Sujet Précédent Sujet Suivant

Infecter par Win32:Vundo-gen34[Adw], que fair

Fermé
claudia - 13 sept. 2007 à 11:36
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 - 4 avril 2008 à 00:51
Bonjour,
Me revoilà après quelques mois de tranquilité avec un nouveau virus.
j'ai déja réussi à en enlever mais il m'en reste 1 seul et je ne sais pas comment faire, pourriez vous m'aidez?

je vous joint mon log hijjakthis et mon scan bit deffender:


Logfile of HijackThis v1.99.1
Scan saved at 10:41:24, on 13/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\lxctcoms.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Documents and Settings\User\Mes documents\MediaLife\MediaLifeService.exe
C:\Program Files\ISP Monitor\isp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\User\Mes documents\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [LXCTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [MediaLifeService] "C:\Documents and Settings\User\Mes documents\MediaLife\MediaLifeService.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKLM\..\RunOnce: [aswAhAScr.dll] C:\PROGRA~1\ALWILS~1\Avast4\ASWREG~1.EXE "C:\Program Files\Alwil Software\Avast4\AhAScr.dll"
O4 - HKCU\..\Run: [ISPMonitor] C:\Program Files\ISP Monitor\isp.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Documents and Settings\User\Mes documents\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Documents and Settings\User\Mes documents\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1358E11F-ADE8-4D2B-9135-1A4CB9A23D7B} (Install Class) - https://genius.belgacom.be/esupport/download/IPGInstaller.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: lxct_device - - C:\WINDOWS\system32\lxctcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe




BitDefender Online Scanner







Scan report generated at: Thu, Sep 13, 2007 - 10:07:06









Scan path: A:\;C:\;D:\;E:\;F:\;G:\;H:\;I:\;J:\;K:\;















Statistics

Time


01:44:38

Files


645499

Folders


13337

Boot Sectors


5

Archives


11380

Packed Files


51351







Results

Identified Viruses


1

Infected Files


1

Suspect Files


0

Warnings


0

Disinfected


0

Deleted Files


1







Engines Info

Virus Definitions


803640

Engine build


AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)

Scan plugins


14

Archive plugins


38

Unpack plugins


7

E-mail plugins


6

System plugins


1







Scan Settings

First Action


Disinfect

Second Action


Delete

Heuristics


Yes

Enable Warnings


Yes

Scanned Extensions


*;

Exclude Extensions




Scan Emails


Yes

Scan Archives


Yes

Scan Packed


Yes

Scan Files


Yes

Scan Boot


Yes








Scanned File


Status

C:\System Volume Information\_restore{52EC2201-7761-45C7-ADB3-DE359E6AF263}\RP262\A0105437.exe=>(ZIP Sfx o)=>WarRock Trainer V5 by OMGWTF.exe


Infected with: Trojan.Keylogger.Hotkeyshook.A

C:\System Volume Information\_restore{52EC2201-7761-45C7-ADB3-DE359E6AF263}\RP262\A0105437.exe=>(ZIP Sfx o)=>WarRock Trainer V5 by OMGWTF.exe


Disinfection failed

C:\System Volume Information\_restore{52EC2201-7761-45C7-ADB3-DE359E6AF263}\RP262\A0105437.exe=>(ZIP Sfx o)=>WarRock Trainer V5 by OMGWTF.exe


Deleted

C:\System Volume Information\_restore{52EC2201-7761-45C7-ADB3-DE359E6AF263}\RP262\A0105437.exe=>(ZIP Sfx o)


Updated

C:\System Volume Information\_restore{52EC2201-7761-45C7-ADB3-DE359E6AF263}\RP262\A0105437.exe


Update failed







Merci d'avance,
amicalement clo
A voir également:

20 réponses

Réponse 1 / 20
Darckiller Messages postés 835 Date d'inscription mardi 10 juillet 2007 Statut Membre Dernière intervention 11 juin 2010 35
13 sept. 2007 à 12:52
Salut Claudia,

d'après ton raport HJTH, ton PC est en forme.
Cependant supprime cette ligne qui est inutile:

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)


Suis ma démarche dans l'ordre:

-Tu vas dans Démarrer -> executer-> tape "services.msc" -> un menu s'ouvre: tu selectionnes la ligne "Affichage des messages" dans la colonne Nom -> clik droit sur cette ligne -> choisis "propriétés"-> dans le panneau "Status du service" clik sur arreter -> puis dans le menu déroulant "Type de démarrage" choisis "Désactiver".
Si cela est déjà fait, c'est bien, ne touche à rien.

-Tu désactives la restauration de système Windows sur ton PC: Démarrer -> Pannaeau de configuration (en mode catégorie) -> Performance et maintenance -> Système -> Onglet restauration du système -> coche la case Désactivé la restauration du sytème.

-Tu télécharges Avast!, gratuit, sur le site dans l'onglet sécurité, que tu mets à jours et dont tu actives la protection résidente ( protection en temps réel donc) puis fais un scan minutieux et complet avec ton antivirus principal (Avast! donc); Une fois les malwares mis en quarantaine, détruit les purement et simplement (ces fichiers on une tete de mort à coté de leur ligne).
Sauf si tu as déja un antivirus valable et à jour, applique le même procédure (j'exclus Norton Antivirus de Symantec).

-Fais un scan en ligne avec Securiser ( http://www.secuser.com ) et puis fais égalment un scan avec Windows Livez One Care (accepte le controle ActiveX ou le Plug-in Lors de l'installation) ( http://onecare.live.com/site/fr-FR/default.htm ) et supprimes les problèmes qu'il trouveront.

-Ensuite télécharge Spybot S&D et Ad-aware (ils sont sur le site dans l'onglet sécurité), mets les à jour, puis fais un scan, et supprime les problèmes qui vont s'affichés.

-Ensuite, télécharge et installe CCleaner, un programme gratuit, et pratique, sur le site, qui va faire le ménage après toutes ces manipulations, mets le d'abord à jour (la dernière version beta 2.0.95) puis cherche les erreurs de registres et nettoie les fichiers indésirables ou inutiles avec.

-Ensuite télécharge et installe Spyware blaster, aussi sur le site, un petit logiciel sympa qui va empêcher les script malvaillants et les sites malwares d'attaquer ton disk dur et ton navigateur web.

-Si tu n'as pas de par-feu (fire wall), désactive celui de Windows (qui ne protège que dans un sens) et télécharge Zone-Alarm de Zonlabs et installe le, mets le à jour et configure le par défault, il est simple d'utilisation et efficace, si jamais il y avait des problème de compatibilité avec ton antivirus ou Avast! (cela s'est déjà vu) alors télécharge Kerio sur le site, dans l'onglet sécurité, qui est également fiable et sérieux.

-Pour les saletés de rootkits et les backdoor (portes dérobés), je te conseille de téléchargé F-SECURE Blacklight, PANDA antirootkit, et enfin AVG Anti-Rootkit (on est jamais trop prudent) disponible sur le site, gratuits, de les mettre à jour et de faire un scan de ton PC avec chacun d'eux.

-Et n'oublie pas de mettre à jour régulièrement Windows (je sais c'est relous mais nécessaire).

Après dis moi- si tu as toujours des problèmes ou si cela est réglé.

En espérant t'avoir éclairé.

:)

0
Réponse 2 / 20
gui
10 mars 2008 à 01:56
Bonjour,
je suis infecté par un virus Win32:Adware-gen [Adw], et je ne sais pas comment m'en debarasser sans supprimer des fichier que je ne devrait pas, est ce que quelqu'un qui pourrai m'aider aurrai la gentillesse de me donner un petit coup de main
merci beaucoup

je vous joint mon log hijjakthis



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:49:39, on 2008-03-09
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\installer\WLSetupSvc.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX01.515\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.rds.ca/hockey/canadiens
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKCU\..\Run: [DateChin] C:\DOCUME~1\ADMINI~1\APPLIC~1\FRAGMP~1\Trans chic.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{603B0680-9A83-4F8F-8FB4-CAF4AA4E20A3}: NameServer = 209.169.131.69 209.169.131.80
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Program Files\RXToolBar\sfcont.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Card Adapter (NETDown) - Unknown owner - C:\WINDOWS\smss.exe (file missing)
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
0
Réponse 3 / 20
Darckiller Messages postés 835 Date d'inscription mardi 10 juillet 2007 Statut Membre Dernière intervention 11 juin 2010 35
10 mars 2008 à 19:28
SAlut,
ton log HJ donne ses lignes comme dangereuses:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [DateChin] C:\DOCUME~1\ADMINI~1\APPLIC~1\FRAGMP~1\Trans chic.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{603B0680-9A83-4F8F-8FB4-CAF4AA4E20A3}: NameServer = 209.169.131.69 209.169.131.80
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Program Files\RXToolBar\sfcont.dll
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Card Adapter (NETDown) - Unknown owner - C:\WINDOWS\smss.exe (file missing)


NE COCHE RIEN POUR L'INSTANT !


------------------------------------


Etapes préliminaires:

-Tu désactives l'Accès à distance de Windows:
Démarrer -> Panneau de configuration (en mode catégorie) -> Performance et maintenance -> Système -> Onglet "À distance" -> décoche la case "Autoriser l'envoi d'invitations d'assistance à distance à partir de cet ordinateur" -> clique sur le bouton "Appliquer" en bas -> clique sur le bouton "Ok" en bas.
L'accès à distance de Windows est un outil utile permettant se connecter et de configurer son PC à distance, ou encore d'aider une personne ayant des problèmes sur son ordinateurs à distance. Cependant cet outil est détourné par les pirates pour prendre le contrôle d'ordinateurs.


-Tu dois avoir accès à tous les fichiers de ton système:
Démarrer -> poste de travail -> clique sur le menu "Outils" en haut -> sélectionne "Option des dossiers" -> clique sur l'onglet "Affichage" -> coche la case "Afficher les fichiers et dossiers cachés" -> décoche la case "Masquer les extensions des fichiers dont le type est connu" -> décoche la case "Masquer les fichiers protégés du système d'exploitation" -> clique sur le bouton "Appliquer" en bas -> clique sur le bouton "Appliquer à tous les dossiers" en haut -> clique sur le bouton "Ok" en bas.


-Tu désactives l'Affichage des messages:
Démarrer -> exécuter-> tape "services.msc" -> un menu s'ouvre: tu sélectionnes la ligne"Affichage des messages" dans la colonne Nom -> clique droit sur cette ligne -> choisis"propriétés"-> dans le panneau "Statut du service" clique sur arrêter -> puis dans le menu déroulant "Type de démarrage" choisis "Désactiver".
L'affichage des messages est un services que certains pirates et autres personnes malintentionnées utilisent afin d'envoyer des messages publicitaires et des "pourriels" sur le réseau Internet. Ils gênent la navigation sur le Web et perturbent les activités en cours.
Si cela est déjà fait, c'est bien, ne touche à rien.


-------------------------------------



-Tu télécharges PANDA Antirootkit ( https://www.pandasecurity.com/en/mediacenter/?ref=mc_research ),
installes le programme,
mets le à jour,
fais un scan minutieux et complet de ton PC,
supprimes les problèmes qui vont s'affichés.
Télécharges AVG Antirootkit ( http://www.avgfrance.com/doc/products-avg-anti-rootkit-free-edition/fr/crp/0 )
installes le programme,
mets le à jour,
fais un scan minutieux et complet de ton PC,
supprimes les problèmes qui vont s'affichés.
Télécharge Sophos Anti-Rootkit (http://www.sophos.fr/products/free-tools/sophos-anti-rootkit/eula ),
installes le programme,
mets le à jour,
fais un scan minutieux et complet de ton PC,
et supprimes les problèmes qui vont s'affichés.
Télécharge BlackLight Anti-Rootkit ( https://www.f-secure.com/en/business/support-and-downloads/security-advisories ),
installes le programme,
mets le à jour,
fais un scan minutieux et complet de ton PC,
et supprimes les problèmes qui vont s'affichés.
Ces programmes sont spécialisés dans la recherche de fichiers cachés, de rootkits, de backdoors.

Gardes-en un pour une utilisation future et désinstalles/supprimes les autres.

Signales-moi si des éléments peuvent apparaitre au cours des scan ANtirootkits.


-------------------------------------------------


-Tu télécharges VundoFix ( http://www.clubic.com/telecharger-fiche25107-vundofix.html )
installes le logiciel
fais un scan complet de ton PC,
supprimes les problèmes qui vont s'afficher.



-Tu télécharges SDFix (http://mickael.barroux.free.fr/securite/sdfix.php ),
suis scrupuleusement la procédure du site,
copies et colles le rapport dans un nouveau message.
Ce programme va nettoyer certains fichiers sensibles scusceptibles d'être infectés (le fichier Host notamment) et certaines DLL néfastes (fichiers librairie).

0
Réponse 4 / 20
gui
10 mars 2008 à 21:05
Salut Darckiller

j'ai effectuer toute les etape sauf la derniere pour la raison suivante: Pour effectuer le nettoyage avec SDFix y faut etre en mode sans echec et je ne suis po capable de me mettre sur ste mode la. sur la page web y dise de peser sur f8 au demarage pour pouvoir atteinte les settings pour se mettre en mode sans echec mais chu po capable de me rendre la entk tu pourrai tu m'aider

pis aussi tu m'avait dit de te dire si y avait des element qui sortait des scan ben y en a eu un ds celui du Sophos Anti-rookit son nom c'etais: Unknow Hidden File
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 20
Darckiller Messages postés 835 Date d'inscription mardi 10 juillet 2007 Statut Membre Dernière intervention 11 juin 2010 35
12 mars 2008 à 00:22
Salut,
alors pour être en mode sans echec, voilà une procédure en image très détaillé sur ce site (merci à malekal) :

https://www.malekal.com/demarrer-windows-mode-sans-echec/

Tu peux même imprimée la prcédure car tu n'aura pas accès à Internet en Mode sans Echec.
Tu referas donc SDFix ensuite.

N'oublie pas le rapport !

Apparemment, Sophos a éliminé un fichier cacher , cequi est une très bonne chose étant donné la difficulté à détecter les rootkits; pour t'expliquer ce que cela est, je vais prendre la définition du site, qui est ma foi assez claire:

Un rootkit est un « kit » pour devenir "root"(administrateur) d'une machine.C'est un code malicieux vraiment complexe qui se greffe sur une machine, et parfois le noyau même du système d'exploitation. Il est ainsi capable de prendre le contrôle total d'un PC sans laisser de trace. Sa détection est difficile, parfois même impossible tant que le système fonctionne. Autrement dit, c'est une série de programmes qui permettent au pirate de s'installer sur une machine ( déjà infecté ou exploitant une faille de sécurité ) et d'empêcher sa détection. Une fois en place, le rootkit est véritablement le maître du système. À ce titre tous les programmes, y compris les antivirus et anti-spywares, doivent passer par lui avant de faire quoi que ce soit. Ils ne peuvent donc se fier à aucune information collectée sur le système. La croissance des rootkit est favorisée par le fait que la majorité des utilisateurs de système d'exploitation Windows travaille sous les droits d'un administrateur, ce qui facilite grandement l'installation de rootkit dans les ordinateurs.


---------------------------------


Je veux vérifier si il n'y a pas d'autres menaces sur ton systèmes car Hj ne détecte pas tout, loin s'en faut.
Donc fais ceci, et je te conseillerai en fonction du rapport résultant:

-Tu fais un scan en ligne pour identifier les menaces présentes dans ton PC (http://pandasoftware.fr ),
cliques sur le bouton "Lancer TotalScan !" (vert foncé),
coches l’option "Full Scan" sous le bouton "Scan Now" (vert foncé),
cliques sur le bouton "Scan Now" (le mode long),
installes le Plug-in ou ActiveX demandé au préalable (tu auras peut-être à désactiver ton Antivirus),
copies et colles le rapport obtenu (un page de texte bloc-note).


Bon courage :) !
0
Réponse 6 / 20
gui
12 mars 2008 à 21:40
salut Darckiller

jai fait les 2 derniere etape et voici les rapport

SDFix report:

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\install\install.exe - Deleted
C:\WINDOWS\smdat32a.sys - Deleted





Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-11 21:33:36
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 1


[b]Remaining Services [/b]:



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"\\\\192.168.20.100\\Installation ordi\\StubInstaller.exe"="\\\\192.168.20.100\\Installation ordi\\StubInstaller.exe:*:Enabled:StubInstaller.exe"
"C:\\WINDOWS\\system32\\ntvdm.exe"="C:\\WINDOWS\\system32\\ntvdm.exe:*:Disabled:NTVDM.EXE"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Program Files\\Kazaa\\kazaa.exe"="C:\\Program Files\\Kazaa\\kazaa.exe:*:Enabled:Kazaa"
"C:\\Program Files\\Fichiers communs\\Ahead\\Nero Web\\SetupX.exe"="C:\\Program Files\\Fichiers communs\\Ahead\\Nero Web\\SetupX.exe:*:Enabled:Nero ProductSetup"
"C:\\Program Files\\Activision Value\\Street Legal Racing Redline\\StreetLegal_Redline.exe"="C:\\Program Files\\Activision Value\\Street Legal Racing Redline\\StreetLegal_Redline.exe:*:Enabled:Street Legal 2"
"C:\\Program Files\\GameSpy Arcade\\Aphex.exe"="C:\\Program Files\\GameSpy Arcade\\Aphex.exe:*:Enabled:GameSpy Arcade"
"C:\\Program Files\\THQ\\MotoGP URT 3 Demo\\motogp_demo.exe"="C:\\Program Files\\THQ\\MotoGP URT 3 Demo\\motogp_demo.exe:*:Enabled:motogp_demo"
"C:\\Program Files\\mIRC\\mirc.exe"="C:\\Program Files\\mIRC\\mirc.exe:*:Disabled:mIRC"
"C:\\Program Files\\BoontyGames\\Pro Cycling Manager\\Cym2005.exe"="C:\\Program Files\\BoontyGames\\Pro Cycling Manager\\Cym2005.exe:*:Disabled:Cym2005"
"C:\\Program Files\\BoontyGames\\Kick Shot Pool\\Pool.exe"="C:\\Program Files\\BoontyGames\\Kick Shot Pool\\Pool.exe:*:Enabled:Pool"
"C:\\Program Files\\BearShare Applications\\BearShare\\BearShare.exe"="C:\\Program Files\\BearShare Applications\\BearShare\\BearShare.exe:*:Enabled:BearShare"
"C:\\Program Files\\Morpheus\\Morpheus.exe"="C:\\Program Files\\Morpheus\\Morpheus.exe:*:Enabled:Morpheus"
"C:\\Program Files\\Java\\jre1.6.0_01\\bin\\javaw.exe"="C:\\Program Files\\Java\\jre1.6.0_01\\bin\\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\\Program Files\\BearShare\\BearShare.exe"="C:\\Program Files\\BearShare\\BearShare.exe:*:Enabled:BearShare"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Sat 6 Oct 2007 5,903,928 A..H. --- "C:\Program Files\Picasa2\setup.exe"

[b]Finished![/b]


Total Scan report:


;***********************************************************************************************************************************************************************************
ANALYSIS: 2008-03-12 16:32:40
PROTECTIONS: 0
MALWARE: 38
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00027660 adware/savenow Adware No 0 Yes No HKEY_CLASSES_ROOT\Interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}
00027660 adware/savenow Adware No 0 Yes No hkey_local_machine\software\classes\runmsc.loader.1
00027660 adware/savenow Adware No 0 Yes No hkey_local_machine\software\classes\runmsc.loader
00027660 adware/savenow Adware No 0 Yes No HKEY_LOCAL_MACHINE\software\classes\CLSID\{9f95f736-0f62-4214-a4b4-caa6738d4c07}
00027660 adware/savenow Adware No 0 Yes No hkey_classes_root\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}
00029258 application/altnet HackTools No 0 Yes No HKEY_CLASSES_ROOT\Interface\{AD5BC1F0-72D8-44B3-8E3D-8E8FECCE43FB}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\typelib\{676f6d1d-c559-42a9-860b-27c1477b7179}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\typelib\{bff4f684-677e-44f4-8c74-1d575c950e10}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\altnet
00029258 application/altnet HackTools No 0 Yes No HKEY_CLASSES_ROOT\Interface\{E813099D-5529-47F4-9B37-4AFAFCB00A43}
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\clsid\{1d3bce37-7834-4579-8169-e67681420a98}
00029258 application/altnet HackTools No 0 Yes No HKEY_LOCAL_MACHINE\software\classes\CLSID\{B7156514-A76C-4545-9D5B-A4E1D02C7AEC}
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\clsid\{3646c2bd-3554-49ca-8125-44deefb881de}
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\clsid\{9bbcf06c-dcd7-495d-80df-cdd5399d0ff8}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\microsoft\windows\currentversion\uninstall\altnetdm
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\clsid\{b7156514-a76c-4545-9d5b-a4e1d02c7aec}
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\clsid\{def37997-d9c9-4a4b-bf3c-88f99eaceec2}
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\clsid\{e813099d-5529-47f4-9b37-4afafcb00a43}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\appid\adm.exe
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\appid\altnet signing module.exe
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\appid\{99a8e2b2-3405-4c0d-9110-131c14caaf62}
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\appid\adm.exe
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\appid\{99a8e2b2-3405-4c0d-9110-131c14caaf62}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\microsoft\windows\currentversion\app management\arpcache\altnetdm
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\adm.adm
00029258 application/altnet HackTools No 0 Yes No c:\program files\altnet
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\adm25.adm25.1
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\adm4.adm4
00029258 application/altnet HackTools No 0 Yes No HKEY_CLASSES_ROOT\TypeLib\{5830698F-7FC0-40CD-A453-9A0CAFDF3A64}
00029258 application/altnet HackTools No 0 Yes No HKEY_CLASSES_ROOT\Interface\{258A3625-183B-4477-AEE2-EA54DF6D878D}
00029258 application/altnet HackTools No 0 Yes No HKEY_CLASSES_ROOT\Interface\{582AB125-1403-42FB-9EFB-198690BA1496}
00029258 application/altnet HackTools No 0 Yes No HKEY_LOCAL_MACHINE\software\classes\CLSID\{1D3BCE37-7834-4579-8169-E67681420A98}
00029258 application/altnet HackTools No 0 Yes No HKEY_LOCAL_MACHINE\software\classes\CLSID\{3646C2BD-3554-49CA-8125-44DEEFB881DE}
00029258 application/altnet HackTools No 0 Yes No HKEY_CLASSES_ROOT\TypeLib\{676F6D1D-C559-42A9-860B-27C1477B7179}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\signingmodule.signingmodule
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\signingmodule.signingmodule.1
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\topsearch.tslink
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\topsearch.tslink.1
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\adm.adm
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\adm.adm.1
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\adm25.adm25
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\adm25.adm25.1
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\adm4.adm4
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\adm4.adm4.1
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\signingmodule.signingmodule
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\signingmodule.signingmodule.1
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\topsearch.tslink
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\topsearch.tslink.1
00029258 application/altnet HackTools No 0 Yes No HKEY_CLASSES_ROOT\AppID\{8B0FEF15-54DC-49F5-8377-8172DE975F75}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\adm25.adm25
00029258 application/altnet HackTools No 0 Yes No HKEY_CLASSES_ROOT\Interface\{E79DADC6-18D0-4A2A-831F-D196D41F8438}
00029258 application/altnet HackTools No 0 Yes No HKEY_LOCAL_MACHINE\software\classes\CLSID\{DEF37997-D9C9-4A4B-BF3C-88F99EACEEC2}
00029258 application/altnet HackTools No 0 Yes No HKEY_LOCAL_MACHINE\software\classes\CLSID\{9BBCF06C-DCD7-495D-80DF-CDD5399D0FF8}
00059895 adware/instafinder Adware No 0 Yes No c:\program files\instafink
00064489 adware/rxtoolbar Adware No 1 Yes No hkey_local_machine\software\classes\rxresult.rxresulttracker.1
00064489 adware/rxtoolbar Adware No 1 Yes No hkey_local_machine\software\classes\rxresult.rxresulttracker
00064489 adware/rxtoolbar Adware No 1 Yes No hkey_local_machine\software\classes\rxresult.rxresultfilter.1
00064489 adware/rxtoolbar Adware No 1 Yes No hkey_local_machine\software\classes\rxresult.rxresultfilter
00064489 adware/rxtoolbar Adware No 1 Yes No hkey_classes_root\clsid\{2ab289ae-4b90-4281-b2ae-1f4bb034b647}
00064489 adware/rxtoolbar Adware No 1 Yes No HKEY_LOCAL_MACHINE\software\classes\CLSID\{2ab289ae-4b90-4281-b2ae-1f4bb034b647}
00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@casalemedia[2].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[2].txt
00139535 Application/Processor HackTools No 0 Yes No C:\SDFix\apps\Process.exe
00139535 Application/Processor HackTools No 0 No No C:\Documents and Settings\Administrateur\Bureau\SDFix.exe[SDFix\apps\Process.exe]
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@tradedoubler[1].txt
00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@247realmedia[1].txt
00145457 Cookie/FastClick TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@fastclick[2].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@mediaplex[1].txt
00149104 Cookie/Date TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@date[2].txt
00167642 Cookie/Com.com TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@com[1].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt
00167706 Cookie/Sextracker TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@counter3.sextracker[1].txt
00167759 Cookie/Sextracker TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@counter9.sextracker[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@ad.yieldmanager[2].txt
00168058 Cookie/Sextracker TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@counter4.sextracker[1].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@apmebf[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@serving-sys[1].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@bs.serving-sys[1].txt
00168095 Cookie/888 TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@888[2].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[1].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@adtech[1].txt
00168110 Cookie/Server.iad.Liveperson TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@server.iad.liveperson[2].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@advertising[2].txt
00169286 Cookie/Sextracker TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@sextracker[1].txt
00169752 application/need2find HackTools No 0 Yes No hkey_current_user\software\need2find
00169752 application/need2find HackTools No 0 Yes No hkey_local_machine\software\need2find
00169752 application/need2find HackTools No 0 Yes No c:\program files\need2find
00172449 Cookie/MetriWeb TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@metriweb[2].txt
00172483 Cookie/888 TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@888[1].txt
00172484 Cookie/Cassava TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@cassava[1].txt
00211158 application/bestoffer HackTools No 0 Yes No c:\windows\smdat32m.sys
00517676 Application/Altnet HackTools No 0 Yes No C:\System Volume Information\_restore{E221648C-5E89-4C83-B57F-9DD5298BBA2E}\RP372\A0052750.dll
00519271 Adware/CWS.Searchmeup Adware No 1 Yes No C:\System Volume Information\_restore{E221648C-5E89-4C83-B57F-9DD5298BBA2E}\RP372\A0052748.exe
00519272 Adware/CWS.Searchmeup Adware No 1 Yes No C:\System Volume Information\_restore{E221648C-5E89-4C83-B57F-9DD5298BBA2E}\RP372\A0052749.dll
00735083 Application/Altnet HackTools No 0 Yes No C:\Program Files\Altnet\Download Manager\admdata.dll
01692698 Generic Malware Virus/Trojan No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Macromedia\Shockwave Player\xtras\download\TheGrooveAlliance\3DGrooveXtrav181\Groove.x32
;===================================================================================================================================================================================
SUSPECTS
Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
0
Réponse 7 / 20
Darckiller Messages postés 835 Date d'inscription mardi 10 juillet 2007 Statut Membre Dernière intervention 11 juin 2010 35
13 mars 2008 à 22:55
Salut,
concernant SDFix, il a fait son travail:

Trojan Files Found:

C:\install\install.exe - Deleted
C:\WINDOWS\smdat32a.sys - Deleted

--------------------------

J'ai bien fait de vérifier par un Totalscan Panda.
Comme tu peux le constater, ton PC est assez infecté par des types de malwares différents:

*Logiciel publicitaires intempestifs (Adwares):

00027660 adware/savenow Adware No 0 Yes No HKEY_CLASSES_ROOT\Interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}
00027660 adware/savenow Adware No 0 Yes No hkey_local_machine\software\classes\runmsc.loader.1
00027660 adware/savenow Adware No 0 Yes No hkey_local_machine\software\classes\runmsc.loader


*Ton PC s'est fait hacké (piraté) informé par la présence de ce malware:

00029258 application/altnet HackTools No 0 Yes No HKEY_CLASSES_ROOT\Interface\{AD5BC1F0-72D8-44B3-8E3D-8E8FECCE43FB}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\typelib\{676f6d1d-c559-42a9-860b-27c1477b7179}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\typelib\{bff4f684-677e-44f4-8c74-1d575c950e10}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\altnet


*Cheval de troie:
01692698 Generic Malware Virus/Trojan No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Macromedia\Shockwave Player\xtras\download\TheGrooveAlliance\3DGrooveXtrav181\Groove.x32 .


--------------------------------------------


On va donc, pour y remédier dans un premier temps faire ceci:

DESINSTALLE AVAST! -> je te le conseille fortement.

-Tu télécharges Avira Antivir PE 2007 (en anglais) (https://www.avira.com/ ),
installes le programme,
mets-le à jour et actives la protection en temps réel,
puis fais un scan minutieux et complet avec cet antivirus,
supprimes les malwares détectés.

Un excellent guide pour cet antivirus (à garder dans vos favoris): http://speedweb1.free.fr/frames2.php?page=tuto5

Avira Antivir PE 2007 est plus efficace qu'Avast! ( http://forum.malekal.com/ftopic3528.php ).

Si tu as Avast!, change-le pour Avira Antivir PE 2007 ( http://forum.malekal.com/ftopic4192.php ).

Règle d’or à respecter scrupuleusement: un seul antivirus principal par ordinateur.


----------------------------------------------


-Tu fais un scan en ligne avec F-SECURE ( http://support.f-secure.com/fra/home/ols.shtml
supprimes les malwares ou infections trouvés;

fais un scan en ligne avec Securiser (http://www.secuser.com/ ),
supprimes les malwares ou infections trouvés;

fais un scan en ligne avec Trend Micro PC-Cillin (https://www.trendmicro.com/fr_fr/business.html )
supprimes les malwares ou infections trouvés;

fais un scan en ligne avec Panda Security (https://www.pandasecurity.com/fr/homeusers/online-antivirus/?track=80379 )
supprimes les malwares ou infections trouvés;

Postes les rapports obtenus de F-SECURE et de Panda Security.


Fait ceci pour le moment et n'oublie pas les rapports ;) !

0
Réponse 8 / 20
gui
17 mars 2008 à 23:49
salut Darckiller

jai fait les choses que tu m'avais demanander sauf le scan en ligne avec Panda Security parce que pendant le scan mon ordi a planter et maintenant je ne suis plus capable de refaire le scan...dsl je comprend po pk je réessayerai demain
je t'envoie tout de meme le rapport de F-SECURE

dsl pour le retard j'etais absent les 4 derniers jours

F-SECURE Report:

Scanning Report
Monday, March 17, 2008 12:19:02 - 13:53:11
Computer name: TITANIUM
Scanning type: Scan system for malware, rootkits
Target: C:\


--------------------------------------------------------------------------------

Result: 3 malware found
Client-IRC.Win32.mIRC (spyware)
System
Tracking Cookie (spyware)
System
W32/Malware.CCDH (virus)
C:\PROGRAM FILES\CIRCLE DEVELOPEMENT\UNINSTALL.EXE (Submitted)

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 25938
System: 3418
Not scanned: 7
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 3
Submitted: 1
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{8CD5CFD9-FFAE-4ACD-88DD-7D2F2AE7CBB5}.BIN

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure USS: 2.30.0
F-Secure Hydra: 2.8.8110, 2008-03-17
F-Secure AVP: 7.0.171, 2008-03-17
F-Secure Pegasus: 1.20.0, 2008-02-07
F-Secure Blacklight: 1.0.64
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristics
0
Réponse 9 / 20
Darckiller Messages postés 835 Date d'inscription mardi 10 juillet 2007 Statut Membre Dernière intervention 11 juin 2010 35
18 mars 2008 à 22:56
Salut,
on passe à la suite:

-Tu télécharges:
Spybot S&D 1.52 (https://www.safer-networking.org/download/ ),
installes cet antispyware,
mets le à jour,
puis fais un scan minutieux et complet de ton PC avec,
et supprime les problèmes qui vont s'afficher.
Garde le, il te sera très utile, et tu pourras découvrir ses nombreuses fonctions au fur et à mesure.


----------------------------------


Ces outils sont spécifiques, utilisent les avec précautions; au moindre doute, tu envoiens un message:

-Tu télécharges Clean
( http://mickael.barroux.free.fr/securite/clean.php )
et suis le guide de la page (imprime-le),
postes le rapport obtenu.


-Tu télécharges Navilog
( http://mickael.barroux.free.fr/securite/navilog.php )
et suis le guide de la page (imprime-le),
postes le rapport obtenu.


-Tu télécharges SmitFraudFix
( http://telechargement.zebulon.fr/smitfraudfix.html
suis le guide de cette page ( https://www.zebulon.fr/dossiers/tutoriaux/66-smitfraudfix.html
Ne fais tout d'abord que l'option n°1
et postes le rapport obtenu.

Une fois que j'aurais lu le log, tu pourras faire l'option n°2.

0
Réponse 10 / 20
gui
21 mars 2008 à 03:36
Salut Darckiller,
Jai finalement eu le temps de refaire le scan de panda security, alors si tu veu encore m'aider voici le rapport

Incident Statut Analyse

Outil indésirable:application/regfreeze No Désinfecté C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\RegFreeze.lnk
Outil indésirable:application/bestoffer No Désinfecté c:\windows\smdat32m.sys
Outil indésirable:application/altnet No Désinfecté c:\program files\Altnet
Adware:adware/instafinder No Désinfecté c:\program files\INSTAFINK
Outil indésirable:application/need2find No Désinfecté c:\program files\Need2Find
Adware:adware/rxtoolbar No Désinfecté Registre Windows
Adware:adware/savenow No Désinfecté Registre Windows
Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@247realmedia[2].txt
Spyware:Cookie/888 No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@888[1].txt
Spyware:Cookie/888 No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@888[2].txt
Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@ad.yieldmanager[1].txt
Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@advertising[2].txt
Spyware:Cookie/Apmebf No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@apmebf[1].txt
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[2].txt
Spyware:Cookie/Azjmp No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@azjmp[2].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[1].txt
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@bs.serving-sys[2].txt
Spyware:Cookie/Casalemedia No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@casalemedia[2].txt
Spyware:Cookie/Cassava No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@cassava[1].txt
Spyware:Cookie/Com.com No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@com[1].txt
Spyware:Cookie/Sextracker No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@counter3.sextracker[1].txt
Spyware:Cookie/Sextracker No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@counter4.sextracker[1].txt
Spyware:Cookie/Sextracker No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@counter9.sextracker[1].txt
Spyware:Cookie/Date No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@date[2].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@doubleclick[2].txt
Spyware:Cookie/FastClick No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@fastclick[1].txt
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@mediaplex[1].txt
Spyware:Cookie/MetriWeb No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@metriweb[2].txt
Spyware:Cookie/Server.iad.Liveperson No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@server.iad.liveperson[1].txt
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@serving-sys[2].txt
Spyware:Cookie/Sextracker No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@sextracker[1].txt
Spyware:Cookie/WebtrendsLive No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@statse.webtrendslive[2].txt
Spyware:Cookie/Traffic Marketplace No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@trafficmp[1].txt
Spyware:Cookie/Tribalfusion No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@tribalfusion[2].txt
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt
Spyware:Cookie/Zedo No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@zedo[1].txt
Outil indésirable:Application/Altnet No Désinfecté C:\Program Files\Altnet\Download Manager\admdata.dll
Outil indésirable:Application/Processor No Désinfecté C:\RECYCLER\S-1-5-21-2025429265-602609370-682003330-500\Dc47.exe[SDFix\apps\Process.exe]
Outil indésirable:Application/Processor No Désinfecté C:\SDFix\apps\Process.exe
0
Réponse 11 / 20
Darckiller Messages postés 835 Date d'inscription mardi 10 juillet 2007 Statut Membre Dernière intervention 11 juin 2010 35
21 mars 2008 à 19:10
D'accord, c'est bien pour le scan Panda Secutity en ligne car il a désinfecté pas mal de choses d'après le rapports et pas que des cookies de tracking...

Passe à la suite comme indiquer dans mon précédent message;

Ces outils sont spécifiques, utilisent les avec précautions; au moindre doute, tu envoiens un message:

-Tu télécharges Clean
( http://mickael.barroux.free.fr/securite/clean.php )
et suis le guide de la page (imprime-le),
postes le rapport obtenu.

Suppirme-le ensuite de ton PC


-Tu télécharges Navilog
( http://mickael.barroux.free.fr/securite/navilog.php )
et suis le guide de la page (imprime-le),
postes le rapport obtenu.

Supprime le ensuite de ton PC


-Tu télécharges SmitFraudFix
( http://telechargement.zebulon.fr/smitfraudfix.html
suis le guide de cette page ( https://www.zebulon.fr/dossiers/tutoriaux/66-smitfraudfix.html
Ne fais tout d'abord que l'option n°1
et postes le rapport obtenu.

Garde le pour le moment =>
Une fois que j'aurais lu le log, tu pourras faire l'option n°2.



0
Réponse 12 / 20
gui
23 mars 2008 à 23:23
salut Darckiller
J'ai faite tout ce que tu m'avais demander voici les rapport

-----------Rapport clean:

2008-03-21 a 13:51:56,92

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\
C:\WINDOWS\smdat32m.sys FOUND

*** Recherche des fichiers dans C:\WINDOWS\system32
"C:\WINDOWS\Downloaded Program Files\CONFLICT.1" FOUND

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\GameHouse\" FOUND
"C:\Program Files\Need2Find\" FOUND
*** Fin du rapport !


--------Rapport clean supression:

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 2008-03-21 a 14:04:10,18

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\
tentative de suppression de C:\WINDOWS\smdat32m.sys

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de "C:\WINDOWS\Downloaded Program Files\CONFLICT.1"

*** Suppression des fichiers dans C:\Program Files
tentative de suppression de "C:\Program Files\GameHouse\"
tentative de suppression de "C:\Program Files\Need2Find\"

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !


------------Rapport FixNaviLog

Search Navipromo version 3.5.1 commencé le 2008-03-23 à 17:44:34,10

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session utilisée : Administrateur

Mise à jour le 23.03.2008 à 22h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 2008-03-23 à 17:46:34,65 ***


--------------Rapport FixNaviLog supression

Clean Navipromo version 3.5.1 commencé le 2008-03-23 à 17:48:34,79

Outil exécuté depuis C:\Program Files\navilog1
Session utilisée : Administrateur

Mise à jour le 23.03.2008 à 22h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS



*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 2008-03-23 à 17:50:55,12 ***


------------------Rapport FixNaviLog supression mode manuelle

Clean Navipromo version 3.5.1 commencé le 2008-03-23 à 17:57:27,40

Outil exécuté depuis C:\Program Files\navilog1
Session utilisée : Administrateur

Mise à jour le 23.03.2008 à 22h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS


Mode suppression par méthode manuelle

Nom du fichier saisi : zxcvbnmas.datasdfghjkl.exeqwertyuio_nav.datqazwsxedc_navps.dat

*** Recherche, création sauvegardes et suppression ***

* Suppression dans C:\WINDOWS\system32 *

* Suppression dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *


*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 2008-03-23 à 18:03:51,89 ***

----------------Rapport SmitFraudFix etape 1

SmitFraudFix v2.307

Rapport fait à 18:10:01,42, 2008-03-23
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 209.169.131.69
DNS Server Search Order: 209.169.131.80

HKLM\SYSTEM\CCS\Services\Tcpip\..\{603B0680-9A83-4F8F-8FB4-CAF4AA4E20A3}: NameServer=209.169.131.69 209.169.131.80
HKLM\SYSTEM\CS1\Services\Tcpip\..\{603B0680-9A83-4F8F-8FB4-CAF4AA4E20A3}: NameServer=209.169.131.69 209.169.131.80
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=206.47.244.91 206.47.244.50


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Bon Courage pis je te remercie vraiment pour ton aide
0
Réponse 13 / 20
Darckiller Messages postés 835 Date d'inscription mardi 10 juillet 2007 Statut Membre Dernière intervention 11 juin 2010 35
24 mars 2008 à 11:12
Salut,
bon d'après les rapports, il ne reste pas grand chose sur ton PC, et on a presque fini :) !

Refais SmitFraudFix
( http://telechargement.zebulon.fr/smitfraudfix.html
suis le guide de cette page ( https://www.zebulon.fr/dossiers/tutoriaux/66-smitfraudfix.html
et choisis l'option n°2 cette fois ci


---------------------------------


Il faut maintenant procédé au nettoyage:

-Tu télécharges CCleaner (https://filehippo.com/download_ccleaner/ ) la dernière version est celle juste à côté de la flèche verte,
installes le sur ton PC (lors de l'installation, au début, décoche la case Yahoo! mettant en place une barre d'outils).
Cliques sur l'icône "Option" sur le côté gauche,
puis cliques sur le bouton "Propriétés",
ne coches que la case "Effacement sécurisé du fichier (lent)",
puis dans le menu déroulant en dessous sélectionnes "Effacement type Guttman (35 passages)".
Cliques maintenant sur le bouton "Avancé",
ne coches que la case "Enregistrer toutes les propriétés du fichier Ini".
Cliques sur l'icône "Registre" sur le côté droit (petits cubes bleus),
coches la case à côté de "Intégrité du registre" (en bleu),
puis cliques sur la touche "Chercher les erreurs" en bas à gauche,
une fois la barre du haut verte à 100 %, la recherche est terminée,
cliques sur la touche "Réparer les erreurs sélectionnées" en bas à droite.
Cliques ensuite sur l'icône "Nettoyeur" sur le côté droit (le pinceau),
coches toutes cases des onglets "Windows" et "Application",
cliques sur le bouton "Analyse" en bas à gauche,
une fois la barre du haut verte à 100 %, l'analyse est terminée,
cliques sur le bouton "Lancer le nettoyage" en bas à droite.


---------------------------



-Tu télécharges SpywareBlaster de Javacool Software (http://www.brightfort.com/spywareblaster.html ),
installes le sur ton PC,
mets le à jour en cliquant sur "Updates" dans le menu sur la colonne bleue à gauche,
cliques sur le bouton "Check for Updates" en bas,
actives la protection en cliquant sur "Enable All Protection".
Ce logiciel va empêcher les script malvaillants et les sites malwares d'attaquer ton PC en vaccinant ton disque dur et ton navigateur web. Il n'agit pas en temps réel et il n'a pas de scan.


-------------------------------



-Tu désactives le par-feu de Windows XP car il n'est pas fiable et ne protège que dans un seul sens ta connexion Internet:
Démarrer -> Panneau de configuration (en mode catégorie) -> Centre de Sécurité (le bouclier aux couleurs Windows) -> Dans le menu "Gérer les paramètres de sécurité pour:", clique sur "Par-feu Windows"-> Coche l'option "Désactivé (non recommander)" (le bouclier rouge avec une croix) -> Clique sur le bouton "Ok" en bas.




-Tu télécharges Online Armor Firewall ( http://www.tallemu.com/free-firewall-protection-software.html ),
installes le programme,
configures le par défaut comme indiquer sur cet excellent guide à garder dans tres favoris ( https://www.malekal.com/tutorial-online-armor-free/ );
il est simple d'utilisation et très efficace.


----------------------------------------

Purger la restauration système est important:

-Tu désactives la Restauration du système Windows:
Démarrer -> Panneau de configuration (en mode catégorie) -> Performance et maintenance -> Système -> Onglet "Restauration du système" -> coche la case "Désactivé la restauration du système"
-> Clique sur le bouton "Appliquer" en bas -> Clique sur le bouton "Ok" en bas.
En effet, certains virus se servent délibérément de la restauration du système afin de pouvoir se réactiver suite à une suppression.



-Tu réactives la Restauration du système, un outils utile de Windows:
Démarrer -> Panneau de configuration (en mode catégorie) -> Performance et maintenance -> Système -> Onglet "Restauration du système" -> Décoche la case "Désactivé la restauration du système"
-> Clique sur le bouton "Appliquer" en bas -> Clique sur le bouton "Ok" en bas.



-----------------------------------



-Tu fais un nouveau scan et rapport avec HijackThis:
ouvre HJTH en cliquant sur l'icône nouvelle qui apparaît (un détective avec un chapeau rouge),
cliques sur le bouton "Do a system scan and save a log file",
attends qu'il est fini le scan de ton PC,
une page de texte (généralement le bloc-note) s’ouvrent avec des lignes: c'est ton rapport ;
copie et colle ce rapport sur un nouveau message.


0
Réponse 14 / 20
gui
27 mars 2008 à 20:07
salut Darckiller
voici le rapport de scan de hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:05:05, on 2008-03-27
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Tall Emu\Online Armor\oasrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Tall Emu\Online Armor\oaui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.531\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.rds.ca/hockey/canadiens
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [OnlineArmor GUI] "C:\Program Files\Tall Emu\Online Armor\oaui.exe"
O4 - HKCU\..\Run: [DateChin] C:\DOCUME~1\ADMINI~1\APPLIC~1\FRAGMP~1\Trans chic.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
O17 - HKLM\System\CCS\Services\Tcpip\..\{603B0680-9A83-4F8F-8FB4-CAF4AA4E20A3}: NameServer = 209.169.131.69 209.169.131.80
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Card Adapter (NETDown) - Unknown owner - C:\WINDOWS\smss.exe (file missing)
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Online Armor (SvcOnlineArmor) - Tall Emu - C:\Program Files\Tall Emu\Online Armor\oasrv.exe
0
Réponse 15 / 20
Darckiller Messages postés 835 Date d'inscription mardi 10 juillet 2007 Statut Membre Dernière intervention 11 juin 2010 35
27 mars 2008 à 22:55
Salut,

tu peux cocher cela et faire fix:

O23 - Service: Card Adapter (NETDown) - Unknown owner - C:\WINDOWS\smss.exe (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [DateChin] C:\DOCUME~1\ADMINI~1\APPLIC~1\FRAGMP~1\Trans chic.exe

pour le dernier,

va en mode sans échec (procédure vue plus haut)

va dans exécuter dans le menu Windows Démarrer -> tape msconfig -> va dans l'onglet Démarrage -> Décoche la ligne s'apparantant à "Date Chin" ou à "Trans Chic.exe" -> clik sur Appliquer, puis OK -> redémarre ton PC en mode normal.

Dis-moi si ton PC va mieux et si tout refonctionne comme avant.
0
Réponse 16 / 20
gui
30 mars 2008 à 01:41
Salut Darckiller
oui mon PC est redevenue comme avant je n'ai plus de message publicitaire quand je suis sur internet

je te remercie encore pour ton aide
0
Réponse 17 / 20
Darckiller Messages postés 835 Date d'inscription mardi 10 juillet 2007 Statut Membre Dernière intervention 11 juin 2010 35
30 mars 2008 à 12:20
Ok, très bien :) !

Mets ton sujet en résolu !
0
Réponse 18 / 20
gui
31 mars 2008 à 20:32
Salut Darckiller
c quoi tu veu dire ?? : Mets ton sujet en résolu !
0
Réponse 19 / 20
Darckiller Messages postés 835 Date d'inscription mardi 10 juillet 2007 Statut Membre Dernière intervention 11 juin 2010 35
3 avril 2008 à 23:51
Tout en haut de ton premier message de ton sujet dans l'encadré bleu il y a marquer "non résolu" en orange;
tu dois le mettre en résolu (cela devient vert en suite), comme cela, si quelqu'un a le même problème que toi, il pourra consulté le sujet et trouvé la réponse à son problème.

Voilà :)
0
Réponse 20 / 20
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
4 avril 2008 à 00:51
Salut !

tu dois le mettre en résolu

Il n'est pas inscrit, il ne peux le faire...

Un conseil :

Java\jre1.6.0_01
La console Java n'est pas à jour: Faille de sécurité !!!
Clique sur Download Latest Version

CClique sur Download Latest Version puis installe java.
En fin d'installation, revient sur la page pour vérifier ton installation.
Quand l'installation a réussi, ouvre le panneau de configuration >
Ajout/suppression de programmes et supprimes les anciennes versions (de java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions.
Fais cela pour chacune d'elle, une a une, fais redémarrer ton PC quand cela te le sera demandé .
Tu gardes la Java\jre1.6.0_05 !
------------------------------------------------------------------------------------------------------------------------
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

ALCMTR.EXE est un spyware installé avec les pilotes realtek ! Le but de ce spyware est de prendre certaines informations de ton ordinateur. Donc, oui, cette ligne est à enlever ;)

Realtek AC97 Audio - Event Monitor. "Sypware" file used surreptitiously monitor one's actions. It is not a sinister one, like remote control programs, but it is being used by Realtek to gather data about customers

Source : https://www.bleepingcomputer.com/startups/alcmtr-240.html

Ouvre HijackThis et clique sur do a system scan only.
Coche la ligne suivante :
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

Clique sur Fix Checked. Ferme HijackThis.

Utilise la fonction rechercher via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!!
Il se peut meme qu il y en ai plusieurs! Supprime les tous!!
-------------------------------------------------------------------------------------------------------------------
O23 - Service: Card Adapter (NETDown) - Unknown owner - C:\WINDOWS\smss.exe (file missing)
http://www.castlecops.com/o23list-2319.html

Supprime le(s) fichier(s) incriminé(s) s'il(s) existe(nt) encore par l'Explorateur Windows :
C:\WINDOWS\smss.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

concernant les jeux boonty

Voici une petite information sur Boonty games

Leur politique :

"Il se peut que nous partagions aussi des informations payantes avec des tiers
qui fournissent des services payants et partage des données regroupées montrant le type
et le nombre de jeux videos que vous téléchargez, votre age, votre sexe, vos occupations,
niveau d'éducation, localité géographique, données sur l'équipement de votre ordinateur,
internet et intérêts pour les jeux videos, activités et entrainement des jeux édités.
De plus, nous partageons les adresses email avec des tiers fournisseurs de comptes mails
qui nous assistent en envoyant nos mails a de nombreux clients en même temps..."

Ce qui veut dire que tu leur donnes tes coordonnées, que eux ensuite les transmettent à d'autres sociétés,
qui t'envoient des pubs......

si tu es d'accord avec eux, pas de problèmes sinon, il faut desintaller le service

Supprimer Boonty Games

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

Essaie de voir si tu peux le supprimer avec "Ajouter/supprimer des programmes" du panneau de démarrage. Puis:

Dans Démarrer > Exécuter et taper Services.msc puis valide par OK
Choisir le mode "Etendu" (onglets inférieurs)
Grâce à la barre de défilement (à droite) rechercher le service suivant:

Boonty games

Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).
Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter,
Dérouler le Type de Démarrage pour le modifier en Désactivé
Clique sur Appliquer puis valide par OK

Rends toi ici:

C:\Program Files\Fichiers communs\BOONTY Shared\

et supprime le dossier BOONTY Shared

Lance Hijackthis, choisi Open the Misc.Tools section
La fenêtre "Configuration" va s'ouvrir
Clique sur Delete a NT service...
La fenêtre "Delete a Windows NT service" va s'ouvrir
Saisi dans la zone de dialogue :

Boonty Games


Note : s'assurer de ne mettre d'espace, ni avant, ni après !
cliquer OK

Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez redémarrer.
Clique NO

Télécharge [ https://www.ccleaner.com/ccleaner/download CCleaner Slim]


Installe-le, lance-le et clique sur l'onglet : "Registre"
Clique sur "Rechercher des erreurs" puis "Corriger les erreurs"
Répond "oui" à la demande de sauvegarde proposée par le logiciel et enregistre-là dans tes documents

REDEMARRER !

Poste un nouveau log Hijackthis
0

Discussions similaires

Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses
Que fait le virus LPI Win32 Pup-Gen
Tristan Chrome -
Tristan Chrome -

2 réponses