J'ai plusieurs infection sur mon pc

Résolu
iolite -  
afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,j'ai plusieurs infection sur mon pc.
j'aurais besoin d'un peut d'aide ça fait une semaine que je cherche dans mon coin et ça donne rien.Avast me trouve un virus:win32 FreeTrip-e.
j'ai suivi la méthode préliminaire de désinfection dont voici les résultats

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 11:17:47 03/10/2007
+ Résultat de l'analyse:
Rien à signaler.
Fin du rapport

rapport BitDeFender:
BitDefender Online Scanner
Rapport d'analyse généré à: Wed, Oct 03, 2007 - 17:12:40
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;H:\;
Statistiques
Temps
01:30:56
Fichiers
314417
Directoires
5953
Secteurs de boot
5
Archives
6710
Paquets programmes
15343
Résultats
Virus identifiés
2
Fichiers infectés
6
Fichiers suspects
0
Avertissements
0
Désinfectés
0
Fichiers effacés
12
Info sur les moteurs
Définition virus
824836
Version des moteurs
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
Analyse des plugins
14
Archive des plugins
38
Unpack des plugins
7
E-mail plugins
6
Système plugins
1
Paramètres d'analyse
Première action
Désinfecté
Seconde Action
Supprimé
Heuristique
Oui
Acceptez les avertissements
Oui
Extensions analysées
*;
Excludez les extensions
Analyse d'emails
Oui
Analyse des Archives
Oui
Analyser paquets programmes
Oui
Analyse des fichiers
Oui
Analyse de boot
Oui
Fichier analysé
Statut

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak=>(message 206)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 23:07:09 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/0C6D684B.exe=>(Quarantine-2)
Infecté par: Worm.Padobot.BS

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak=>(message 206)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 23:07:09 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/0C6D684B.exe=>(Quarantine-2)
Echec de la désinfection

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak=>(message 206)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 23:07:09 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/0C6D684B.exe=>(Quarantine-2)
Supprimé

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak=>(message 206)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 23:07:09 +0200]=>(MIME part)=>norton 2003.zip
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak=>(message 206)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 23:07:09 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/675169A2=>(Quarantine-2)
Infecté par: Trojan.Downloader.Wintrim.W

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak=>(message 206)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 23:07:09 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/675169A2=>(Quarantine-2)
Echec de la désinfection

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak=>(message 206)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 23:07:09 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/675169A2=>(Quarantine-2)
Supprimé

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak=>(message 206)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 23:07:09 +0200]=>(MIME part)=>norton 2003.zip
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak=>(message 206)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 23:07:09 +0200]=>(MIME part)
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak=>(message 206)
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak
Echec de la mise à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt=>(message 0)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/0C6D684B.exe=>(Quarantine-2)
Infecté par: Worm.Padobot.BS

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt=>(message 0)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/0C6D684B.exe=>(Quarantine-2)
Echec de la désinfection

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt=>(message 0)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/0C6D684B.exe=>(Quarantine-2)
Supprimé

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt=>(message 0)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt=>(message 0)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/675169A2=>(Quarantine-2)
Infecté par: Trojan.Downloader.Wintrim.W

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt=>(message 0)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/675169A2=>(Quarantine-2)
Echec de la désinfection

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt=>(message 0)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/675169A2=>(Quarantine-2)
Supprimé

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt=>(message 0)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt=>(message 0)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt=>(message 0)
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt
Echec de la mise à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx=>(message 139)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/0C6D684B.exe=>(Quarantine-2)
Infecté par: Worm.Padobot.BS

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx=>(message 139)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/0C6D684B.exe=>(Quarantine-2)
Echec de la désinfection

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx=>(message 139)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/0C6D684B.exe=>(Quarantine-2)
Supprimé

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx=>(message 139)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx=>(message 139)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/675169A2=>(Quarantine-2)
Infecté par: Trojan.Downloader.Wintrim.W

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx=>(message 139)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/675169A2=>(Quarantine-2)
Echec de la désinfection

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx=>(message 139)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/675169A2=>(Quarantine-2)
Supprimé

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx=>(message 139)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx=>(message 139)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx=>(message 139)
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx
Echec de la mise à jour

rapport HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 19:08:33, on 03/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.crawler.com/?tbid=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Xerox WorkCentre 480cx Monitor] RUNDLL32.EXE C:\WINDOWS\System32\X480SHLL.DLL,AutoUpdatePnPValue
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Download by NetAnts - L:\netant\NetAnts\NAGet.htm
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download &All by NetAnts - L:\netant\NetAnts\NAGetAll.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\MSOFFI~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\OFFICE~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5130/mcfscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Documents and Settings\FORTIN\Bureau\telephone portable\BTNtService.exe (file missing)
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)

Si quelqu'un peut m'aide ,merci d'avance.
Autre chose j'ai vu des traces de norton mais je l'aie plus sur mon pc depuis un bon moment.
Configuration: Windows XP
Internet Explorer 7.0

17 réponses

  1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonsoir iolite

    Quel est ton pare-feu ?
    Est-il activé ?

    Applique les deux tests à cette adresse SVP
    http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ie&venid=sym
    Clic sur "Test your computer's exposure"

    Merci
    Al.
    0
  2. iolite Messages postés 2 Statut Membre
     
    bonsoir, merci de me répondre
    j'ai le pare feu de windows qui est activé
    j'éssaye de suite la manip
    0
  3. iolite
     
    voici le résultat du security scan
    Security Status: At Risk!
    You are vulnerable to at least one form of security threat.

    = At Risk! = Possible Risk! = Safe

    Hacker Exposure Check Show Details

    Hide Details

    Description:
    Tests your TCP ports for unauthorized Internet connections.

    Analysis:
    Your computer appears safe from most common intrusions. To learn more about the threats you are protected against, view a detailed analysis of your test results.

    Windows Vulnerability Check Show Details

    Hide Details

    Description:
    Tests whether basic information, including your PC's network identity, can be seen by hackers.

    Analysis:
    Your computer's identity is secure. However, this does not mean you are completely safe from all Internet security threats.

    Trojan Horse Check Show Details

    Hide Details

    Description:
    Attempts to test for access to your computer through methods commonly used by Trojan horses.

    Analysis:
    Your computer and data are not vulnerable to Trojan horse attacks. However, Trojan horse threats are constantly evolving, and unless you have a personal firewall and current virus protection, you're not completely safe. To learn more about threats you are protected against, view a detailed analysis of your test results.

    Antivirus Product Check Show Details

    Hide Details

    Description:
    Checks for a current version of a commonly-used virus protection product.

    Analysis:
    WARNING! No known virus protection software found. This means your computer and data are vulnerable to virus attacks. Virus attacks can have serious consequences, including system damage and data loss.

    Recommendation:
    Install the latest version of a commonly-used virus protection product.

    le deuxième scan est en route
    merci
    0
  4. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,
    C'est bon pour ce premier.

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. iolite
     
    Bonjour,
    voici le deuxieme
    Virus Status: Safe!
    Your computer is free of known threats.
    Virus Status: Infected!
    Your computer is infected with at least one known threat. Virus Status: Unknown
    The Scan was unable to determine your vulnerability status.

    73676 files scanned, 0 file(s) infected on your disk drives.

    No viruses were detected in memory.

    Your computer is free of known threats. Virus Detection does not check compressed files.

    Your computer appears safe for now. For real-time protection from viruses, hackers and privacy threats, upgrade to Norton Internet Security™.

    on dirait qu'il trouve rien, mais je comprend pas tout
    je te laisse faire
    merci afideg
    0
  7. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,
    OK, c'est encore bonne nouvelle.

    Mais je trouve ceci à te proposer ( c'est cependant sérieux ):

    1°- O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe ==> désactive le bouclier résident; ça freine le PC au démarrage.
    As-tu bien la version à l'essai 29 jours ? Après quoi, il faut faire les mises à jour manuellemment.
    Tu as déjà la protection résidente de Spybot S&D.

    2°- Lance une recherche de l'explorateur Windows sur pied de "norton 2003" et supprime le/les dossiers trouvé/s. ( cherche aussi Norton, Symantec Shared et Symantec ! ) ==> les infections se trouvaient dans la quarantaine de Norton qui, je suppose, avait été "désinstallé" .
    Désinstallation Norton AV par zebulon:
    https://forum.zebulon.fr/topic/87793-d%C3%A9sinstallation-norton-av/
    http://speedweb1.free.fr/frames2.php?page=divers3
    http://www.hotline-pc.org/norton.htm

    3°- Firewall de Windows XP SP2 ne protège que les fichiers entrants !
    C'est pourquoi les infections se trouvaient dans tes courriels envoyés Outlook Express\Éléments envoyés.dbx.
    Mais as-tu fait communiquer Outlook Express avec MSN Hotmail ? ( ce qui signifierait bien que l'infection puisse être passée par la faille de MSN Messenger ancienne version.)

    Comment configurer pare-feu Windows :
    Vas dans "Panneau de configuration" et ouvre le "Centre de sécurité" (icône du bouclier)
    Assure-toi tout d'abord que le pare-feu est activé (le bouton est vert dans ce cas!).
    Clique sur le menu pare-feu et sélectionne l'onglet "Exceptions".
    Si la case "Partage de fichiers et d'imprimantes" est cochée , décoche-la.
    Le pare-feu de Windows XP ne contrôle que les connexions entrantes et encore.
    Et si tu as un trojan c'est surtout les connexions sortantes qu'il faut contrôler...
    Le parefeu Windows configuré de cette manière évite la surinfection

    Autre pare-feu:
    KERIO: ( pare-feu, qui reste gratuit après la période d'essai de 21 jours! ) , ici : < http://www.dsi12.fr/telechargements/vnc/kerio-kpf-4.2.2-911-win.exe >
    ou là :< http://www.infos-du-net.com/telecharger/Firewall-Kerio-Personal,0301-390.html >

    •- Ensuite lancer l'installation de ce pare-feu.
    Pour cela:
    - tu dois impérativement couper la connexion de ton modem (débranche-le),
    -Ça peut être un routeur et tu es relié par un câble, tu débranches le cable.
    -Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle).
    -ensuite installer ce pare-feu une fois téléchargé ,
    -et l'activer ( vérifier à ce moment que celui de Windows soit bien désactivé)
    -si non, fais-le manuellement, comme ceci : - Démarrer ->panneau de config (en affichage classique) -> pare-feu windows et tu le mets sur "désactiver". )
    •- et enfin si tout s'est bien déroulé, rétablir ta connexion à Internet. .
    Eventuellement mettre à jour Kério.

    Avec ces tutoriels pour configurer et comprendre l'utilisation de Kerio
    - http://www.chez.com/leppa/scripts/kpfV4.html
    - https://www.vulgarisation-informatique.com/kerio.php
    - https://www.vulgarisation-informatique.com/pare-feu-xp.php >
    -Tuto - https://forums.cnetfrance.fr
    -Bloquer des ports avec Kerio - créer une règle de filtrage < https://www.vulgarisation-informatique.com/bloquer-ports.php >

    4°- Je vois que tu a toujours MNS Messenger 7.5. je ne comprends pas comment cela se fait.
    MSN a bloqué toutes les anciennes versions pour imposer Windows Live Messenger 8.1 < http://www.infos-du-net.com/actualite/9757-windows-live-messenger.html >

    5°- Tu as utilisé une ancienne version HijackThis v1.99.1; on est à la version stable HijackThis™ 2.0 .2

    a)- Donc, supprime ta version HijackThis v1.99.1, comme ceci: Clic "Démarrer" > "Panneau de configuration" > "Ajout/suppr.de programmes" > et dans la liste, sélectionne HijackThis v1.99.1 que tu supprimes.

    b)- Maintenant, il faut installer la nouvelle version HijackThis™ 2.0 .2, comme ceci:
    - Avec connexion au Net en service,
    Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2
    Clique sur ce lien http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
    Enregistre HJTInstall.exe sur ton bureau.
    - Déconnecte ton PC du Net ( débranche ton modem )
    Double-clique sur HJTInstall.exe pour lancer le programme d'installation
    Accepte la license en cliquant sur le bouton "I Accept"
    Par défaut, il s'installera là : C:\Program Files\Trend Micro\HijackThis
    -Redémarre ton PC impérativement.
    Tutoriel : http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

    •- Important à faire en priorité > Désactive le Tea Timer de Spybot en passant par les options de Spybot S&D:==> il faut, une fois dans le logiciel, aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Tea Timer" . Tu ne dois plus voir l'icône du Tea Timer dans la barre de tâches! Tu le réactiveras après les applications.

    •- Arrête tous les programmes en cours et ferme toutes les fenêtres (Ne garde ouvert que HJT).
    Lance HJT ( par le raccourci sur le bureau ), clic « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche la case devant ces lignes:

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.crawler.com/?tbid=60327
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO


    Ensuite ferme tes programmes en cours, SURTOUT LES LOGICIELs AVEC PROTECTION EN TEMPS REEL, (antivirus, tea timer, ewido, ad-watch)... ( seul HijackThis doit être ouvert ) , et ensuite Clic [Fix checked] ==> (fixer =corriger)

    •- Relance ensuite Hijackthis et cette fois clic sur le bouton [Do a system scan and save logfile] pour faire une analyse complète et pour générer le rapport et poste-le sur le forum .

    6°- Avast a de graves lacunes.

    Pense à le remplacer comme ceci:
    a)- Désinstaller Avast: <
    https://www.avast.com/fr-fr/uninstall-utility >

    Antivir détecte beaucoup plus de dropper/malwares qu'Avast! En gratos, je ne peux que te conseiller Antivir qui est très efficace.Malekal Morte a fait un comparatif ici entre Avast/Antivir > http://forum.malekal.com/ftopic3528.php
    Je te conseille de le lire: ça te permettra de te faire un avis.

    b)- Télécharger Antivir sur le site de l'éditeur pour avoir la dernière version qui est celle-ci pour xp:< https://www.avira.com/en/free-antivirus-windows > qui prend en compte la case Rootkit. - En effet, il faut cocher la détection de rootkits --> Search for rootkits..........: doit être [ON] ( cocher la case « mode expert ».
    Avec ses tutoriels : < http://www.malekal.com/tutorial_antivir.html > , < http://www.libellules.ch/tuto_antivir.php > et < http://manuelsdaide.com/Antivir/Antivir.htm > .

    Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation;

    Attention : Après l'installation du programme, et avant de lancer l'analyse, il faut redémarrer le PC en mode sans échec < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >

    Lancer Antivir en Scan complet ( analyse avancée )
    Supprimer tous les fichiers infectés trouvés

    Bonne chance
    Je dois quitter maintenant impérativement
    Désolé; à demain
    Al
    0
    1. iolite Messages postés 2 Statut Membre
       
      bonjours,
      j'ai fait les manip que tu m'a indiqué
      je suis pas trés sur de ma configuration de Kerio
      voici le nouveau rapport de HijackThis2.02
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 17:37:09, on 04/10/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16512)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
      C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\WINDOWS\system32\drivers\CDAC11BA.EXE
      C:\WINDOWS\SYSTEM32\GEARSEC.EXE
      C:\WINDOWS\system32\rundll32.exe
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
      C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\WINDOWS\System32\svchost.exe
      c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
      O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
      O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
      O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
      O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
      O4 - HKLM\..\Run: [Xerox WorkCentre 480cx Monitor] RUNDLL32.EXE C:\WINDOWS\System32\X480SHLL.DLL,AutoUpdatePnPValue
      O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O8 - Extra context menu item: &Download by NetAnts - L:\netant\NetAnts\NAGet.htm
      O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
      O8 - Extra context menu item: Download &All by NetAnts - L:\netant\NetAnts\NAGetAll.htm
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\MSOFFI~1\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\OFFICE~2\Office12\EXCEL.EXE/3000
      O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
      O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
      O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
      O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
      O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
      O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
      O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
      O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
      O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
      O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
      O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
      O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5130/mcfscan.cab
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Documents and Settings\FORTIN\Bureau\telephone portable\BTNtService.exe (file missing)
      O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
      O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
      O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
      0
  8. iolite
     
    bonjour,
    j'ai fait toutes les manips qu'afideg m' a conseillé
    es ce que quelqu'un peut me dire si mon dernier rapport avec HijackThis2.02 es bon?
    j'ai egalement changé d'antivirus,j' ai mis AntiVir PersonalEdition Classic ,
    j'ai fait un scan en mode sans echec et supprimé les dossiers infecté et il me reste un fichier que je n'arrive pas a supprimer:
    Starting the file scan:
    Begin scan in 'C:\'
    C:\pagefile.sys
    [WARNING] The file could not be opened!
    je ne sais pas comment le retrouver
    merci de votre aide
    0
  9. iolite
     
    Bon soir,
    je n'aie pas eu de réponse pour mon dernier scan
    es ce que quelqu 'un peut m'aider et me dire si tout va bien suite au modif que j'ai fait avec afideg
    merci
    0
  10. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonsoir iolite,

    1°- Merci d'avoir réalisé et suivi les recommandations.

    2°- Ici O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - je vois que tu as consulté Symantec, ou que tu as lancé Symantec AntiVirus scanner.

    3°- Relancer HJT « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) cocher ensuite la case devant chaque ligne à fixer:
    O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
    O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/
    O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5130/mcfscan.cab
    - Ensuite fermer les programmes en cours, SURTOUT LES LOGICIELS AVEC PROTECTION EN TEMPS REEL, (antivirus, Tea Timer de Spybot S&D, AVG-Antispyware, etc)... ( seul HijackThis doit être ouvert ) , et ensuite Clic [Fix checked]

    4°- Peux-tu poster un rapport par Antivir.
    En fonction de ta question ici « j'ai fait un scan en mode sans echec et supprimé les dossiers infecté et il me reste un fichier que je n'arrive pas a supprimer: Starting the file scan:
    Begin scan in 'C:\'
    C:\pagefile.sys
    [WARNING] The file could not be opened!
    je ne sais pas comment le retrouver
    »

    ... je doute que tu puisses juger de la situation pour supprimer des éléments sans savoir leur fonction .
    Je me demande d'ailleurs ce que tu as bien pu supprimer comme fichiers légitimes .
    En effet, il ne faut pas supprimer C:\pagefile.sys !!
    Pour ton info, la mémoire vive, mémoire système ou mémoire volatile (RAM =Random Access Memory mémoire à accès arbitraire) ou (RWM =Read Write Memory mémoire en lecture écriture) en anglais est la mémoire dans laquelle un ordinateur place les données lors de leur traitement. ==> sers-toi de Google. (... au lieu d'assommer ton PC avec de multiples analyses de toute sorte ==> O16)

    5°- Poste aussi un rapport d'analyse complète avec HijackThis pour vérifier s'il y a encore des traces de Avast .

    6°- Pour finir, O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    Ce qui veut dire que ta console Java n'est pas à jour ! ==> c'est tout nouveau !

    En effet, une vulnérabilité a été identifiée dans Sun JDK et JRE, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable.

    Vas chez Java Sun < https://www.java.com/fr/download/manual.jsp > et télécharge la dernière Version 6 Update3.
    Après installation et redémarrage, vas dans le "panneau de configuration"/"Ajout-Suppr. de programmes" afin de désinstaller les anciennes versions.
    Ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans ces anciennes versions.

    Retourne alors chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

    Une fois JRE installé, dans votre « console de paramétrage », accessible depuis le « Panneau de configuration », choisir l’onglet "Java", puis dans "paramètres de l'application Java Runtime", clic sur bouton "afficher", vous accédez à cet écran."
    Source: http://www.libellules.ch/dotclear/index.php?2007/02/03/1671-java-toutes-petites-astuces
    Vous pouvez « Désactiver la console = Ne pas lancer la console » et « Désactiver l'icône de la Systray depuis l'onglet "avancé" ( http://www.java.com/fr/download/help/5000021000.xml ).

    Merci & bonne soirée
    Al

    0
    1. iolite
       
      Bonjour,
      voici le rapport avec HijackThis:


      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 12:05:50, on 09/10/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16512)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\WINDOWS\system32\drivers\CDAC11BA.EXE
      C:\WINDOWS\SYSTEM32\GEARSEC.EXE
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
      C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
      C:\WINDOWS\System32\nvsvc32.exe
      c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
      O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
      O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
      O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
      O4 - HKLM\..\Run: [Xerox WorkCentre 480cx Monitor] RUNDLL32.EXE C:\WINDOWS\System32\X480SHLL.DLL,AutoUpdatePnPValue
      O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O8 - Extra context menu item: &Download by NetAnts - L:\netant\NetAnts\NAGet.htm
      O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
      O8 - Extra context menu item: Download &All by NetAnts - L:\netant\NetAnts\NAGetAll.htm
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\MSOFFI~1\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\OFFICE~2\Office12\EXCEL.EXE/3000
      O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
      O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
      O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
      O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Documents and Settings\FORTIN\Bureau\telephone portable\BTNtService.exe (file missing)
      O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
      O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
      O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
      0
  11. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonsoir iolite,

    Tout ça me paraît bon.

    A)- Tu as eu une infection dans la restauration sytème.

    Il faut donc ré-initialiser la restauration système comme ceci :

    1)- Désactive ta restauration système
    Clic sur « Démarrer »
    Clic droit sur « Poste de travail », puis sur « Propriétés »,
    Vas sur l’onglet « Restauration système »
    Tu y coches la case « Désactiver la restauration »
    Termine par [Appliquer] [OK]

    2)- Arrêter puis redémarrer le PC

    3)- Ensuite réactive ta restauration système
    Clic droit sur « Poste de travail », puis sur « Propriétés »,
    Vas sur l’onglet « Restauration système »
    Tu décoches la case « Désactiver la restauration »
    Termine par [Appliquer] [OK]

    B)- Antivir a renommé un fichier infecté ici :
    C:\Program Files\IncrediMail\bin\IncrediMail_Install.exe
    [DETECTION] Contains detection pattern of the SPR/Dldr.ImLoader.C.3 program
    [INFO] The file was moved to 476e7790.qua !

    Je voudrais vérifier deux choses avec ta collaboration:

    1)- Accède au "Poste de travail", et ouvre successivement ces répertoires et dossiers en suivant ce chemin :
    C:\ > Program Files > IncrediMail > bin
    Vérifie SVP si ce fichier IncrediMail_Install.exe est encore présent, et rapporte-le.

    2)- Je voudrais voir où est ce nouveau fichier 476e7790.qua.

    Normalement, il devrait se trouver dans la quarantaine de Antivir.
    Mais recherche-le de cette manière SVP:

    a-)> Télécharger OAD (Outil d'Aide au Diagnostic) < http://sosvirus.changelog.fr/OAD.exe > ; Enregistre-le sur ton bureau

    b) Comme illustré ici < https://www.hiboox.com >
    - Lancer « OAD.exe » en faisant un double-clic sur le fichier dont l'icône est sur le bureau .
    - Clic sur "Exécuter" .
    - Ensuite saisir la valeur recherchée ( = nom de fichier à rechercher ) = taper (ou faire un copier/coller de) : valeur à rechercher avec l’extension du fichier (dans ton cas c'est 476e7790.qua), puis valide avec [Enter].

    c)- Sur la page < http://sosvirus.changelog.fr/OAD/4.bmp > "Type de recherche" : sélectionner l'option 6 puis valide [Enter]

    d)- OAD va maintenant rechercher le fichier.
    Laisse le travailler jusqu'à ce qu'il en ait terminé.
    Suivant la taille des disques durs cette recherche peut prendre plusieurs minutes.
    Patienter .

    e)- Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
    - Faire un copier/coller de ce rapport dans ton prochain post.

    f)-Note: Certains Antivirus ( comme Panda) peuvent émettre une alerte lors du téléchargement / utilisation

    Merci et bonnse soirée
    Al
    0
    1. iolite
       
      Bonjour,
      voici le rapport avec AOD:
      10/10/2007 ---- 10:35:41,83

      ----------------------------------
      §§§§§§ [476e7790.qua] §§§§§§
      ----------------------------------
      [X] Registre

      -------------- [ ] rapide
      -- Fichier --- [ ] disque systeme
      ------------- [X] complete


      ********************
      [Registre]
      ********************

      Aucune entrée détectée

      *******************
      [Fichier]
      *******************

      c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\476e7790.qua


      *********************
      [Même date]
      *********************

      [09/10/2007 ] ---> C:\WINDOWS\setupapi.log
      [09/10/2007 ] ---> C:\WINDOWS\system32\java.exe
      [09/10/2007 ] ---> C:\WINDOWS\system32\javaw.exe
      [09/10/2007 ] ---> C:\WINDOWS\system32\javaws.exe
      [09/10/2007 ] ---> C:\WINDOWS\system32\jupdate-1.6.0_03-b05.log



      Outil Aide Diagnostic By !aur3n7 Version 1.1
      ----------------------------------
      §§§§§ Fin Rapport §§§§§
      ----------------------------------
      Je n'aie pas trouvé le fichier IncrediMail_Install.exe en passant par le chemin que tu m'as indiqué mais de toute façon je ne me sert plus d'IncrediMail.
      J'ai désactivé et réactivé la restauration système.
      J'espère que j'arrive bientot a la fin de mes peines!
      Merci a toi
      0
  12. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,
    OK, c'est bon.
    Merci beaucoup pour ta collaboration.
    Tu peux supprimer OAD.

    Il reste à vider la quarantaine INFECTED de Antivir .
    Ou supprimer ce fichier via "Poste de travail" > c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\476e7790.qua.

    Pour l'immédiat, tu pourrais avantageusement créer un nouveau point de restauration, comme ceci:
    Procédure pour Windows XP.
    Citation:
    -Clic sur « Démarrer » > « Tous les programmes » > « Accessoires » > « Outils système » > « Restauration système » ; on obtient cette page [ http://img256.imageshack.us/img256/2643/screenshot060at6.png page ]
    -Cocher le bouton ratio en face de « Créer un point de restauration » puis appuyer sur le bouton radio [Suivant] ; une nouvelle page [ http://img253.imageshack.us/img253/6400/screenshot061qa6.png page ] s’affiche.
    -Dans la lucarne texte de la description, entrer une description de la restauration (taper un descriptif caractéristique de ce point ; par exemple : « Dernière désinfection ») et clic sur « Créer ».
    -Un descriptif s'affiche avec la date et l’heure de cette opération.
    -Cliquer ensuite sur « démarrage », puis « annuler ».

    Bonne continuation.
    Al.
    0
  13. iolite
     
    Bonjour,
    merci beaucoup pour ton aide j'ai juste une dernière question qu'es ce que je fait du fichier C:\pagefile.sys
    [WARNING] The file could not be opened!
    antivir le retrouve toujours et je crois qu'on ne peut pas le supprimer.
    0
  14. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    As-tu réellement lu ce que j'écrivais au post # 11 ?
    Je répète :
    En fonction de ta question ici « j'ai fait un scan en mode sans echec et supprimé les dossiers infecté et il me reste un fichier que je n'arrive pas a supprimer: Starting the file scan: 
    Begin scan in 'C:\' 
    C:\pagefile.sys 
    [WARNING] The file could not be opened! 
    je ne sais pas comment le retrouver » 
    
    ... je doute que tu puisses juger de la situation pour supprimer des éléments sans savoir leur fonction . 
    Je me demande d'ailleurs ce que tu as bien pu supprimer comme fichiers légitimes . 
    
    En effet, il ne faut pas supprimer C:\pagefile.sys !! 
    
    Pour ton info, la mémoire vive, mémoire système ou mémoire volatile (RAM =Random Access Memory mémoire à accès arbitraire) ou (RWM =Read Write Memory mémoire en lecture écriture) en anglais est la mémoire dans laquelle un ordinateur place les données lors de leur traitement. ==> sers-toi de Google. (... au lieu d'assommer ton PC avec de multiples analyses de toute sorte ==> O16)


    Si tu as encore des questions, n'hésite pas.
    Ne te laisse pas impressionner. ;)

    Tiens, pour être tranquille, lance ceci :
    Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
    < http://download.bleepingcomputer.com/sUBs/ComboFix.exe > -1,41 Mo (1.483.997 octets)
    - Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
    Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan.
    Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.
    Tu copies et colles ce rapport sur le forum

    Al.
    0
    1. iolite
       
      Bonjour,
      voici le scan combofix
      ComboFix 07-10-09.3 - FORTIN 2007-10-10 21:03:36.1 - [color=red][b]FAT32[/b][/color]x86
      Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.256 [GMT 2:00]
      Running from: C:\Documents and Settings\FORTIN\Bureau\ComboFix.exe
      .

      ((((((((((((((((((((((((((((( Fichiers créés 2007-09-10 to 2007-10-10 ))))))))))))))))))))))))))))))))))))
      .

      2007-10-10 20:58 51,200 --a------ C:\WINDOWS\NirCmd.exe
      2007-10-05 15:27 <REP> d-------- C:\BootVis
      2007-10-04 18:33 <REP> d-------- C:\Program Files\Avira
      2007-10-04 18:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
      2007-10-04 17:24 <REP> d-------- C:\Program Files\Trend Micro
      2007-10-04 16:06 <REP> d-------- C:\Program Files\Sunbelt Software
      2007-10-04 15:43 <REP> d-------- C:\Program Files\Windows Installer Clean Up
      2007-10-04 15:42 <REP> d-------- C:\Program Files\MSECACHE
      2007-10-04 15:12 <REP> d-------- C:\WINDOWS\pss
      2007-10-03 09:56 <REP> d-------- C:\Program Files\CCleaner
      2007-10-02 12:35 <REP> d-------- C:\WINDOWS\AU_Temp
      2007-10-01 22:18 28,672 --a------ C:\WINDOWS\system32\drivers\CO_Mon.sys
      2007-10-01 20:49 <REP> d-------- C:\Documents and Settings\FORTIN\.housecall6.6
      2007-10-01 19:27 <REP> d-------- C:\WINDOWS\McAfee.com
      2007-10-01 14:02 <REP> d-------- C:\WINDOWS\BDOSCAN8
      2007-09-30 17:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
      2007-09-30 17:05 <REP> d-------- C:\spybot
      2007-09-30 16:09 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
      2007-09-30 10:59 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
      2007-09-29 19:29 13,728 --a------ C:\WINDOWS\CHATS.DLL
      2007-09-29 15:12 <REP> d-------- C:\Program Files\WinClamAVShield
      2007-09-29 12:19 <REP> d-------- C:\Documents and Settings\FORTIN\Application Data\Uniblue
      2007-09-29 08:44 <REP> d-------- C:\Program Files\Windows Desktop Search
      2007-09-29 08:43 192,000 --------- C:\WINDOWS\system32\dllcache\offfilt.dll
      2007-09-29 08:43 98,304 --------- C:\WINDOWS\system32\dllcache\nlhtml.dll
      2007-09-28 03:07 <REP> d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2
      2007-09-26 18:22 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
      2007-09-26 18:22 207,736 --a------ C:\WINDOWS\system32\muweb.dll
      2007-09-26 15:04 <REP> d-------- C:\Program Files\MSBuild
      2007-09-26 15:04 <REP> d-------- C:\Program Files\Microsoft Works
      2007-09-26 15:02 <REP> d-------- C:\Program Files\Microsoft.NET
      2007-09-26 14:54 <REP> d-------- C:\Program Files\Microsoft Visual Studio 8
      2007-09-26 14:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help
      2007-09-21 10:49 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
      2007-09-21 10:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Google Updater
      2007-09-21 10:24 <REP> d-------- C:\Documents and Settings\FORTIN\Application Data\Apple Computer
      2007-09-21 09:37 <REP> d-------- C:\Program Files\Windows Live Safety Center
      2007-09-20 16:04 <REP> d-------- C:\Program Files\Lavasoft
      2007-09-20 09:11 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
      2007-09-19 12:47 98,304 --a------ C:\WINDOWS\system32\tsccvid.dll
      2007-09-11 19:36 <REP> d--h----- C:\Program Files\Fichiers communs\Carlson

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2007-10-05 08:39 330 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
      2007-10-02 08:45 86,094 ----a-w C:\WINDOWS\BPMNT.dll
      2007-10-02 08:45 71,749 ----a-w C:\WINDOWS\HCExtOutput.dll
      2007-10-02 08:45 267,845 ----a-w C:\WINDOWS\tsc.exe
      2007-10-02 08:45 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll
      2007-09-30 08:59 --------- d-----w C:\Program Files\Hijackthis Version Française
      2007-09-19 07:39 46,080 ----a-w C:\WINDOWS\system32\ftp.exe
      2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
      2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
      2007-09-05 09:40 --------- d-----w C:\Program Files\Micro Application
      2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
      2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
      2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
      2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
      2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
      2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
      2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
      2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
      2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
      2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
      2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
      2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
      2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
      2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
      2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
      2007-07-19 06:58 3,583,488 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
      2007-07-12 23:30 765,952 ----a-w C:\WINDOWS\system32\dllcache\vgx.dll
      1998-08-24 10:09 10,000 ----a-w C:\WINDOWS\inf\unregpn.exe
      2004-08-19 22:09:34 343,040 --sha-w C:\WINDOWS\system32\msvcrt.dll
      2002-08-30 10:00:00 57,344 --sha-w C:\WINDOWS\system32\mfc42loc.dll
      2002-08-30 10:00:00 253,952 --sha-w C:\WINDOWS\system32\msvcrt20.dll
      2005-06-01 09:52:20 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
      2005-06-01 09:52:20 152 --sh--r C:\WINDOWS\system32\CE7DC76DE9.sys
      2006-08-25 15:51:14 617,472 --sha-w C:\WINDOWS\system32\comctl32.dll
      2004-08-19 22:09:46 30,749 --sha-w C:\WINDOWS\system32\vbajet32.dll
      2004-08-19 22:09:34 413,696 --sha-w C:\WINDOWS\system32\msvcp60.dll
      2004-08-19 22:09:30 1,028,096 --sha-w C:\WINDOWS\system32\mfc42.dll
      .

      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "PMXInit"="C:\WINDOWS\system32\pmxinit.exe" [2001-05-23 00:00]
      "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-07-28 15:19]
      "nwiz"="nwiz.exe" [2003-07-28 15:19 C:\WINDOWS\system32\nwiz.exe]
      "IntelliType"="C:\Program Files\Microsoft Hardware\Keyboard\type32.exe" [2001-06-12 09:20]
      "Xerox WorkCentre 480cx Monitor"="C:\WINDOWS\System32\X480SHLL.DLL" [2001-10-30 10:21]
      "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 16:06]
      "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 09:40]
      "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09]
      "NVIEW"="nview.dll" [2003-07-28 15:19 C:\WINDOWS\system32\nview.dll]
      "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46]
      "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-21 10:48]

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMS]
      C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
      "LogitechGalleryRepair"=C:\Program Files\Logitech\ImageStudio\ISStart.exe
      "PE2CKFNT SE"=f:\photo express\ChkFont.exe
      "LogitechImageStudioTray"=C:\Program Files\Logitech\ImageStudio\LogiTray.exe

      R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys
      R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys
      R1 moufiltr;Mouse Filter Driver;C:\WINDOWS\system32\drivers\moufiltr.sys
      R2 DgivEcp;Team MFP Comm Driver;C:\WINDOWS\system32\Drivers\DgivEcp.Sys
      R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe"
      R3 LVBulk;LVBulk Service;C:\WINDOWS\system32\DRIVERS\LVBulk.sys
      R3 PID_0900_V;Logitech ClickSmart 310(PID_0900_V);C:\WINDOWS\system32\DRIVERS\LV551AV.sys
      S3 BTNetFilter;Bluetooth Network Filter;\??\C:\WINDOWS\system32\drivers\BTNetFilter.sys
      S3 gAGP440p;gAGP440p;\??\C:\DOCUME~1\FORTIN\LOCALS~1\Temp\gAGP440p.sys
      S3 powervr;powervr;C:\WINDOWS\system32\DRIVERS\powervr.sys
      S3 sscdbus;SAMSUNG USB Composite Device driver (WDM);C:\WINDOWS\system32\DRIVERS\sscdbus.sys
      S3 sscdmdfl;SAMSUNG CDMA Modem Filter;C:\WINDOWS\system32\DRIVERS\sscdmdfl.sys
      S3 sscdmdm;SAMSUNG CDMA Modem Drivers;C:\WINDOWS\system32\DRIVERS\sscdmdm.sys

      *Newly Created Service* - CATCHME
      .
      Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
      "2007-10-10 19:07:02 C:\WINDOWS\Tasks\Symantec NetDetect.job"
      "2007-10-01 11:15:18 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC.job"
      - C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
      "2007-10-03 13:36:46 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC Nag.job"
      - C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
      .
      **************************************************************************

      catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2007-10-10 21:07:32
      Windows 5.1.2600 Service Pack 2 FAT NTAPI

      scanning hidden processes ...

      scanning hidden autostart entries ...

      scanning hidden files ...

      scan completed successfully
      hidden files: 0

      **************************************************************************
      .
      Completion time: 2007-10-10 21:09:24
      .
      --- E O F ---
      J'avais bien lu mais je savais pas si c'était normal de le voir apparaitre dans le scan de l'antivirus.
      merci beaucoup pour ton aide
      au plaisir
      0
  15. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,
    Merci.

    Je vois ceci:
    2007-09-11 19:36 <REP> d--h----- C:\Program Files\Fichiers communs\Carlson
    2007-09-30 08:59 --------- d-----w C:\Program Files\Hijackthis Version Française
    2007-10-01 19:27 <REP> d-------- C:\WINDOWS\McAfee.com
    2007-10-04 15:43 <REP> d-------- C:\Program Files\Windows Installer Clean Up
    2007-10-04 17:24 <REP> d-------- C:\Program Files\Trend Micro

    1°- il faut supprimer ces programmes (tu vois où ils se localisent) :
    Hijackthis Version Française
    McAfee.com
    Trend Micro
    Windows Installer Clean Up ==> risque des ennuis sérieux à l'usage !

    2°- Ceci m'ennuie: C:\Program Files\Fichiers communs\Carlson ==> est-ce le bon orthographe ? (vas savoir).
    Il faudrait lancer MSNFix pour y voir clair; comme ceci:

    Télécharge MSNFix.zip (de !aur3n7) sur le bureau: http://sosvirus.changelog.fr/MSNFix.zip
    Conseil : Toujours télécharger avant utilisation pour profiter des dernières mises à jour.

    MSNFix ne rate jamais Carlton ! ( or le rapport indique Carlson; je crains une astuce infectieuse sur MSN) ==> Mais peut-être sais-tu ce qu'est ce Carlsondans tes fichiers communs ?

    Décompresse-le (clic droit >> Extraire ici) et déplace MSNFix dans C:\ (très important).
    On obtient ceci sur le bureau [ http://img511.imageshack.us/img511/1583/screenshot071rv5.png ]
    et place les fichiers dans C:\MSNFix (très important).

    Pour cela clic sur "Démarrer" > "Poste de travail" > et tu vois le disque local C:\
    Pointer la souris sur le dossier MSNFix et maintenir le clic gauche enfoncé, faire glisser le pointeur de la souris sur le disque C:\ , comme ceci [ http://img413.imageshack.us/img413/2627/screenshot072zs5.png ] et lacher alors la pression sur la touche gauche de la souris.
    Le dossier MSNFix se retrouve ainsi à la racine de C:\ comme demandé [ http://img505.imageshack.us/img505/313/screenshot073bc4.png ]

    Ouvre-le et double clique sur le fichier MSNFix.bat.
    - Exécutez l'option R.
    - -Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage.
    - Sauvegarde ce rapport puis fais-en un copier/coller sur le forum.
    - Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt
    Note :
    Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
    Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

    Je voudrais ne plus rien avoir à te demander.
    Bonne soirée
    Al.
    0
    1. iolite
       
      Bonjour,afideg
      voici le rapport MSNFIX puis HijackThis
      j'ai fait les suppressions demandé avant de faire les scans
      j'ai également supprimé le dossier carlson et je ne sais pas a quoi il sert, je sais juste que je l'aie appercu aprés une autre infection sur MSN:fichier zippé 139-jpg si je me souvien bien

      MSNFix 1.543

      C:\MSNFix
      Fix exécuté le 11/10/2007 - 15:32:47,43 By FORTIN
      mode normal

      ************************ Recherche les fichiers présents

      Aucun Fichier trouvé

      ************************ Recherche les dossiers présents

      Aucun dossier trouvé


      ************************ Fichiers suspects

      Aucun Fichier trouvé



      ------------------------------------------------------------------------
      Auteur : !aur3n7 Contact: https://www.ionos.fr/
      ------------------------------------------------------------------------

      --------------------------------------------- END ---------------------------------------------




      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 15:39:32, on 11/10/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16544)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\WINDOWS\system32\drivers\CDAC11BA.EXE
      C:\WINDOWS\SYSTEM32\GEARSEC.EXE
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
      C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
      C:\WINDOWS\System32\nvsvc32.exe
      c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
      C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
      C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
      C:\Program Files\Outlook Express\msimn.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      F:\hijackthis2.02\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
      O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
      O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
      O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
      O4 - HKLM\..\Run: [Xerox WorkCentre 480cx Monitor] RUNDLL32.EXE C:\WINDOWS\System32\X480SHLL.DLL,AutoUpdatePnPValue
      O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O8 - Extra context menu item: &Download by NetAnts - L:\netant\NetAnts\NAGet.htm
      O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
      O8 - Extra context menu item: Download &All by NetAnts - L:\netant\NetAnts\NAGetAll.htm
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\MSOFFI~1\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\OFFICE~2\Office12\EXCEL.EXE/3000
      O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
      O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
      O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
      O16 - DPF: fdjeux -
      O16 - DPF: teleir_cert -
      O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} -
      O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
      O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} -
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} -
      O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
      O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} -
      O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} -
      O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} -
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} -
      O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Documents and Settings\FORTIN\Bureau\telephone portable\BTNtService.exe (file missing)
      O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
      O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
      O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
      0
  16. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonsoir iolite,

    1°- Je ne comprends pas pourquoi à ce post # 20 HijackThis se retrouve subitement sur une partition/ou sur un disque externe F:\ (F:\hijackthis2.02\HijackThis.exe) , alors qu'il doit se trouver à la racine de C:\ ; là où d'ailleurs son installateur l'avait placé au post # 12 (C:\Program Files\Trend Micro\HijackThis\HijackThis.exe).

    2°- Il y a eu des manipulations intermédiaires non demandées, et qui m'empêchent de voir ce que je dois voir pour t'aider.
    En plus de HijackThis qui a déménagé, je retrouve des 016 comme McAfee et Symantec qui témoignent de leur usage (alors que ces lignes avaient été corrigées au post # 11/12).

    3°- Et cette nouveauté comme info que tu transmets seulement maintenant: « j'ai également supprimé le dossier carlson et je ne sais pas a quoi il sert, je sais juste que je l'aie appercu aprés une autre infection sur MSN:fichier zippé 139-jpg si je me souvien bien » ; et ça ne doit pas être fort ancien.

    Je ne peux poursuivre ainsi.
    Ça me fatigue, et ça ne rapporte rien à la lutte anti-malwares.
    Désolé.
    Heureusement, le principal a été fait.
    Bonne continuation.
    Merci pour ta collaboration lorsque je te l'ai demandée.
    Si tu as encore des soucis avec ton PC, reviens quand tu veux; mais évite alors de contrarier, par des actions non demandées, le boulot de ceux qui se décarcassent pour d'aider.

    Al.
    0
    1. iolite
       
      Bonjour,
      merci beaucoup si le principal a été fait
      et je m'excuse d'avoir monopolisé ton temps, je me suis tenu a tes conseils
      la suppression du fichier 139 jpg a été faite avant que je demande de l'aide sur le forum
      McAfee je l'aie supprimé comme indiqué en post#19
      en ce qui concerne HijackThis je ne comprend pas quand je lance une recherche j'ai une partie sur le disque C et l'autre sur le F alors que je l'aie chargé sur le bureau et que je ne l'aie pas deplacé
      aprés il est possible que j'ai fait des erreurs de manip mais je ne suis pas experte et je me excuse
      merci a toi et bonne continuation.
      0
  17. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,
    C'est bien ce que je pense.
    Il ne faut pas lancer une recherche sur HijackThis avec cette dernière version.

    Regarde cette capture écran: https://www.hiboox.com

    Via "Poste de travail", tu ouvres C:\ , puis "Program Files" ; tu y trouves "Trend Micro" qui contient "HijackThis".
    Ouvre "Trend Micro" et tu y trouves l'exécutable de HijackThis (j'ai entouré son chemin : c:\Program Files\Trend Micro\HijackThis).

    Tu vois également l'icône de son raccourci bureau créé automatiquement lors de l'installation de cette dernière version.

    Ainsi, les internautes ne peuvent plus commettre l'erreur d'installer cet outil dans les fichiers temporaires; ce qui excluait la possibilité de récupérer des lignes fixées/corrigées par erreur (en effet, les nettoyages en fin de session vidaient ces fichiers temporaires où étaient conduites les sauvegardes).

    Pour ton info.
    Supprime ce dossier "hijackthis2.02" qui se trouve en F:\
    Vérifie le contenu de "Trend Micro".
    Vérifie aussi dans "Panneau de configuration" > "Ajout/suppr. de programmes" si tu n'as pas deux HijackThis; et supprime celui qui n'est pas à sa place.
    Sers-toi de la capture écran.

    Bonne nuit
    Al.
    0