-07-30 19:19 207736 --a------ C:\WINDOWS\system32\muweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\dllcache\wups.dll
2007-07-25 20:02 3350 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2007-07-25 19:59 --------- d-------- C:\Program Files\Fichiers communs\Corel
2007-07-25 11:38 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLEXnet
2007-07-25 11:30 --------- d-------- C:\Program Files\Fichiers communs\Macrovision Shared
2007-07-19 08:58 3583488 --a------ C:\WINDOWS\system32\dllcache\mshtml.dll
2007-07-13 01:30 765952 --a------ C:\WINDOWS\system32\dllcache\vgx.dll
2007-07-07 13:26 723 --a------ C:\Program Files\INSTALL.LOG
2007-06-28 14:36 401720 --a------ C:\DOCUME~1\HIJACK~1\abcde.exe.exe
2007-06-27 15:24 823808 --a------ C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-27 15:24 671232 --a------ C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-27 15:24 477696 --a------ C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-27 15:24 232960 --a------ C:\WINDOWS\system32\dllcache\webcheck.dll
2007-06-27 15:24 193024 --a------ C:\WINDOWS\system32\dllcache\msrating.dll
2007-06-27 15:24 1152000 --a------ C:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-27 15:24 105984 --a------ C:\WINDOWS\system32\dllcache\url.dll
2007-06-27 15:24 102400 --a------ C:\WINDOWS\system32\dllcache\occache.dll
2007-06-27 15:23 6058496 --------- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-06-27 15:23 52224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-06-27 15:23 459264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-06-27 15:23 44544 --------- C:\WINDOWS\system32\dllcache\iernonce.dll
2007-06-27 15:23 27648 --a------ C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-27 15:23 267776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-06-27 15:22 384512 --------- C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-06-27 15:22 383488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-06-27 15:22 230400 --------- C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-06-27 15:22 153088 --------- C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-06-27 15:22 132608 --a------ C:\WINDOWS\system32\dllcache\extmgr.dll
2007-06-27 15:22 124928 --------- C:\WINDOWS\system32\dllcache\advpack.dll
2007-06-27 10:28 625152 --a------ C:\WINDOWS\system32\dllcache\iexplore.exe
2007-06-27 10:27 63488 --------- C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-06-27 10:27 13824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-06-27 09:00 161792 --------- C:\WINDOWS\system32\dllcache\ieakui.dll
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-26 08:09 1104896 --------- C:\WINDOWS\system32\dllcache\msxml3.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-19 15:32 282112 --------- C:\WINDOWS\system32\dllcache\gdi32.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-10-14 22:49]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-10-14 22:46]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-10-14 22:50]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-09-08 07:20]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-01 18:52]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-07-07 13:31]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 15:44 C:\WINDOWS\KHALMNPR.Exe]
"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 22:46]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]
"SynapseUpdate"="C:\Program Files\Synapse Développement\Synapse Update\Synapse Update.exe" []
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"=0 (0x0)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^cornichon^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]
path=C:\Documents and Settings\cornichon\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^cornichon^Menu Démarrer^Programmes^Démarrage^Club-Internet.lnk]
path=C:\Documents and Settings\cornichon\Menu Démarrer\Programmes\Démarrage\Club-Internet.lnk
backup=C:\WINDOWS\pss\Club-Internet.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^cornichon^Menu Démarrer^Programmes^Démarrage^Microsoft Office OneNote 2007 (version Bêta) - Lancement rapide.lnk]
path=C:\Documents and Settings\cornichon\Menu Démarrer\Programmes\Démarrage\Microsoft Office OneNote 2007 (version Bêta) - Lancement rapide.lnk
backup=C:\WINDOWS\pss\Microsoft Office OneNote 2007 (version Bêta) - Lancement rapide.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^cornichon^Menu Démarrer^Programmes^Démarrage^RocketDock.lnk]
path=C:\Documents and Settings\cornichon\Menu Démarrer\Programmes\Démarrage\RocketDock.lnk
backup=C:\WINDOWS\pss\RocketDock.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^cornichon^Menu Démarrer^Programmes^Démarrage^UberIcon.lnk]
path=C:\Documents and Settings\cornichon\Menu Démarrer\Programmes\Démarrage\UberIcon.lnk
backup=C:\WINDOWS\pss\UberIcon.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^cornichon^Menu Démarrer^Programmes^Démarrage^Y'z Shadow.lnk]
path=C:\Documents and Settings\cornichon\Menu Démarrer\Programmes\Démarrage\Y'z Shadow.lnk
backup=C:\WINDOWS\pss\Y'z Shadow.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^cornichon^Menu Démarrer^Programmes^Démarrage^Y'z Toolbar.lnk]
path=C:\Documents and Settings\cornichon\Menu Démarrer\Programmes\Démarrage\Y'z Toolbar.lnk
backup=C:\WINDOWS\pss\Y'z Toolbar.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
"C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
"C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Program Files\Messenger\msmsgs.exe" /background
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StandardInstall]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynapseUpdate]
"C:\Program Files\Synapse Développement\Synapse Update\Synapse Update.exe"
R3 LUsbFilt;Logitech SetPoint KMDF USB Filter;C:\WINDOWS\system32\Drivers\LUsbFilt.Sys
S3 C-Dilla;C-Dilla;\??\C:\WINDOWS\system32\drivers\CDANT.SYS
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
S3 wanusb;ECI Telecom USB ADSL WAN Modem;C:\WINDOWS\system32\DRIVERS\gwausb.sys
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
AutoRun\command- E:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1152b152-dab8-11db-b859-001320d5e7d3}]
AutoRun\command- E:\LaunchU3.exe -a
*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2006-06-27 23:15:00 C:\WINDOWS\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job"
.
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-17 23:53:13
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-09-17 23:54:27
.
--- E O F ---
Je te remecie infiniment en tout cas pour tous tes efforts, tu m'as été d'une grande aide et aussi Marie et Kris.
Merci beaucoup à vous tous.
Guillo.
NB; Juste une derniere chose, à l'avenir pour ne pas avoir à choper des logiciels espions, que dois-je avoir comme logiciel pour m'y premunir ?
tout semble rentrer dans l'ordre puisque je n'ai plus de messages d'alertes, plus de triangke jaune dans la barre des taches et je peux maintenant acceder au gestionnaire des taches et au panneau de config.
Voici néaumoins le srapport de clean, SdFix et comboFix:
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 17/09/2007 a 23:35:28,31
Microsoft Windows XP [version 5.1.2600]
*** Suppression des fichiers dans C:
*** Suppression des fichiers dans C:\WINDOWS\
*** Suppression des fichiers dans C:\WINDOWS\system32
*** Suppression des fichiers dans C:\Program Files
*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
SDFix: Version 1.104
Run by cornichon on 17/09/2007 at chez guillo-23:39
Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\CORNIC~1\Bureau\PROCED~1\SDFix\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
No Trojan Files Found
Removing Temp Files...
ADS Check:
C:\WINDOWS
No streams found.
C:\WINDOWS\system32
No streams found.
C:\WINDOWS\system32\svchost.exe
No streams found.
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"
Remaining Files:
---------------
Files with Hidden Attributes:
C:\Documents and Settings\cornichon\Mes documents\My PSP Files\enter_host_plugin_directory_here\KPT Goo\MetaImage.dll
C:\WINDOWS\system32\731B388D9D.sys
C:\WINDOWS\system32\KGyGaAvL.sys
C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp
Finished!
ComboFix 07-09-10.6 - "cornichon" 2007-09-17 23:50:19.1 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.205 [GMT 2:00]
* Created a new restore point
.
((((((((((((((((((((((((((((( Fichiers créés 2007-08-17 to 2007-09-17 ))))))))))))))))))))))))))))))))))))
.
2007-09-17 23:47 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-17 23:39 <REP> d-------- C:\WINDOWS\ERUNT
2007-09-15 00:00 <REP> d-------- C:\DOCUME~1\HIJACK~1\backups
2007-09-11 23:04 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-09-11 23:04 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-09-11 23:04 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-09-09 12:19 <REP> d-------- C:\VundoFix Backups
2007-09-06 14:12 <REP> d-------- C:\Program Files\Yahoo!
2007-09-06 14:12 <REP> d-------- C:\Program Files\CCleaner
2007-09-05 10:26 <REP> d-------- C:\Program Files\Navilog1
2007-09-05 09:51 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-09-05 09:51 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-09-05 09:51 <REP> d-------- C:\Program Files\VundoFix Backups
2007-09-05 09:51 <REP> d-------- C:\DOCUME~1\ADMINI~1\SmitfraudFix
2007-09-05 09:51 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
2007-09-05 09:51 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\You've Got Pictures Screensaver
2007-09-04 23:41 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
2007-09-04 23:41 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
2007-09-04 23:41 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
2007-09-04 23:41 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Corel
2007-09-04 13:42 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-09-03 11:30 2,774 --a------ C:\WINDOWS\system32\tmp.reg
2007-09-02 12:47 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-09-02 12:45 <REP> d-------- C:\DOCUME~1\CORNIC~1\.housecall6.6
2007-09-01 14:58 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-06 12:09 801144 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-09-06 12:05 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 12:05 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 12:03 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 12:02 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 12:00 95608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-09-06 12:00 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-09-02 09:36 --------- d-------- C:\Program Files\eMule
2007-08-14 10:43 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\WinZip
2007-08-13 12:30 --------- d-------- C:\Program Files\TopDesk
2007-08-13 12:17 --------- d-------- C:\DOCUME~1\CORNIC~1\APPLIC~1\OtakuSoftware
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 19:19 271224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-07-30 19:19 207736 --a------ C:\WINDOWS\system32\muweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\dllcache\wups.dll
2007-07-25 20:02 3350 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2007-07-25 19:59 --------- d-------- C:\Program Files\Fichiers communs\Corel
2007-07-25 11:38 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLEXnet
2007-07-25 11:30 --------- d-------- C:\Program Files\Fichiers communs\Macrovision Shared
2007-07-19 08:58 3583488 --a------ C:\WINDOWS\system32\dllcache\mshtml.dll
2007-07-13 01:30 765952 --a------ C:\WINDOWS\system32\dllcache\vgx.dll
2007-07-07 13:26 723 --a------ C:\Program Files\INSTALL.LOG
2007-06-28 14:36 401720 --a------ C:\DOCUME~1\HIJACK~1\abcde.exe.exe
2007-06-27 15:24 823808 --a------ C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-27 15:24 671232 --a------ C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-27 15:24 477696 --a------ C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-27 15:24 232960 --a------ C:\WINDOWS\system32\dllcache\webcheck.dll
2007-06-27 15:24 193024 --a------ C:\WINDOWS\system32\dllcache\msrating.dll
2007-06-27 15:24 1152000 --a------ C:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-27 15:24 105984 --a------ C:\WINDOWS\system32\dllcache\url.dll
2007-06-27 15:24 102400 --a------ C:\WINDOWS\system32\dllcache\occache.dll
2007-06-27 15:23 6058496 --------- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-06-27 15:23 52224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-06-27 15:23 459264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-06-27 15:23 44544 --------- C:\WINDOWS\system32\dllcache\iernonce.dll
2007-06-27 15:23 27648 --a------ C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-27 15:23 267776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-06-27 15:22 384512 --------- C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-06-27 15:22 383488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-06-27 15:22 230400 --------- C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-06-27 15:22 153088 --------- C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-06-27 15:22 132608 --a------ C:\WINDOWS\system32\dllcache\extmgr.dll
2007-06-27 15:22 124928 --------- C:\WINDOWS\system32\dllcache\advpack.dll
2007-06-27 10:28 625152 --a------ C:\WINDOWS\system32\dllcache\iexplore.exe
2007-06-27 10:27 63488 --------- C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-06-27 10:27 13824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-06-27 09:00 161792 --------- C:\WINDOWS\system32\dllcache\ieakui.dll
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-26 08:09 1104896 --------- C:\WINDOWS\system32\dllcache\msxml3.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-19 15:32 282112 --------- C:\WINDOWS\system32\dllcache\gdi32.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-10-14 22:49]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-10-14 22:46]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-10-14 22:50]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-09-08 07:20]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-01 18:52]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-07-07 13:31]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 15:44 C:\WINDOWS\KHALMNPR.Exe]
"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 22:46]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]
"SynapseUpdate"="C:\Program Files\Synapse Développement\Synapse Update\Synapse Update.exe" []
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"=0 (0x0)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^cornichon^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]
path=C:\Documents and Settings\cornichon\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^cornichon^Menu Démarrer^Programmes^Démarrage^Club-Internet.lnk]
path=C:\Documents and Settings\cornichon\Menu Démarrer\Programmes\Démarrage\Club-Internet.lnk
backup=C:\WINDOWS\pss\Club-Internet.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^cornichon^Menu Démarrer^Programmes^Démarrage^Microsoft Office OneNote 2007 (version Bêta) - Lancement rapide.lnk]
path=C:\Documents and Settings\cornichon\Menu Démarrer\Programmes\Démarrage\Microsoft Office OneNote 2007 (version Bêta) - Lancement rapide.lnk
backup=C:\WINDOWS\pss\Microsoft Office OneNote 2007 (version Bêta) - Lancement rapide.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^cornichon^Menu Démarrer^Programmes^Démarrage^RocketDock.lnk]
path=C:\Documents and Settings\cornichon\Menu Démarrer\Programmes\Démarrage\RocketDock.lnk
backup=C:\WINDOWS\pss\RocketDock.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^cornichon^Menu Démarrer^Programmes^Démarrage^UberIcon.lnk]
path=C:\Documents and Settings\cornichon\Menu Démarrer\Programmes\Démarrage\UberIcon.lnk
backup=C:\WINDOWS\pss\UberIcon.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^cornichon^Menu Démarrer^Programmes^Démarrage^Y'z Shadow.lnk]
path=C:\Documents and Settings\cornichon\Menu Démarrer\Programmes\Démarrage\Y'z Shadow.lnk
backup=C:\WINDOWS\pss\Y'z Shadow.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^cornichon^Menu Démarrer^Programmes^Démarrage^Y'z Toolbar.lnk]
path=C:\Documents and Settings\cornichon\Menu Démarrer\Programmes\Démarrage\Y'z Toolbar.lnk
backup=C:\WINDOWS\pss\Y'z Toolbar.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
"C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
"C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Program Files\Messenger\msmsgs.exe" /background
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StandardInstall]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynapseUpdate]
"C:\Program Files\Synapse Développement\Synapse Update\Synapse Update.exe"
R3 LUsbFilt;Logitech SetPoint KMDF USB Filter;C:\WINDOWS\system32\Drivers\LUsbFilt.Sys
S3 C-Dilla;C-Dilla;\??\C:\WINDOWS\system32\drivers\CDANT.SYS
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
S3 wanusb;ECI Telecom USB ADSL WAN Modem;C:\WINDOWS\system32\DRIVERS\gwausb.sys
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
AutoRun\command- E:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1152b152-dab8-11db-b859-001320d5e7d3}]
AutoRun\command- E:\LaunchU3.exe -a
*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2006-06-27 23:15:00 C:\WINDOWS\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job"
.
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-17 23:53:13
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-09-17 23:54:27
.
--- E O F ---
Je te remecie infiniment en tout cas pour tous tes efforts, tu m'as été d'une grande aide et aussi Marie et Kris.
Merci beaucoup à vous tous.
Guillo.
NB; Juste une derniere chose, à l'avenir pour ne pas avoir à choper des logiciels espions, que dois-je avoir comme logiciel pour m'y premunir ?
Bonjour Guillo,
A)- Post # 130 « tout semble rentrer dans l'ordre puisque je n'ai plus de messages d'alertes, plus de triangke jaune dans la barre des taches et je peux maintenant acceder au gestionnaire des taches et au panneau de config.»
Ça fait plaisir à lire. Merci.
Post # 126 « en reponse à ton topic 117, il n' ya qu'une méthode qui pouvait me laisser jusqu'au bout de l'operation. la 2eme : Demarrer- executer : regedit puis double clic sur no panel control et affecté la valeur 00000000 mais rien n'a changé, impossible d'acceder au panneau de confirg, donc impossible de finir correctement la grande procédure corrigée que tu m'as indiqué sur la topic 108. »
En fonction de ces deux situations, saurais-tu me préciser à quelle étape ton PC est redevenu comme tu le voulais ?
Entre ces deux situations, tu as utilisé FixWareout ( avec ses actions : "Cache de résolution DNS vidé", "System was rebooted successfully" et "Hosts file was reset"), MSNFix 1.499 (on est à la version 1.508) et The Avenger ( avec cette principale action: File C:\WINDOWS\system32\printer.exe deleted successfully); aussi, cette foutue O20 - AppInit_DLLs: C:\WINDOWS\system32\hadjajr.ini était disparue entretemps.
B)- Maintenant que ton PC semble sain, il faut terminer ceci:
1°- Ceci va supprimer tous les outils utilisés ainsi que leurs quarantaines:
•- Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Cocher la case "Désactiver la restauration du systéme" et cliquer sur [Appliquer].
•- Télécharger _OTMoveIt sur ton bureau > < http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe > ( pas besoin si tu l'as encore )
•- Lance OTMoveIt.exe par double-clic
[*]Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargé).
NOTE : Normalement, ton Firewall (parefeu) devrait te demander si _OTMoveIt peut accéder a Internet. Autorise-le.
[*]Une liste apparaît dans la partie gauche d' _OTMoveIt.
[*]Un message apparaît pour confirmer le nettoyage. Confirme
•- Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du système - Décocher la case "Désactiver la restauration du système" et cliquer sur [Appliquer].
2°- Renommer HijackThis dans sa forme d'origine, soit par clic-droit > renommer > effacer "abcde.exe.exe" et y coller HijackThis.exe
3°- Assure-toi d'avoir accès aux dossiers/fichiers cachés en faisant: Démarrer / PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant la ligne:
- masquer fichiers protégés du dossier système
Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]
Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >
Lance une recherche dans tes fichiers et dossiers en suivant ce chemin C:\WINDOWS\system32\ et dans ce répertoire system32 recherche WinAvXX ou WinAVX ou WinAvXX.exe; et supprime-les si tu les trouves.
Normalement une récente mise à jour de SmitfraudFix a déjà dû faire ce boulot (dont ton PC a largement bénéficié).
4°- Crèe ensuite un nouveau point de restauration utile si encore des soucis dans les tous prochains jours; comme ceci:
Procédure pour Windows XP.
Citation:
-Clic sur « Démarrer » > « Tous les programmes » > « Accessoires » > « Outils système » > « Restauration système » ; on obtient cette page
-Cocher le bouton ratio en face de « Créer un point de restauration » puis appuyer sur le bouton radio [Suivant] ; une nouvelle page s’affiche.
-Dans la lucarne texte de la description, entrer une description de la restauration (taper un descriptif caractéristique de ce point ; par exemple : « Dernière désinfection ») et clic sur « Créer ».
-Un descriptif s'affiche avec la date et l’heure de cette opération.
-Cliquer ensuite sur « démarrage », puis « annuler ».
Donne-moi des nouvelles SVP ; surtout de la recherche au point 3° ci-dessus.
Bonne chance
Al.
A)- Post # 130 « tout semble rentrer dans l'ordre puisque je n'ai plus de messages d'alertes, plus de triangke jaune dans la barre des taches et je peux maintenant acceder au gestionnaire des taches et au panneau de config.»
Ça fait plaisir à lire. Merci.
Post # 126 « en reponse à ton topic 117, il n' ya qu'une méthode qui pouvait me laisser jusqu'au bout de l'operation. la 2eme : Demarrer- executer : regedit puis double clic sur no panel control et affecté la valeur 00000000 mais rien n'a changé, impossible d'acceder au panneau de confirg, donc impossible de finir correctement la grande procédure corrigée que tu m'as indiqué sur la topic 108. »
En fonction de ces deux situations, saurais-tu me préciser à quelle étape ton PC est redevenu comme tu le voulais ?
Entre ces deux situations, tu as utilisé FixWareout ( avec ses actions : "Cache de résolution DNS vidé", "System was rebooted successfully" et "Hosts file was reset"), MSNFix 1.499 (on est à la version 1.508) et The Avenger ( avec cette principale action: File C:\WINDOWS\system32\printer.exe deleted successfully); aussi, cette foutue O20 - AppInit_DLLs: C:\WINDOWS\system32\hadjajr.ini était disparue entretemps.
B)- Maintenant que ton PC semble sain, il faut terminer ceci:
1°- Ceci va supprimer tous les outils utilisés ainsi que leurs quarantaines:
•- Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Cocher la case "Désactiver la restauration du systéme" et cliquer sur [Appliquer].
•- Télécharger _OTMoveIt sur ton bureau > < http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe > ( pas besoin si tu l'as encore )
•- Lance OTMoveIt.exe par double-clic
[*]Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargé).
NOTE : Normalement, ton Firewall (parefeu) devrait te demander si _OTMoveIt peut accéder a Internet. Autorise-le.
[*]Une liste apparaît dans la partie gauche d' _OTMoveIt.
[*]Un message apparaît pour confirmer le nettoyage. Confirme
•- Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du système - Décocher la case "Désactiver la restauration du système" et cliquer sur [Appliquer].
2°- Renommer HijackThis dans sa forme d'origine, soit par clic-droit > renommer > effacer "abcde.exe.exe" et y coller HijackThis.exe
3°- Assure-toi d'avoir accès aux dossiers/fichiers cachés en faisant: Démarrer / PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant la ligne:
- masquer fichiers protégés du dossier système
Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]
Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >
Lance une recherche dans tes fichiers et dossiers en suivant ce chemin C:\WINDOWS\system32\ et dans ce répertoire system32 recherche WinAvXX ou WinAVX ou WinAvXX.exe; et supprime-les si tu les trouves.
Normalement une récente mise à jour de SmitfraudFix a déjà dû faire ce boulot (dont ton PC a largement bénéficié).
4°- Crèe ensuite un nouveau point de restauration utile si encore des soucis dans les tous prochains jours; comme ceci:
Procédure pour Windows XP.
Citation:
-Clic sur « Démarrer » > « Tous les programmes » > « Accessoires » > « Outils système » > « Restauration système » ; on obtient cette page
-Cocher le bouton ratio en face de « Créer un point de restauration » puis appuyer sur le bouton radio [Suivant] ; une nouvelle page s’affiche.
-Dans la lucarne texte de la description, entrer une description de la restauration (taper un descriptif caractéristique de ce point ; par exemple : « Dernière désinfection ») et clic sur « Créer ».
-Un descriptif s'affiche avec la date et l’heure de cette opération.
-Cliquer ensuite sur « démarrage », puis « annuler ».
Donne-moi des nouvelles SVP ; surtout de la recherche au point 3° ci-dessus.
Bonne chance
Al.
Bonjour Guillo,
Même si tu ne réponds pas à mon dernier post, je voudrais avec insistance que tu puisses exécuter une nouvelle analyse avec la dernière version corrigée de SmitfraudFix ; celle-ci:
(Version 2.229 (September 25, 2007) ==> Minor Bug correction in path retriever on French SP2 OS).
Cette correction fait suite à ce que j'ai trouvé sur ton PC; et le concepteur de SmitfraudFix aimerait en connaître les effets.
Pour cela, il faut faire ainsi :
A)- •- Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Cocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.
•- Télécharger _OTMoveIt sur ton bureau > < http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe >
•- Lance OTMoveIt.exe par double-clic
[*]Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargé).
NOTE : Normalement, ton Firewall (parefeu) devrait te demander si _OTMoveIt peut accéder a Internet. Autorise-le.
[*]Une liste apparaît dans la partie gauche d' _OTMoveIt.
[*]Un message apparaît pour confirmer le nettoyage. Confirme
Ce programme supprime les outils utilisés ainsi que les quarantaines éventuelles.
•- Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du système - Décocher la case Désactiver la restauration du système et cliquer sur Appliquer.
B)- Utilisez cette adresse pour télécharger la dernière version du fix (le fichier contient la version anglaise et française) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Toujours télécharger avant l'utilisation pour profiter des dernières mises à jour.
Utilisation: (==> il faut que tu enchaînes les deux étapes "Recherche" et "Nettoyage")
1- Recherche:
Double cliquer sur SmitfraudFix.exe puis [exécuter] ( à ce moment, un dossier SmitfraudFix s’affiche sur le bureau ) ==> suivre instructions de la page bleue qui vient de s’ouvrir .
Sélectionner 1 et pressez Entrée dans le menu (pour créer un rapport des fichiers responsables de l'infection.)
Dans ta prochaine réponse, fais un copier/coller du rapport qui s'ouvre.
Renomme-le « Rapport1.txt », c’est très important pour la suite.
Le rapport se trouve à la racine du disque système C:\rapport1.txt
2- Nettoyage:
•- Redémarrer l'ordinateur en mode sans échec < http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 >
•- Ouvre le dossier SmitfraudFix
•- Double-clic sur Smitfraud.cmd ==> suivre instructions de la page bleue qui vient de s’ouvrir
•- Sélectionner 2 et pressez Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
•- A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez [Entrée] afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
- Le fix déterminera si le fichier wininet.dll est infecté.
•- A la question: Corriger le fichier infecté ? Répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
Arrête, puis Redémarre en mode normal
Le rapport se trouve à la racine du disque système C:\rapport.txt ; tu le postes pour contrôle avec celui renommé en Rapport1.txt qui se trouve à la racine du disque système C:\rapport1.txt.
Tu recréeras un nouveau point de restauration ultérieurement ( comme indiqué au post précédent).
Merci pour ta collaboration
Al.
Même si tu ne réponds pas à mon dernier post, je voudrais avec insistance que tu puisses exécuter une nouvelle analyse avec la dernière version corrigée de SmitfraudFix ; celle-ci:
(Version 2.229 (September 25, 2007) ==> Minor Bug correction in path retriever on French SP2 OS).
Cette correction fait suite à ce que j'ai trouvé sur ton PC; et le concepteur de SmitfraudFix aimerait en connaître les effets.
Pour cela, il faut faire ainsi :
A)- •- Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Cocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.
•- Télécharger _OTMoveIt sur ton bureau > < http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe >
•- Lance OTMoveIt.exe par double-clic
[*]Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargé).
NOTE : Normalement, ton Firewall (parefeu) devrait te demander si _OTMoveIt peut accéder a Internet. Autorise-le.
[*]Une liste apparaît dans la partie gauche d' _OTMoveIt.
[*]Un message apparaît pour confirmer le nettoyage. Confirme
Ce programme supprime les outils utilisés ainsi que les quarantaines éventuelles.
•- Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du système - Décocher la case Désactiver la restauration du système et cliquer sur Appliquer.
B)- Utilisez cette adresse pour télécharger la dernière version du fix (le fichier contient la version anglaise et française) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Toujours télécharger avant l'utilisation pour profiter des dernières mises à jour.
Utilisation: (==> il faut que tu enchaînes les deux étapes "Recherche" et "Nettoyage")
1- Recherche:
Double cliquer sur SmitfraudFix.exe puis [exécuter] ( à ce moment, un dossier SmitfraudFix s’affiche sur le bureau ) ==> suivre instructions de la page bleue qui vient de s’ouvrir .
Sélectionner 1 et pressez Entrée dans le menu (pour créer un rapport des fichiers responsables de l'infection.)
Dans ta prochaine réponse, fais un copier/coller du rapport qui s'ouvre.
Renomme-le « Rapport1.txt », c’est très important pour la suite.
Le rapport se trouve à la racine du disque système C:\rapport1.txt
2- Nettoyage:
•- Redémarrer l'ordinateur en mode sans échec < http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 >
•- Ouvre le dossier SmitfraudFix
•- Double-clic sur Smitfraud.cmd ==> suivre instructions de la page bleue qui vient de s’ouvrir
•- Sélectionner 2 et pressez Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
•- A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez [Entrée] afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
- Le fix déterminera si le fichier wininet.dll est infecté.
•- A la question: Corriger le fichier infecté ? Répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
Arrête, puis Redémarre en mode normal
Le rapport se trouve à la racine du disque système C:\rapport.txt ; tu le postes pour contrôle avec celui renommé en Rapport1.txt qui se trouve à la racine du disque système C:\rapport1.txt.
Tu recréeras un nouveau point de restauration ultérieurement ( comme indiqué au post précédent).
Merci pour ta collaboration
Al.
Bonjour Al,
je suis désolé de ne pas avoir repondu tout de suite à tes messages, c'est juste une question de temps mais je promets de faire ce que tu m'a demandé et je reviendrai en reponse à tes procédures.
Merci.
Guillo.
je suis désolé de ne pas avoir repondu tout de suite à tes messages, c'est juste une question de temps mais je promets de faire ce que tu m'a demandé et je reviendrai en reponse à tes procédures.
Merci.
Guillo.
Bonsoir et merci Guiilo,
C'est bon, mais passe directement au post # 132 avant de revenir au post 131 §§ A et B.
Le plus important aujourd'hui, c'est ça :
« je voudrais avec insistance que tu puisses exécuter une nouvelle analyse avec la dernière version corrigée de SmitfraudFix ; celle-ci:
(Version 2.229 (September 25, 2007) ==> Minor Bug correction in path retriever on French SP2 OS).
Cette correction fait suite à ce que j'ai trouvé sur ton PC; et le concepteur de SmitfraudFix aimerait en connaître les effets. »
Merci et à +..
Al.
C'est bon, mais passe directement au post # 132 avant de revenir au post 131 §§ A et B.
Le plus important aujourd'hui, c'est ça :
« je voudrais avec insistance que tu puisses exécuter une nouvelle analyse avec la dernière version corrigée de SmitfraudFix ; celle-ci:
(Version 2.229 (September 25, 2007) ==> Minor Bug correction in path retriever on French SP2 OS).
Cette correction fait suite à ce que j'ai trouvé sur ton PC; et le concepteur de SmitfraudFix aimerait en connaître les effets. »
Merci et à +..
Al.
je recois un message dalerte comme les précédents, j'ai essayer de suivre un peu les directiives mais j'ai pas eu solutions a mon probleme. J'ai alors voulu posté le rapport de Hijackthis.
Merci de m'aider
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:19:45, on 13/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\vital finance\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:/windows/homepage.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:/windows/homepage.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/windows/homepage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = file://c:/windows/homepage.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C013707-2653-4DC3-ADEF-0842E3A2B19F}: NameServer = 41.223.248.1,81.91.248.18
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Merci de m'aider
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:19:45, on 13/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\vital finance\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:/windows/homepage.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:/windows/homepage.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/windows/homepage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = file://c:/windows/homepage.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C013707-2653-4DC3-ADEF-0842E3A2B19F}: NameServer = 41.223.248.1,81.91.248.18
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe