Win32.Bzub.btx

Résolu
Machupichu Messages postés 49 Statut Membre -  
Machupichu Messages postés 49 Statut Membre -
Bonjour,

En plus du Virus Win32:Small-open 2, Kapersky que je vien s de télécharger détecte le Win32.Bzub.btx...., je ne sais plus quoi faire, j'ai vraiment besoin d'aide s'il vous plait merci :)

Richard
Configuration: Windows XP
Internet Explorer 6.0

34 réponses

  • 1
  • 2
Résumé de la discussion

Une problématique technique porte sur une infection sous Windows XP détectée par plusieurs antivirus, avec des variantes telles que Win32:Small-open 2 et Win32.Bzub.btx, qui génèrent des symptômes et exigent une aide immédiate et méthodique.
Plusieurs réponses décrivent une démarche en étapes: désactiver l’accès à distance Windows pour prévenir les intrusions, afficher les fichiers et dossiers cachés, puis effectuer un scan en ligne et un scan HijackThis.
En cas de poursuite, d’autres éléments recommandent la mise à jour d’Internet Explorer et l’analyse de rapports de scan détaillés pour orienter les actions futures sans conclure à une résolution rapide.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Darckiller Messages postés 835 Date d'inscription   Statut Membre Dernière intervention   35
     
    Salut à toi, suis ma démarche dans l'ordre:

    -Tu désactives l'Accès à distance de Windows:
    Démarrer -> Panneau de configuration (en mode catégorie) -> Performance et maintenance -> Système -> Onglet "À distance" -> décoche la case "Autoriser l'envoi d'invitations d'assistance à distance à partir de cet ordinateur" -> clique sur le bouton "Appliquer" en bas -> clique sur le bouton "Ok" en bas.
    L'accès à distance de Windows est un outil utile permettant se connecter et de configurer son PC à distance, ou encore d'aider une personne ayant des problèmes sur son ordinateurs à distance. Cependant cet outil est détourné par les pirates pour prendre le contrôle d'ordinateurs.

    -Tu dois avoir accès à tous les fichiers de ton système:
    Démarrer -> poste de travail -> clique sur le menu "Outils" en haut -> sélectionne "Option des dossiers" -> clique sur l'onglet "Affichage" -> coche la case "Afficher les fichiers et dossiers cachés" -> décoche la case "Masquer les extensions des fichiers dont le type est connu" -> décoche la case "Masquer les fichiers protégés du système d'exploitation" -> clique sur le bouton "Appliquer" en bas -> clique sur le bouton "Appliquer à tous les dossiers" en haut -> clique sur le bouton "Ok" en bas.

    -Tu désactives l'Affichage des messages:
    Démarrer -> exécuter-> tape "services.msc" -> un menu s'ouvre: tu sélectionnes la ligne"Affichage des messages" dans la colonne Nom -> clique droit sur cette ligne -> choisis"propriétés"-> dans le panneau "Statut du service" clique sur arrêter -> puis dans le menu déroulant "Type de démarrage" choisis "Désactiver".
    L'affichage des messages est un services que certains pirates et autres personnes malintentionnées utilisent afin d'envoyer des messages publicitaires et des "pourriels" sur le réseau Internet. Ils gênent la navigation sur le Web et perturbent les activités en cours.
    Si cela est déjà fait, c'est bien, ne touche à rien.

    -Tu fais un scan en ligne pour identifier les menaces présentes dans ton PC (http://pandasoftware.fr ),
    clique sur le bouton "Lancer TotalScan !" (vert foncé),
    coche l’option "Full Scan" sous le bouton "Scan Now" (vert foncé),
    clique sur le bouton "Scan Now",
    installe le Plug-in ou ActiveX demandé au préalable,
    copie et colle le rapport obtenu (un page de texte bloc-note).

    -Tu fais un scan avec HijackThis.
    Pour faire un scan HJTH, il faut :
    télécharger ce programme (https://www.trendmicro.com/fr_fr/business.html ),
    sur cette page choisis le programme : "Download Hijakcthis Installer" (en bleu clair),
    installe le sur ton PC.
    Ouvre HJTH en cliquant sur l'icône nouvelle qui apparaît (un détective avec un chapeau rouge),
    cliques sur le bouton "Do a system scan and save a log file",
    attends qu'il est fini le scan de ton PC,
    une page de texte (généralement le bloc-note) s’ouvrent avec des lignes: c'est ton rapport ;
    copie et colle ce rapport sur un nouveau message.
    0
    1. Machupichu Messages postés 49 Statut Membre
       
      D'abord merci, j'étais étonné de ne pas avoir de nouvelles depuis 3 jours alors grand merci davance.

      J'avais déja posté des rapports de scan Hijackthis , cela peut aider ou je refais tt dans l'ordre ?
      0
  2. Machupichu Messages postés 49 Statut Membre
     
    D'abord merci, j'étais étonné de ne pas avoir de nouvelles depuis 3 jours alors grand merci davance.

    J'avais déja posté des rapports de scan Hijackthis , cela peut aider ou je refais tt dans l'ordre ??
    0
  3. Darckiller Messages postés 835 Date d'inscription   Statut Membre Dernière intervention   35
     
    Oui il faut que tu refasses tout dans l'ordre stp.
    0
    1. Machupichu Messages postés 49 Statut Membre
       
      Ok c'est parti. A plus tard merci
      0
      1. Darckiller Messages postés 835 Date d'inscription   Statut Membre Dernière intervention   35 > Machupichu Messages postés 49 Statut Membre
         
        De rien ;)
        0
  4. Machupichu Messages postés 49 Statut Membre
     
    Reu, voici déja le compte rendu de Totalscan :
    ;***********************************************************************************************************************************************************************************
    ANALYSIS: 2007-10-31 18:14:45
    PROTECTIONS: 1
    MALWARE: 7
    SUSPECTS: 1
    ;***********************************************************************************************************************************************************************************
    PROTECTIONS
    Description Version Active Updated
    ;===================================================================================================================================================================================
    Kaspersky Anti-Virus 7.0.0.124 No Yes
    ;===================================================================================================================================================================================
    MALWARE
    Id Description Type Active Severity Disinfectable Disinfected Location
    ;===================================================================================================================================================================================
    00032731 application/mywebsearch HackTools No 0 Yes No HKEY_LOCAL_MACHINE\software\classes\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}
    00032731 application/mywebsearch HackTools No 0 Yes No hkey_classes_root\clsid\{9afb8248-617f-460d-9366-d71cdeda3179}
    00139535 Application/Processor HackTools No 0 Yes No C:\Documents and Settings\RICARDO\Bureau\SmitfraudFix\Process.exe
    00139535 Application/Processor HackTools No 0 Yes No C:\WINDOWS\system32\Process.exe
    00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\RICARDO\Cookies\ricardo@xiti[1].txt
    00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\RICARDO\Local Settings\Temp\Cookies\ricardo@xiti[1].txt
    00170554 Cookie/Overture TrackingCookie No 0 Yes No C:\Documents and Settings\RICARDO\Cookies\ricardo@overture[1].txt
    00517584 Application/SuperFast HackTools No 0 Yes No C:\Documents and Settings\RICARDO\Bureau\SmitfraudFix\restart.exe
    02197130 Trj/Rebooter.J Virus/Trojan No 1 Yes No C:\Documents and Settings\RICARDO\Bureau\SmitfraudFix\Reboot.exe
    02373548 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP3\A0000335.exe
    ;===================================================================================================================================================================================
    SUSPECTS
    Location
    ;===================================================================================================================================================================================
    C:\WINDOWS\SYSTEM32\APPCERT\WSIL32.DLL
    ;===================================================================================================================================================================================
    Je fais le HJ de suite
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Machupichu Messages postés 49 Statut Membre
     
    Voici le HJTH ( pour info ton lien vers Trendmicro n'amène npas sur la bonne page ?)

    Logfile of HijackThis v1.99.1
    Scan saved at 18:20:55, on 31/10/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\msdtc.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\mqsvc.exe
    C:\WINDOWS\ehome\mcrdsvc.exe
    C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\mqtgsvc.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\HP\QuickPlay\QPService.exe
    C:\WINDOWS\ehome\ehtray.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
    C:\Program Files\Skype\Plugin Manager\SkypePM.exe
    C:\Program Files\Microsoft Office\Office\OUTLOOK.EXE
    C:\Program Files\Fichiers communs\System\MAPI\1036\nt\MAPISP32.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
    O2 - BHO: (no name) - {38C4AC06-914B-4452-92FA-3C630016AB77} - c:\windows\system32\cryptextf.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (file missing)
    O2 - BHO: (no name) - {D935B3AA-08A7-437E-B28A-9DE607F24056} - C:\WINDOWS\system32\dbnmpntwi.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
    O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
    O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
    O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
    O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
    O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
    O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
    O20 - Winlogon Notify: utwqwwgr - C:\WINDOWS\SYSTEM32\cryptextf.dll
    O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
    O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe

    Voili voilou, je sais que c'est maintenant que cela va se "corser" ;)
    0
    1. Darckiller Messages postés 835 Date d'inscription   Statut Membre Dernière intervention   35
       
      Les fichiers et programmes suspectes sont sur ces lignes (certaines sont superflues et non dangereuses):

      O2 - BHO: (no name) - {38C4AC06-914B-4452-92FA-3C630016AB77} - c:\windows\system32\cryptextf.dll
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (file missing)
      O2 - BHO: (no name) - {D935B3AA-08A7-437E-B28A-9DE607F24056} - C:\WINDOWS\system32\dbnmpntwi.dll
      O20 - Winlogon Notify: utwqwwgr - C:\WINDOWS\SYSTEM32\cryptextf.dll
      O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/...

      NE COCHE ET FIX RIEN POUR L'INSTANT
      0
  7. Darckiller Messages postés 835 Date d'inscription   Statut Membre Dernière intervention   35
     
    Ok tu m'as l'air d'avoir une infection de type Smitfraud.

    Il faut donc faire Smitfraudfix.

    Télécharge le fichier puis
    suis donc la procédure du site:
    http://siri.urz.free.fr/Fix/SmitfraudFix.php

    Poste le rapport obtenu

    ***************************************************************************

    Garde Kaspersky comme antivirus, il est efficace ;)

    ***************************************************************************

    -Tu fais un scan en ligne avec F-SECURE ( http://support.f-secure.com/fra/home/ols.shtml
    supprimes les malwares ou infections trouvés;

    fais un scan en ligne avec Securiser (http://www.secuser.com/ ),
    supprimes les malwares ou infections trouvés;

    fais un scan en ligne avec Windows Live One Care (accepte le contrôle ActiveX ou le Plug-In lors de l'installation) (http://onecare.live.com/site/fr-FR/default.htm )
    supprimes les malwares ou infections trouvés;

    fais un scan en ligne avec Trend Micro PC-Cillin (https://www.trendmicro.com/fr_fr/business.html )
    et supprimes les malwares ou infections trouvés;

    fais un scan en ligne avec Panda Security (https://www.pandasecurity.com/fr/homeusers/online-antivirus/?track=80379 )
    supprimes les malwares ou infections trouvés;

    Postes les rapports obtenus de F-SECURE et de Panda Security.

    *************************************************************************

    -Tu télécharges Spybot S&D 1.51 (https://www.safer-networking.org/download/ ),

    Ad-Aware (http://www.lavasoftusa.com/products/ad_aware_free.php )

    et A-Squared Free 3.0 (https://www.emsisoft.com/fr/ ),

    installe chacun de ces antispywares,

    mets à jour chacun d'eux,

    puis fais un scan minutieux, complet, et profond de ton PC avec chacun d'eux,

    et supprime les problèmes qui vont s'affichés.

    La patience et le calme est essentiel en informatique donc prend ton temps et ne t'impatiente pas car cela va être long.

    Voili Voilou ;)
    0
  8. Machupichu Messages postés 49 Statut Membre
     
    Salut, voici déja le rapport Smitfraudix :

    SmitFraudFix v2.242

    Rapport fait à 9:16:06,68, 02/11/2007
    Executé à partir de C:\Documents and Settings\RICARDO\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\RICARDO

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\RICARDO\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\RICARDO\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Je m'occupe de la suite

    Le boeuf est lent, mais la terre est patiente ;)
    0
  9. Machupichu Messages postés 49 Statut Membre
     
    Rapport F-secure :
    Scanning Report
    Friday, November 02, 2007 09:54:58 - 10:54:51
    Computer name: PC665622837307
    Scanning type: Scan system for viruses, rootkits, spyware
    Target: C:\ D:\

    --------------------------------------------------------------------------------

    Result: 5 malware found
    Tracking Cookie (spyware)
    System (Disinfected)
    System
    System
    System
    System

    --------------------------------------------------------------------------------

    Statistics
    Scanned:
    Files: 31796
    System: 4456
    Not scanned: 4
    Actions:
    Disinfected: 1
    Renamed: 0
    Deleted: 0
    None: 4
    Submitted: 0
    Files not scanned:
    C:\HIBERFIL.SYS
    C:\PAGEFILE.SYS
    C:\WINDOWS\SYSTEM32\DBNMPNTWI.DLL
    C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

    --------------------------------------------------------------------------------

    Options
    Scanning engines:
    F-Secure Libra: 2.4.2, 2007-10-30
    F-Secure AVP: 7.0.171, 2007-11-02
    F-Secure Orion: 1.2.37, 2007-11-02
    F-Secure Blacklight: 1.0.64
    F-Secure Draco: 1.0.35, 0597-150-72
    F-Secure Pegasus: 1.19.0, 2007-09-18
    Scanning options:
    Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB BAT LNK ANI AVB CEO CMD LSP MAP MHT MIF PDF PHP POT WMF NWS TAR TGZ WSF ZL? {* ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
    Use Advanced heuristics

    --------------------------------------------------------------------------------

    Copyright © 1998-2006 Product support |Send virus sample to F-Secure
    F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.
    0
  10. Darckiller Messages postés 835 Date d'inscription   Statut Membre Dernière intervention   35
     
    Ok c'est bien;
    On désinfecte ton PC au fur et à mesure.

    Continue la procédure.

    ;)
    0
  11. Machupichu Messages postés 49 Statut Membre
     
    Salut, désolé je n'ai pas vraiment un rythme soutenu !!

    Avant la suite, je me permets 2 questions : Kapersky memet ttes les 5 mn en alerte avec 2 applications qui sont : C/windows/System32/Winlognon.exe et C/windows/System32/Svchost.exe en realation avec Outlook expresse et Internet explorer....
    Comme d'hab, je ne sais pas ce que c'est et ne sais encore moins si je dois autoriser ou pas ?
    Et puis y-a-t-il un risque à faire un scan Windows Live on care dans la mesure ou je ne sais pas d'ou vien t mon XP ?

    Bon, je vais m'occuper du Panda....

    A+ et bon week-end ;)
    0
  12. Darckiller Messages postés 835 Date d'inscription   Statut Membre Dernière intervention   35
     
    Winlogon et svchost sont des procesus TOTALEMENT LEGITIMES de Windows.
    Donc pour la bonne marche de ton PC, svchost et Winlogon doivent etre autorisé. (aussi non ton PC connaitra des défaillance et un tas de problèmes).

    Winlogon permet de vérifier, entre autre, les comptes d'utilisateurs et des fonctions d'autenthification, c'est un processus critique qui ne dois jamais etre arreter.
    Svchost gère plein d'application mettant en relations le système, les services, et les programmes de ta machine donc indispensable !

    Si tu "ne sais pas d'où vient ton XP", tu peux avoir une version piratée, qui bien souvent fonctionnent grace à des malwares;
    si c'est le cas, je ne peux rien faire pour toi; en effet, les malwares sont supposé assuré la bonne marche du sytème d'exploitation, ILS FONT PARTIS DU SYSTEME D'EXPLOITATION LUI-MEME DANS CE CAS. DONC IMPOSSIBLE DE LES SUPPRIMER EN RENDANT UTILISABLE TON SYSTEME.

    Cela étant dis, et si ta version d'XP est valide, tu n'as pas besoin d'autenthififaction Windows pour faire Windodws Live One care, l'antivirus en ligne de MIcrosoft, qui est utile.

    Continue le protocole.

    Enjoy ;)
    0
  13. Machupichu Messages postés 49 Statut Membre
     
    Voici le scan Panda :

    Incident Statut Analyse

    Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\RICARDO\Bureau\SmitfraudFix\Process.exe
    Virus:Trj/Rebooter.J Désinfecté C:\Documents and Settings\RICARDO\Bureau\SmitfraudFix\Reboot.exe
    Outil indésirable:Application/SuperFast No Désinfecté C:\Documents and Settings\RICARDO\Bureau\SmitfraudFix\restart.exe
    Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\RICARDO\Cookies\ricardo@xiti[1].txt
    Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\RICARDO\Local Settings\Temp\Cookies\ricardo@247realmedia[1].txt
    Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\RICARDO\Local Settings\Temp\Cookies\ricardo@2o7[1].txt
    Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\RICARDO\Local Settings\Temp\Cookies\ricardo@serving-sys[2].txt
    Spyware:Cookie/Smartadserver No Désinfecté C:\Documents and Settings\RICARDO\Local Settings\Temp\Cookies\ricardo@smartadserver[1].txt
    Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\RICARDO\Local Settings\Temp\Cookies\ricardo@xiti[1].txt
    Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe
    0
  14. Darckiller Messages postés 835 Date d'inscription   Statut Membre Dernière intervention   35
     
    Ok il y a encore quelque malwares à supprimer, mais rien de bien méchant.

    Passe à la suite avec les 3 ANTI SPYWARES après avoir fais le scan enlinge de WINdows LIve ONE Care.
    0
  15. Machupichu Messages postés 49 Statut Membre
     
    Salut,

    J'ai fait tous les scans, a-squared a détécté un Trojan-Win32.Agent.bux et supprimé, ce matin Kapersky a réussit à supprimer Win32-Bzub.btx, aucune nouvelle du premier détecté par avast : Win32:Small-gen2 ( et je n'ai plus avast )

    Par ailleurs aujourd'hui à 2 reprises je me suis retrouvé d'un seul coup avec mon papier peint de bureau et plus rien d'autre, aucun objet affiché, aucune action possible autre que redémarrer.... cela n'était jamais arrivé

    Voilà les news de mon côté,

    Dans l'attente de vos commentaires,

    Merci

    Richard
    0
  16. Darckiller Messages postés 835 Date d'inscription   Statut Membre Dernière intervention   35
     
    Ok, on est sur la bonne voie ! Ton PC est presque propre.

    Pour la disparition des icones et le papier peint juste qui reste,
    cela doit être un bug de Windows (il faut redémarrer le processus " explorer.exe" dans le gestionaire des taches).

    Cependant, je me m'assurer que ton PC n'a pas de rootkit et autres backdoor.

    -Tu télécharges PANDA Antirootkit ( https://www.pandasecurity.com/en/mediacenter/?ref=mc_research ),
    installe le programme,
    met le à jour,
    fais un scan minutieux et complet de ton PC,
    supprime les problèmes qui vont s'affichés.

    Télécharges AVG Antirootkit ( http://www.avgfrance.com/doc/products-avg-anti-rootkit-free-edition/fr/crp/0 )
    installe le programme,
    met le à jour,
    fais un scan minutieux et complet de ton PC,
    supprime les problèmes qui vont s'affichés.

    Télécharge Sophos Anti-Rootkit (http://www.sophos.fr/products/free-tools/sophos-anti-rootkit/eula ),
    installe le programme,
    met le à jour,
    fais un scan minutieux et complet de ton PC,
    et supprime les problèmes qui vont s'affichés.

    Ces programmes sont spécialisés dans la recherche de fichiers cachés, de rootkits, de backdoors.

    Une fois ceci fait, poste un nouveau rapport HJTH:

    Ouvre HJTH en cliquant sur l'icône nouvelle qui apparaît (un détective avec un chapeau rouge),
    cliques sur le bouton "Do a system scan and save a log file",
    attends qu'il est fini le scan de ton PC,
    une page de texte (généralement le bloc-note) s’ouvrent avec des lignes: c'est ton rapport ;
    copie et colle ce rapport sur un nouveau message.

    Je t'indiquerai par la suite, si ton PC est désinfecté, les logiciels à garder et comment te protégé efficacement.

    Enjoy ;)

    0
  17. Machupichu Messages postés 49 Statut Membre
     
    Ola ;)

    Les 3 scan anti-rootkits, n'ont rien detecté ce qui est cool.

    Par contre à un moment "un problème sérieux a été trouvé, écran bleu avec texte et dans la même seconde mon ordi a redémarré tt seul. Décidement c'est des trucs qu'il ne m'avait jamais fait....

    Par contre encore, j'ai tjrs de manière intempestive un "www.web-search.com" qui s'intercalle dans certaines de mes recherches sur internet sans jamais arriver sur le site recherché et qui me laisse sur une page blanche.Généralement, cela n'apparrait jamais sur les deuxièmes tentatives ( je ne sais pas si c'est clair, en tous cas cela est commun aux virus détectés la semaine dernière car jamais vu avant ) ....

    Logfile of HijackThis v1.99.1
    Scan saved at 14:08:34, on 06/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\msdtc.exe
    C:\Program Files\a-squared Anti-Malware\a2service.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\mqsvc.exe
    C:\WINDOWS\ehome\mcrdsvc.exe
    C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\mqtgsvc.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\HP\QuickPlay\QPService.exe
    C:\WINDOWS\ehome\ehtray.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
    C:\Program Files\Skype\Plugin Manager\SkypePM.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
    O2 - BHO: (no name) - {38C4AC06-914B-4452-92FA-3C630016AB77} - c:\windows\system32\cryptextf.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (file missing)
    O2 - BHO: (no name) - {D935B3AA-08A7-437E-B28A-9DE607F24056} - C:\WINDOWS\system32\dbnmpntwi.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
    O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
    O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
    O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
    O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
    O15 - Trusted Zone: http://www.secuser.com
    O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - https://www.f-secure.com/en/home/support
    O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
    O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cab
    O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
    O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
    O20 - Winlogon Notify: tt - C:\WINDOWS\
    O20 - Winlogon Notify: utwqwwgr - C:\WINDOWS\SYSTEM32\cryptextf.dll
    O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
    O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe

    A bientôt merci
    0
  18. Machupichu Messages postés 49 Statut Membre
     
    J'en profite pour faire part de tt ce qui est louche : petit triangle jaune " !" en bas à droite qui me fait part d'une erreure système ou dysfonctionneme,t et me propose de télécharger un logiciel pour scanner et nettoyer....c'est tt nouveau également.

    Voilà pour info, merci pour la suite ;)
    0
  19. Machupichu Messages postés 49 Statut Membre
     
    Reu... et je deviens totalement parano avec ce message de Kapersky alors que j'entrais les premières lettres d'un recherche sur Yahoo :
    Kaspersky Internet Security 7.0
    "The requested URL http://ww1.gomyron.com/MTE2NDM=/2/2822/ax=1/ed=1/ex=1/_pt13/ is forbidden" expliquant que c'etait un site de fishing etc... mais je n'ai jamais cherché ce site ! cela peut-il être un virus qui tente seul de se connecter ?

    Surtout que j'ai justement fait pour la première fois hier un achat en ligne sur amazon.fr

    D'avance merci de garder patience avec ce genre de questions ;)

    a+

    Richard
    0
  20. Darckiller Messages postés 835 Date d'inscription   Statut Membre Dernière intervention   35
     
    Ouvre le logiciel HijackThis et coche les ligne suivantes, puis fais FIX dessus:

    O2 - BHO: (no name) - {38C4AC06-914B-4452-92FA-3C630016AB77} - c:\windows\system32\cryptextf.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (file missing)
    O2 - BHO: (no name) - {D935B3AA-08A7-437E-B28A-9DE607F24056} - C:\WINDOWS\system32\dbnmpntwi.dll
    O20 - Winlogon Notify: tt - C:\WINDOWS\
    O20 - Winlogon Notify: utwqwwgr - C:\WINDOWS\SYSTEM32\cryptextf.dll

    MAIS LOL ! C'est bien la première fois qu'un PC est infecté pendant que je le désinfecte (pas le même type d'infection)!

    En effet, ton PC a été nettoyeé des TROJANS de type W32 qui sévissaient selon ton problèmes de départ;
    cependant, des pirates viennent juste d'infecté ton PC de cette manière:

    Tu es victimes de détournement du fichier Host (une variantes de CoolWebSearch (quel saleté celui-là)),
    de détournement d'Internet Explorer (Pourquoi tu n'as pas la version 7.0 qui est beaucoup plus sécurisée et pratique ? ),
    d'infection par des logicile publicictaires (Adwares), certainement aussi de spywares;
    je parie que ta page d'accueil Internet à aussi été changée.

    Concours de circonstances heureux vu que je m'occupe de ton PC en ce moment.

    /!\ NE TELECHARGE SURTOUT PAS CE GENRE DE LOGICIELS NEFASTES: CE SONT DES "ROGUES" /!\

    Certains logiciels malveillants prennent la forme d'antivirus, d'antispyware ou d'outils de nettoyage de disque et tentent d'abuser des utilisateurs néophytes pour s'incruster sur leur machine. Dans la lignée de VundoFix, RogueRemover permet de se débarrasser de ces pseudo logiciels que l'on appelle « rogue ».
    Il existe d'innombrables faux utilitaires de sécurité agissant en véritables chevaux de Troie introduisant un ou plusieurs parasites, espionnant, installant des failles de sécurité comme des backdoor, des dialers, des downloaders etc. ...

    On va donc devoir procéder à une nouvelle éradication; suis ma démarche:

    Refais Spybot S&D 1.51 (https://www.safer-networking.org/download/ ),
    Ad-Aware (http://www.lavasoftusa.com/products/ad_aware_free.php )
    et A-Squared Free 3.0 (https://www.emsisoft.com/fr/ ),
    installe chacun de ces antispywares,
    mets à jour chacun d'eux,
    puis fais un scan minutieux et complet de ton PC avec chacun d'eux,
    et supprime les problèmes qui vont s'affichés.

    -Tu télécharges SDFix (http://mickael.barroux.free.fr/securite/sdfix.php ),
    suis scrupuleusement la procédure du site,
    copie et colle le rapport dans un nouveau message.
    Ce programme va nettoyer certains fichiers sensibles scusceptibles d'être infectés (le fichier Host notamment) et certaines DLL néfastes (fichiers librairie).

    -Tu télécharges Clean et suis le guide de la page:
    ( http://mickael.barroux.free.fr/securite/clean.php )
    Poste le rapport obtenu.

    -Tu télécharges RogueRemover ( https://www.clubic.com/telecharger-fiche28630-rogueremover-free.html )
    Installe le logiciel
    fais un scan complet de ton PC,
    supprime les problèmes qui vont s'affichés.

    -Tu télécharges VundoFix ( http://www.clubic.com/telecharger-fiche25107-vundofix.html )
    installes le logiciel
    fais un scan complet de ton PC,
    supprimes les problèmes qui vont s'afficher.

    Refais CCleaner (https://filehippo.com/download_ccleaner/ ) la dernière version est celle juste à côté de la flèche verte,
    installe le sur ton PC (lors de l'installation, au début, décoche la case Yahoo! mettant en place une barre d'outils).
    Clique sur l'icône "Option" sur le côté gauche,
    puis clique sur le bouton "Propriétés",
    ne coche que la case "Effacement sécurisé du fichier (lent)",
    puis dans le menu déroulant en dessous sélectionne "Effacement type NSA (7 passages)".
    Clique maintenant sur le bouton "Avancé",
    ne coche que la case "Enregistrer toutes les propriétés du fichier Ini".
    Clique sur l'icône "Registre" sur le côté droit (petits cubes bleus),
    coche la case à côté de "Intégrité du registre" (en bleu),
    puis clique sur la touche "Chercher les erreurs" en bas à gauche,
    une fois la barre du haut verte à 100 %, la recherche est terminée,
    clique sur la touche "Réparer les erreurs sélectionnées" en bas à droite.
    Clique ensuite sur l'icône "Nettoyeur" sur le côté droit (le pinceau),
    coche toutes cases des onglets "Windows" et "Application",
    clique sur le bouton "Analyse" en bas à gauche,
    une fois la barre du haut verte à 100 %, l'analyse est terminée,
    clique sur le bouton "Lancer le nettoyage" en bas à droite.

    -Tu désactives la Restauration du système Windows:
    Démarrer -> Panneau de configuration (en mode catégorie) -> Performance et maintenance -> Système -> Onglet "Restauration du système" -> coche la case "Désactivé la restauration du système"
    -> Clique sur le bouton "Appliquer" en bas -> Clique sur le bouton "Ok" en bas.
    En effet, certains virus se servent délibérément de la restauration du système afin de pouvoir se réactiver suite à une suppression.

    -Tu réactives la Restauration du système, un outils utile de Windows:
    Démarrer -> Panneau de configuration (en mode catégorie) -> Performance et maintenance -> Système -> Onglet "Restauration du système" -> Décoche la case "Désactivé la restauration du système"
    -> Clique sur le bouton "Appliquer" en bas -> Clique sur le bouton "Ok" en bas.

    -Tu télécharges SpywareBlaster de Javacool Software (http://www.brightfort.com/spywareblaster.html ),
    installe le sur ton PC,
    mets le à jour en cliquant sur "Updates" dans le menu sur la colonne bleue à gauche,
    clique sur le bouton "Check for Updates" en bas,
    active la protection en cliquant sur "Enable All Protection" en bas dans le menu "Quick Tasks".
    Ce logiciel va empêcher les script malvaillants et les sites malwares d'attaquer ton PC en vaccinant ton disque dur et ton navigateur web. Il n'agit pas en temps réel et il n'a pas de scan.

    Voilà ;) bon courage !

    0
  21. Machupichu Messages postés 49 Statut Membre
     
    Salut, effectivement j'enchaine les galères....

    J'ai fait les scans anti-spyware et voici le SDFix :

    SDFix: Version 1.114

    Run by RICARDO on 07/11/2007 at 19:04

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\DOCUME~1\RICARDO\Bureau\SDFix\SDFix

    Safe Mode:
    Checking Services:

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting...

    Normal Mode:
    Checking Files:

    No Trojan Files Found

    Removing Temp Files...

    ADS Check:

    C:\WINDOWS
    No streams found.

    C:\WINDOWS\system32
    No streams found.

    C:\WINDOWS\system32\svchost.exe
    No streams found.

    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.

    Final Check:

    catchme 0.3.1253 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-11-07 19:10:17
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    IPC error: 2 Le fichier spécifié est introuvable.
    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    Remaining Services:
    ------------------

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\Neuf\\Kit\\9diags.exe"="C:\\Program Files\\Neuf\\Kit\\9diags.exe:*:Enabled:Etat de votre connexion"
    "C:\\Program Files\\Pack Securite\\FSGUI\\fsavgui.exe"="C:\\Program Files\\Pack Securite\\FSGUI\\fsavgui.exe:*:Enabled:Ouvrir Pack S‚curit‚"
    "C:\\Program Files\\Neuf\\Kit\\9mail.exe"="C:\\Program Files\\Neuf\\Kit\\9mail.exe:*:Enabled:Assistant de messagerie"
    "C:\\Program Files\\Adobe\\Photoshop Album Edition D‚couverte\\3.0\\Apps\\Photoshop Album Starter Edition.exe"="C:\\Program Files\\Adobe\\Photoshop Album Edition D‚couverte\\3.0\\Apps\\Photoshop Album Starter Edition.exe:*:Enabled:Adobe Photoshop Album Edition D‚couverte 3.0"
    "C:\\Program Files\\Nero\\Nero8\\Nero Home\\NeroHome.exe"="C:\\Program Files\\Nero\\Nero8\\Nero Home\\NeroHome.exe:*:Enabled:Nero Home"
    "C:\\WINDOWS\\system32\\1b27t.exe"="C:\\WINDOWS\\system32\\1b27t.exe:*:Disabled:1b27t"
    "C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe:*:Enabled:Kaspersky Anti-Virus"
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

    Remaining Files:
    ---------------

    Files with Hidden Attributes:

    Fri 9 Mar 2007 5 A.SH. --- "C:\WINDOWS\system32\cffecdbacd3_d.dll"

    Finished!
    0
  • 1
  • 2