Sujet Précédent Sujet Suivant

Windows security alert warning potential

Fermé
mohenddo - 9 oct. 2007 à 04:50
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 - 14 oct. 2007 à 22:50
Bonjour,
je vous passe le bon jour a tous
je vien poser ma question avec tous mon respect.
aujourdui je vien d'etre infecter (je croix) par un spyware.

Windows security alert warning potential spyware operation! Your computer is making unathorised copies of your system and Internet files. ...

j'ais chercher telement dans ce forum. et il y a plain de cas similaires.
mais j'ais conster que chaquin lui a etait fournis une sollution d'apres
son infection.
on leur avais demander d'installer........ HiJackThis_v2.exe
et de poster le raport sur le forum

et jais fait le raport de hijack mais j'atand que quelquin veut m'aider
pour le poster dand le forum.
merci de me repandre je ne sais vraiment quoi faire.
Configuration: Windows XP pack2
Internet Explorer 7.0
je m'excuse de poser le meme sujet n'ayant pas ue de repance
A voir également:

22 réponses

  • 1
  • 2
Réponse 1 / 22
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 496
9 oct. 2007 à 08:23
Bonjour Mohendo

Pour commencer :

Telecharge hijackthis

Double clique dessus pour lancer l installation . Accepte la licence qui va apparaître par " I agree" .

Puis clique sur "Do a system scan and save a logfile"

Ferme hijackThis et fait un copier-coller du log entier et poste le ici en réponse

Tuto :
http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
http://pageperso.aol.fr/balltrap34/demohijack.htm

@+
0
Réponse 2 / 22
mohenddo
9 oct. 2007 à 15:39
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 14:34:23, on 09/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\printer.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\mohenddo scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O2 - BHO: Ask Search Assistant BHO - {0A94B111-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3T1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB001" /M "Stylus C45"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DLD.EXE] C:\Program Files\Download Direct\DLD.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: system.exe
O4 - Global Startup: VisualTaskTips.lnk = C:\Program Files\VisualTaskTips\VisualTaskTips.exe
O4 - Global Startup: autorun.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe (file missing)
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DB6625F-BD95-4D26-BEEC-D78C69A4D8B8}: NameServer = 208.67.222.222 193.55.10.102
O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
0
Réponse 3 / 22
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 496
9 oct. 2007 à 20:42
Bonsoir Mohendo

Tu es infecté par SmitFraud, j ai besoin d un autre rapport avant d attaquer le nettoyage.

Un smitfraudFix

Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

* Installe le à la racine de C

* double clic sur l'exe pour le décompresser et lancer le fix.
Utilisation ----- option 1 - Recherche :
* Double clique sur smitfraudfix.cmd
* Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.

* Poste le rapport ici en reponse


process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

@+
0
Réponse 4 / 22
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 496
10 oct. 2007 à 02:12
Bonsoir Mohendo

Fais aussi cel stp

1) BTFix de BiBi36

Telecharge BTFix de Bibi36 je trouve plus mon lien habituel de telechargement.... je te mets celui la..

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/40698.html

Décompresse l'archive sur ton Bureau
Ouvre le dossier BTFix
Double clique sur BTFix.exe
Clique sur Rechercher
Un rapport va apparaître, copie/colle-le dans ta prochaine réponse

2) clean zip de Malekal_Morte

* Télécharge clean zip de Malekal_Morte http://www.malekal.com/download/clean.zip

* Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
* Ouvre le dossier Clean qui se trouve sur ton bureau.
* Double-clique sur clean.cmd.
Une fenêtre noire va apparaître,

choisis l'option 1

Puis poste le rapport qui se trouve ici C:\rapport_clean.txt ainsi que celui de BTFix et bien sur celui de SmitFraudFix demandé dans mon post precedent

@ suivre..
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 22
mohenddo
10 oct. 2007 à 03:14
merci infiniment de m'avoir repandu c'est tres gentie

j'ais fait la demarche avec BTFIX comme vous l'avais demmander.









BTFix 1.051 (par bibi26) - 10/10/2007 02:09:06 - Analyse

---> Fichiers/Dossiers trouvés

- C:\Program Files\AskPBar
- Fichier hosts corrompu

---> Analyse terminée
0
Réponse 6 / 22
mohenddo
10 oct. 2007 à 03:17
merci de m'avoire repandu c'est tres gentie.
ve vien d'effectuer la manipulation avec BTFIX
et voici ce qui resulte
BTFix 1.051 (par bibi26) - 10/10/2007 02:09:06 - Analyse

---> Fichiers/Dossiers trouvés

- C:\Program Files\AskPBar
- Fichier hosts corrompu

---> Analyse terminée
0
Réponse 7 / 22
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 496
10 oct. 2007 à 03:18
Bonsoir Mohendo

Il te faut choisir entre infection par un spyware#dernier et ici

Mais 2 sujets pour le meme probleme c est carton rouge !

De plus, je t avais demandé 3 rapports :

Celui de cleanzip situé dans C:\rapport_clean.txt ainsi que celui de BTFix et bien sur celui de SmitFraudFix

Il ne faut rien fixer par HijackThis pour l instant.

@+
0
Réponse 8 / 22
mohenddo
10 oct. 2007 à 04:40
Bonjour,
SmitFraudFix v2.239

Rapport fait à 1:41:25,56, 09/10/2007
Executé à partir de D:\recovery_kada\speware-SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.f-secure.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ftp.sophos.com
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 mast.mcafee.com
192.168.200.3 mcafee.com
192.168.200.3 media.fastclick.net
192.168.200.3 my-etrust.com
192.168.200.3 nai.com
192.168.200.3 networkassociates.com
192.168.200.3 norton.com
192.168.200.3 phx.corporate-ir.net
192.168.200.3 rads.mcafee.com
192.168.200.3 secure.nai.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 sophos.com
192.168.200.3 spd.atdmt.com
192.168.200.3 symantec.com
192.168.200.3 trendmicro.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 us.mcafee.com
192.168.200.3 vil.nai.com
192.168.200.3 viruslist.com
192.168.200.3 viruslist.ru
192.168.200.3 virusscan.jotti.org
192.168.200.3 virustotal.com
192.168.200.3 www.avp.ch
192.168.200.3 www.avp.com
192.168.200.3 www.avp.ru
192.168.200.3 www.awaps.net
192.168.200.3 www.ca.com
192.168.200.3 www.f-secure.com
192.168.200.3 www.fastclick.net
192.168.200.3 www.grisoft.com
192.168.200.3 www.kaspersky-labs.com
192.168.200.3 www.kaspersky.com
192.168.200.3 www.kaspersky.ru
192.168.200.3 www.mcafee.com
192.168.200.3 www.my-etrust.com
192.168.200.3 www.nai.com
192.168.200.3 www.networkassociates.com
192.168.200.3 www.sophos.com
192.168.200.3 www.symantec.com
192.168.200.3 www.symantec.com
192.168.200.3 www.trendmicro.com
192.168.200.3 www.viruslist.com
192.168.200.3 www.viruslist.ru
192.168.200.3 www.virustotal.com
192.168.200.3 www3.ca.com

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\printer.exe supprimé
C:\WINDOWS\system32\WinAvXX.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3DB6625F-BD95-4D26-BEEC-D78C69A4D8B8}: NameServer=208.67.222.222 193.55.10.102
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3DB6625F-BD95-4D26-BEEC-D78C69A4D8B8}: NameServer=208.67.222.222 193.55.10.102


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

...................................................................................................................................................................

et voci l'autre le btfix

Symantec W32.Serflog Removal Tool 1.1.2

W32.Serflog has not been found on your computer.

......................................................................................................................................................................et le clean
10/10/2007 a 3:33:28,81

*** Recherche des fichiers dans C:
C:\autorun.inf FOUND

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\printer.exe FOUND
C:\WINDOWS\system32\WinAvXX.exe FOUND

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\DivX\Google\Firefox\ffinstaller.exe" FOUND
*** Fin du rapport !



et tous mes remerciments je suis vraiment tres reconnaissant.
0
Réponse 9 / 22
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 496
10 oct. 2007 à 04:44
Bonsoir Mohendo

On attaque, fait tout ceci consciencieusement :

Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procedure correctement.
(Note: tu n'auras pas accès à Internet à partir du moment ou tu redemarreras en mode sans echec)
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection

1) Telecharge

-- CCleaner

https://www.ccleaner.com/ccleaner/download

Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut.
Fermer le programme pour l instant.

* Télécharge :

-- la version d'essai d'AVG Anti-Spyware 7.5
depuis http://www.grisoft.com/doc/downloads-products/ww/crp/0?prd=triasw
Installe la puis...

*Mise à jour :

Lancer AVG Anti-Spyware.
Cliquer sur le menu Mise à jour.
Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
Attendre la fin de cette mise à jour

Ferme AVG Antispyware

2) Redemarre en mode sans echec

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuyer sur [Entrée]
Il te faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

3) SmitFraudFix option 2

Double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Note : l'option 2 de l'outil supprime le fond d'écran .

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

4) Cleanzip

* Ouvre le dossier Clean qui se trouve sur ton bureau.
* Double-clique sur clean.cmd.
Une fenêtre noire va apparaître,

choisis l'option 2.

5) BtFix de Bibi26

* Ouvre BTFix
* Clique sur "Nettoyer"

* Un rapport va apparaître, copie/colle-le et sauvegarde le sur ton bureau

6) Lance AVG Anti-Spyware 7.5

--Reglages

Cliquer sur le menu Analyse (de la barre d'outils).
Cliquer sur l'onglet Paramètres.
Dans Comment réagir? cliquer sur Actions recommandées et choisir Quarantaine.
Dans Comment faire l'analyse ? et dans Programmes potentiellement dangereux, vérifier que toutes les cases soient cochées.
Vérifier que le bouton-radio Générer un rapport après chaque analyse soit aussi coché.

-- Scan et nettoyage
Dans l'onglet Analyse
Cliquer sur Analyse complète du système.
Important : Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.
Tres important : A la fin de l'analyse, clique sur " Appliquer toutes les actions"
Ensuite.
Cliquer sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
(C:\Programfiles\AVG Antispyware 7.5\Reports )
Puis fermer AVG Anti-Spyware.

7) CCleaner

Lance CCleaner
Puis dans le menu Nettoyeur
Cliquer sur Analyse (laisser travailler cela peut durer longtemps la 1ere fois)
cliquer sur le bouton Lancer le nettoyage.
Fais cela plusieurs fois d affilé .puis ferme CCleaner

8) Rapports

* Redemarre en mode normal

* Genere un nouvel HJT et poste moi ce nouveau rapport ainsi que celui d AVG antispyware , celui de BTFix, celui de SmitfraudFix et celui de cleanzip.

Bon courage et @ +
0
Réponse 10 / 22
mohenddo
11 oct. 2007 à 01:41
Bonjour,
salu a vous bonne journee.
voici le rapport que vous m'avais demander.

BTFix 1.051 (par bibi26) - 11/10/2007 00:37:30 - Analyse

---> Fichiers/Dossiers trouvés


---> Analyse terminée
0
Réponse 11 / 22
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 496
11 oct. 2007 à 02:21
Bonsoir Mohendo

Je lis

mes constatations a moi si vous le prmeter.
1 leger dechictations sur les icons du bureau au demarage et apret ca marche.
2 le message de windows (warning................) a tout instan a disparu
3 le message suivant (C:\WINDOWS\system32\printr.exe.........) apparet au demarage de windows seulement!!!!
4 pas de proprietes du poste de travaille.
5 pas de paneau de confi

2) c est une bonne chose
1) 4) et 5) on reparera cela avec un autre outils.</gras>

Pour le 3) je voudrais le message exact stp. avant de continuer.

Peux tu poster tes 3 autres rapports ici aussi stp.

Ps tu peux me tutoyer et m appeller "sioux" ;-)

Merci, @+
0
Réponse 12 / 22
mohenddo
11 oct. 2007 à 02:34
merci


le n 1

SmitFraudFix v2.239

Rapport fait à 19:17:00,95, 10/10/2007
Executé à partir de D:\recovery_kada\speware-SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.f-secure.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ftp.sophos.com
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 mast.mcafee.com
192.168.200.3 mcafee.com
192.168.200.3 media.fastclick.net
192.168.200.3 my-etrust.com
192.168.200.3 nai.com
192.168.200.3 networkassociates.com
192.168.200.3 norton.com
192.168.200.3 phx.corporate-ir.net
192.168.200.3 rads.mcafee.com
192.168.200.3 secure.nai.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 sophos.com
192.168.200.3 spd.atdmt.com
192.168.200.3 symantec.com
192.168.200.3 trendmicro.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 us.mcafee.com
192.168.200.3 vil.nai.com
192.168.200.3 viruslist.com
192.168.200.3 viruslist.ru
192.168.200.3 virusscan.jotti.org
192.168.200.3 virustotal.com
192.168.200.3 www.avp.ch
192.168.200.3 www.avp.com
192.168.200.3 www.avp.ru
192.168.200.3 www.awaps.net
192.168.200.3 www.ca.com
192.168.200.3 www.f-secure.com
192.168.200.3 www.fastclick.net
192.168.200.3 www.grisoft.com
192.168.200.3 www.kaspersky-labs.com
192.168.200.3 www.kaspersky.com
192.168.200.3 www.kaspersky.ru
192.168.200.3 www.mcafee.com
192.168.200.3 www.my-etrust.com
192.168.200.3 www.nai.com
192.168.200.3 www.networkassociates.com
192.168.200.3 www.sophos.com
192.168.200.3 www.symantec.com
192.168.200.3 www.symantec.com
192.168.200.3 www.trendmicro.com
192.168.200.3 www.viruslist.com
192.168.200.3 www.viruslist.ru
192.168.200.3 www.virustotal.com
192.168.200.3 www3.ca.com

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""



le n 2
SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 10/10/2007 at 08:22 PM

Application Version : 3.9.1008

Core Rules Database Version : 3322
Trace Rules Database Version: 1323

Scan type : Quick Scan
Total Scan Time : 00:59:36

Memory items scanned : 178
Memory threats detected : 0
Registry items scanned : 648
Registry threats detected : 2
File items scanned : 50390
File threats detected : 32

Adware.Tracking Cookie
C:\Documents and Settings\titi\Cookies\titi@clickintext[2].txt
C:\Documents and Settings\titi\Cookies\titi@tribalfusion[1].txt
C:\Documents and Settings\titi\Cookies\titi@ad.zanox[1].txt
C:\Documents and Settings\titi\Cookies\titi@advertising[1].txt
C:\Documents and Settings\titi\Cookies\titi@fr.31.slidein.clickintext[2].txt
C:\Documents and Settings\titi\Cookies\titi@ad.yieldmanager[2].txt
C:\Documents and Settings\titi\Cookies\titi@doubleclick[2].txt
C:\Documents and Settings\titi\Cookies\titi@weborama[1].txt
C:\Documents and Settings\titi\Cookies\titi@smartadserver[2].txt
C:\Documents and Settings\titi\Cookies\titi@imrworldwide[2].txt
C:\Documents and Settings\titi\Cookies\titi@ads.multimania.lycos[2].txt
C:\Documents and Settings\titi\Cookies\titi@xiti[1].txt
C:\Documents and Settings\titi\Cookies\titi@bluestreak[2].txt
C:\Documents and Settings\titi\Cookies\titi@adecn[1].txt
D:\Documents and Settings\Administrateur\Cookies\administrateur@arab-sex[1].txt
D:\Documents and Settings\Administrateur\Cookies\administrateur@statcounter[2].txt
D:\Documents and Settings\Administrateur\Cookies\administrateur@msnportal.112.2o7[1].txt
D:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[1].txt
D:\Documents and Settings\Administrateur\Cookies\administrateur@ads.pointroll[1].txt
D:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt
D:\Documents and Settings\Administrateur\Cookies\administrateur@adbrite[2].txt
D:\Documents and Settings\Administrateur\Cookies\administrateur@tradedoubler[2].txt
D:\Documents and Settings\Administrateur\Cookies\administrateur@adbrite[3].txt
D:\Documents and Settings\Administrateur\Cookies\administrateur@ad.yieldmanager[2].txt

Trojan.Net-AVP/AVT
HKLM\Software\Microsoft\Windows\CurrentVersion\Run#WinAVX [ C:\WINDOWS\system32\WinAvXX.exe ]
HKU\S-1-5-21-299502267-57989841-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run#WinAVX [ C:\WINDOWS\system32\WinAvXX.exe ]
C:\DOCUMENTS AND SETTINGS\ALL USERS\MENU DéMARRER\PROGRAMMES\DéMARRAGE\AUTORUN.EXE
C:\DOCUMENTS AND SETTINGS\TITI\MENU DéMARRER\PROGRAMMES\DéMARRAGE\SYSTEM.EXE
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\MENU DéMARRER\PROGRAMMES\DéMARRAGE\SYSTEM.EXE

Trojan.WinAntiSpyware/WinAntiVirus 2006
D:\PROGRAM FILES\WINANTIVIRUS 2005 PRO TRIAL\ACTIVATE.EXE
D:\PROGRAM FILES\WINANTIVIRUS 2005 PRO TRIAL\BROWSER.EXE
D:\PROGRAM FILES\WINANTIVIRUS 2005 PRO TRIAL\UPDATER.EXE
D:\PROGRAM FILES\WINANTIVIRUS 2005 PRO TRIAL\CS_SRV.EXE

Trojan.SpySheriff
D:\TOUSLESFIRMWARES\FICHIER ZIP\INSTALL.EXE




le n 3
11/10/2007 a 1:30:31,32

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
merci
0
Réponse 13 / 22
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 496
11 oct. 2007 à 02:44
Re

Pour le 3 le message suivant (C:\WINDOWS\system32\printr.exe.........) apparet au demarage de windows seulement!!!!

---> Je voudrais le message exact stp.


Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procedure correctement.

Deconnecte toi d internet, pas d msn ouvert puis fais ce qui suit :

1) HostsXpert

Télécharge HostsXpert http://www.funkytoad.com/content/view/13/31/

Exécuter

En haut dans Editing tools

-clique sur Restore microsoft's host file

2) OTMoveIt (de Old_Timer)

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

Double clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\printer.exe

Clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

--> Poste le rapport OTMoveIt en reponse (situé dans C:\_OTMoveIt\MovedFiles) .

-----------------------------------------------------------------------------------------------------------------------------------------------

NOTE : Pour ce qu a trouvé AVG 7.5 , des ptites choses dans la restauration que nous "ecraserons" en fin de desinfection seulement et essentiellement des cookies qu il va falloir apprendre a mieux gerer

Avec I.E outils/options/ onglet confidentialité/avancés/
*Cocher ignorer gestion automatique des cookies
*Cocher accepter cookies interne et refuser cookies tierce puis appliquer et ok

Avec Firefox outils/options/vie privée
*conserver les cookies --> jusqu a la fermeture de Firefox sur PC Astuces">Firefox
*dans parametres , cocher cookies
*puis cocher "toujours effacer mes informations personnelles a la fermeture de Firefox puis valider par ok
Sinon, pour FF, il y a des extensions pour cela (au moins 4 a C) --> https://www.hugedomains.com/domain_profile.cfm?d=geckozone&e=org#C

@ suivre
0
Réponse 14 / 22
mohenddo
11 oct. 2007 à 03:30
Bonjour,
bon le message qui s'affiche au demarage

windows ne trouve pas'c:\windows\system32\priter.exe'.verifiez que vous avez
entré le nom correctement et essayez à nouveau.pour rechercher un fichier,
cliquez sur le bouton demarrer,puis sur rechercher

2) j'ais executer HostsXpert


3)JAIS OUVERT _OTMOVELT sur le bureau
et copie coler (C:\WINDOWS\system32\printer.exe )
comme vous l'avez demander.

il est aparu un message avec une croie rouge.
disant (cannot create file c:\_otmovelt\movedfile\10112007_021901.log.

et c'est ce que j'ais trouver sur la partie droite de OTMOVELT


File/Folder C:\WINDOWS\system32\printer.exe not found.
File/Folder not found.

Created on 10/11/2007 02:19:01
0
Réponse 15 / 22
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 496
11 oct. 2007 à 03:42
re

* Ce message qui s'affiche au demarage s affiche automatiquement a chaque fois ? Je vais voir ce que l on peut faire pour eviter cela.


* Zebrestore

Télécharge Zebrestore http://telechargement.zebulon.fr/233-zeb-restore.html

Met le dans un dossier sur ton bureau par exemple.

* Lance Zebrestore et coche les cases suivante :

Panneau de config
Bureau
Regedit

et clique sur le bouton "Restaurer".

Quitte le programme.

et dis moi si ces fonctions remarchent ;-) il faudra verifier que d autres fonctions de Windows ne soit pas desactivé, mises a jours, ajouts et suppressions de programmes..

@ suivre
0
Réponse 16 / 22
mohenddo
11 oct. 2007 à 04:25
un grand merci sioux

tous est rentreé en ordre;
paneau de configuration
proprieté du poste de travaille
proprieté d'affiche du bureau
conection intenet comme d'bitude
regedit normale

sauf le message au demarage de windows
windows ne trouve pas'c:\windows\system32\priter.exe'.verifiez que vous avez
entré le nom correctement et essayez à nouveau.pour rechercher un fichier,
cliquez sur le bouton demarrer,puis sur rechercher

merci sioux
0
Réponse 17 / 22
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 496
11 oct. 2007 à 04:30
re

Avec plaisir Mohendo, je suis content pour toi, je vais reflechir pour ce probleme de message ou demander un coup de main ;-)

Tu as des services a fermer/desactiver

entre autre

Partage de Bureau à distance NetMeeting
Gestionnaire de session d'aide sur le Bureau à distance
Carte de performance WMI
...etc

regarde ici en faisant bien attention, c est long mais il faut le faire

http://speedweb1.free.fr/frames2.php?page=service4 et http://speedweb1.free.fr/frames2.php?page=service3

Refais un log HijackThis et poste le en reponse stp.

@ bientot.
0
Réponse 18 / 22
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
13 oct. 2007 à 18:23
Salut le sioux !
Il y a eu mon petit copain foula qui avait un log semblable, mais un peu plus infecté disons !. Environ 119 virus et j'ai pas compté la multitude d,espions et de dialers et variantes...
Mais bref tout est résolu.
En direct MSN c pas long.
Regardes, ici tu verras des similitudes sur le premier highjack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:12:01, on 09/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\tsnp2std.exe
C:\WINDOWS\vsnp2std.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\notepad.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\foula23\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKLM\..\RunOnce: [SpybotDeletingC6738] cmd /c del "C:\WINDOWS\system32\printer.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA8518] command /c del "C:\WINDOWS\system32\winavxx.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB7838] command /c del "C:\WINDOWS\system32\winavxx.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD2827] cmd /c del "C:\WINDOWS\system32\winavxx.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'Default user')
O4 - Startup: system.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: autorun.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?abaca203d08e4578abc99505ab36c5f0
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?abaca203d08e4578abc99505ab36c5f0
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {210D0CBC-8B17-48D1-B294-1A338DD2EB3A} (VatCtrl Class) - http://89.5.120.200:81/VatDec.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by116fd.bay116.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/default.aspx
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/default.aspx
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4DB1F1E-80F2-4000-A0D6-ED9B5DAD8AC7}: NameServer = 212.217.0.13 212.217.1.4
O20 - AppInit_DLLs: C:\WINDOWS\System32\sulimo.dat
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: SiteAdvisor Service - Unknown owner - C:\Program Files\SiteAdvisor\6172\SAService.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Unknown owner - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe (file missing)
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/SBITRI~1/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

NB: Dans le cas de cette merde de Printer.exe, j'ai utilisé smitf fix mais aussi supernatispyware et terminé des process et fixer puis éliminé à son emplacement. C'est un dure à cuire ,mais cuisable.
0
Réponse 19 / 22
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 496
13 oct. 2007 à 23:19
Bonsoir

Merci Jalobservateur ;-)
0
Réponse 20 / 22
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 496
14 oct. 2007 à 09:53
Bonjour Mohendo

J aurais souhaité un nouveau Hijackthis pour pouvoir faire le point stp.

Merci, @+
0