3 virus sinon rien -_-' Résolu

Question

Bonjour,

Je viens de remarquer un problême lié à mon navigateur internet. Lorsque je clique sur le nom d'un site (google et i.e) il m'affiche un autre site n'ayant pas de rapport avec le lien demandé...

Un de mes amis m'a conseillé d'utiliser "spyware doctor" et le résultat de l'analyse m'indique la présence de:

* Dialer.instant_access
* Spyware.Known_Bad_Sites
* Trojan-Downloader.Ruins

Aver spyware doctor n'ai pas la possibilité de mettre en quarantaine ces fichiers, qui se trouvent implanté dans mon pc dans divers fichiers.

Pouvez vous m'indiquer la démarche à cuivre?

Merci d'avance

Utilisateur anonyme · Answer

essayer avec spybot.

Mike.us · Answer

Avast, Spybot et ad-aware ne trouvent rien...

Utilisateur anonyme · Answer

essayer une analyse en ligne avec kaspersky.

Mike.us · Answer

J'ai tenté kaspersky... je n'arrive pas à voir le lancement de l'analyse lorsque je clique sur "j'accepte".

Au lieu de ça, j'ai une fenêtre publicitaire qui s'ouvre...

Cela ne change pas le fait que je connaisse déjà la présence des virus sur mon pc! Il ma manque seulement de l'aide pour les retirer.

Utilisateur anonyme · Answer

En mode sans échec, tu localises les fichiers infectés et tu les supprimes manuellement.

Mike.us · Answer

Je ne vois pas où se trouve le mode sans échec, ni sur quel logiciel d'ailleurs! lol

De plus, n'y aurait-il pas un risque de supprimer un fichier important qui serai affecté?

Utilisateur anonyme · Answer

au démarrage du PC, tu tapote sur F8, jusqu'à ce que tu vois un écran de choix, tu choisis mode sans échec.
tu envois la liste des fichiers infectés.

Sinon tu fais une analyse avec hijackthis (cherche le sur google), et tu envois le rapport.

Mike.us · Answer

j'ai lancé hijackthis et voilà le résultat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:12:10, on 02/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\AGEIA Technologies\TrayIcon.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\User\LOCALS~1\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Program Files\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Weflirt] "C:\Program Files\Weflirt\weflirt.exe" -background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: IMVU.lnk = C:\Program Files\IMVU\IMVUClient.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\User\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\..\{4257FA68-663D-420C-905C-3C5FBA0087B4}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\..\{50E80FBA-5D40-4381-BFBE-E70238A8D7A7}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1554B55-42E4-425B-915C-FD21A687BE0F}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS1\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS2\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe

Utilisateur anonyme · Answer

Je ne vois rien d'anormal là, c'est vrais beaucoup de choses sont chargées, mais rien n'est risqué. Il faut chercher la liste des fichiers infectés et les supprimer manuellement.

Mike.us · Answer

Ok je tente de le faire manuellement, je repasse plus tard pour le verdict (si mon pc n'est pas endommagé :s)

Mike.us · Answer

En passant manuellement, j'ai retiré Dialer.instant_access et Spyware.Known_Bad_Sites assez facilement en connaissant leurs emplacement donné par "spyware doctor".



En ce qui concerne Trojan-Downloader.Ruins, c'est plus compliqué...
J'ai pu vérifier en naviguant sur internet qu'il était toujours présent.

Avast, Ad-Aware, Spybot, Hi-jackthis, Stinger ne trouvent rien !!!
Spyware doctor est le seul à me détecter sa présence, mais manuellement, je ne trouva pas ces fichiers. De plus, il m'est impossible de mettre en quarantaine tant que je n'aurai pas acqui de license.

Je suis en train de lancer le scan de Hitman Pro... en éspérant qu'il trouve quelque chose, et que je puisse agir!

Mike.us · Answer

Hitman Pro me demande d'installer un autre anti spyware...... bla bla bla...

Je ne sais plus quoi faire, le mode sans échec suivi d'un nettoyage de disque n'est pas possible: windows me ferme le programme pour protéger mon ordinateur.

Utilisateur anonyme · Answer

DSL pour le retard.

Je pense qu'il faut chercher avec google un autre site d'analyse en ligne. ou bien chercher sur internet les fichiers pourront être infectés par ce trojan et les éliminer.

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Allo je ne fais que passer rapide.

Je viens de remarquer un problême lié à mon navigateur internet.
Oui en effet naviguer sur internet = ceci !

Fais donc in scan en ligne sur Firefox :   https://www.trendmicro.com/en_us/forHome/products/housecall.html  ;-) 
@+

leon95 · Answer

bonsoir..et c est efficace cet anti virus en ligne avec firefox?

Utilisateur anonyme · Answer

En théorie.

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Comme les autres sinon un cran de plus! 

1: pas de merdeux d'actives X de Bill .
2 : il voit clair et il supprime aussi !
Applicable dans ce cas ici .

@+

leon95 · Answer

et pour moi?

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

à connaitre ton log leon95 oui pour toi aussi.

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Salut Cyrildu 17 !
Peut tu le perndre en mais :Mike.us stp .
Il est un peu piraté disons et il a un gros reseau Loll:

OrgName:    Freedom Networks LLC 
OrgID:      FNL-6
Address:    50 Freemont St.
Address:    16 Floor
City:       San Francisco
StateProv:  CA
PostalCode: 94105
Country:    US

NetRange:   208.67.216.0 - 208.67.223.255 
CIDR:       208.67.216.0/21 
NetName:    OPENDNS-NET-1
NetHandle:  NET-208-67-216-0-1
Parent:     NET-208-0-0-0-0
NetType:    Direct Assignment
NameServer: AUTH1.OPENDNS.COM
NameServer: AUTH2.OPENDNS.COM
NameServer: AUTH3.OPENDNS.COM
Comment:    
RegDate:    2006-06-06
Updated:    2006-06-06

OrgAbuseHandle: GBP7-ARIN
OrgAbuseName:   Patterson, George B
OrgAbusePhone:  +1-415-344-3139
OrgAbuseEmail:  *****@opendns.com

OrgNOCHandle: GBP7-ARIN
OrgNOCName:   Patterson, George B
OrgNOCPhone:  +1-415-344-3139
OrgNOCEmail:  *****@opendns.com

OrgTechHandle: GBP7-ARIN
OrgTechName:   Patterson, George B
OrgTechPhone:  +1-415-344-3139
OrgTechEmail:  *****@opendns.com


Bonnes manips,
 break pour moi @+

Utilisateur anonyme · Answer

Lut'

J'ai pas tout compris :S

Peut tu le perndre en mais :Mike.us stp . 

-------------
Break aussi pour moi , il se fait tard...

A+

Pi_Xi · Answer

Bonjour et bonne année 2008!

* Tu n'as pas de firewall, installe: http://www.commentcamarche.net/telecharger/telecharger 206 kerio

* Télécharge sur ton bureau Navilog: http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Clic droit sur navilog1.zip << "tout extraire"
Double-clique sur navilog1.bat
Dans le menu principal, choisis l'option 1 et valide
Poste le rapport sauvegardé à la racine du disque (fixnavi.txt)

* Fais un scan en ligne Panda: https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan

et poste le rapport stp.

* Par ailleurs, la ligne:O4 - HKCU\..\Run: [Weflirt] "C:\Program Files\Weflirt\weflirt.exe" -backgroundme semble douteuse...

Mike.us · Answer

Bonjour,

 * J'ai installé le firewall.

 * J'ai installé navilog, voilà le rapport:

Search Navipromo version 3.3.8 commencé le 03/01/2008 à 13:34:17,45

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\User\application data" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

Fichiers trouvés :

rnjupmwtwb.exe trouvé ! 
rnjupmwtwb.dat trouvé ! 
rnjupmwtwb_nav.dat trouvé ! 
rnjupmwtwb_navps.dat trouvé ! 

* Recherche dans "C:\Documents and Settings\User\local settings\application data" * 



*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

rnjupmwtwb.dat trouvé !
rnjupmwtwb_nav.dat trouvé !

* Dans "C:\Documents and Settings\User\local settings\application data" : 


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 03/01/2008 à 13:36:43,17 ***




 * le scan en ligne n'a rien trouvé...

 *  et pour la ligne semblant douteuse... je sais pas quoi faire.

Pi_Xi · Answer

ok, navilog a trouvé des fichiers:

# Double-Clique sur navilog1 sur le bureau
# Pour lancer le nettoyage automatique, tape 2, puis appuye sur la touche Entrée de ton clavier
# Remarque: le bureau disparaît Laisse Navilog1 travailler...
# Pour redémarrer le PC, appuye sur une touche de ton clavier et laisse Navilog1 opérer
# Une fois ton PC redémarré, Navilog1 terminera la désinfection et il fournira un rapport de désinfection
# Poste ce rapport sur le forum stp.

Pour la ligne douteuse, c'était une remarque pour les autres ;o)

Poste aussi un nouveau rapport HiJackThis :o)

Mike.us · Answer

Voilà le rapport de navilog1:

Clean Navipromo version 3.3.8 commencé le 03/01/2008 à 14:49:58,01

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Mode suppression automatique 


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *

rnjupmwtwb.exe trouvé !
Copie rnjupmwtwb.exe réalisée avec succès !
rnjupmwtwb.exe supprimé !

rnjupmwtwb.dat trouvé !
Copie rnjupmwtwb.dat réalisée avec succès !
rnjupmwtwb.dat supprimé !

rnjupmwtwb_nav.dat trouvé !
Copie rnjupmwtwb_nav.dat réalisée avec succès !
rnjupmwtwb_nav.dat supprimé !

rnjupmwtwb_navps.dat trouvé !
Copie rnjupmwtwb_navps.dat réalisée avec succès !
rnjupmwtwb_navps.dat supprimé !


* Suppression dans "C:\Documents and Settings\User\local settings\application data" * 



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\User\application data" *** 


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\User\local settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *


* Dans "C:\Documents and Settings\User\local settings\application data" * 


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !

*** Nettoyage terminé le 03/01/2008 à 15:17:30,42 ***

Mike.us · Answer

Et maintenant le rapport HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 15:19:53, on 03/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\AGEIA Technologies\TrayIcon.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://french.eazel.com/index.php?rvs=hompag
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Program Files\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Weflirt] "C:\Program Files\Weflirt\weflirt.exe" -background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [BPS Spyware Remover] C:\Program Files\BPS Remover\BPSRem.exe /STARTUP
O4 - HKCU\..\Run: [SPYWATCH] C:\Program Files\Spyware Remover\SpyWatch.exe /STARTUP
O4 - Startup: IMVU.lnk = C:\Program Files\IMVU\IMVUClient.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\User\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\..\{4257FA68-663D-420C-905C-3C5FBA0087B4}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\..\{50E80FBA-5D40-4381-BFBE-E70238A8D7A7}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1554B55-42E4-425B-915C-FD21A687BE0F}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS1\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS2\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Pi_Xi · Answer

* Ouvre Hijackthis, choisis "do a scan only"

* Coche la case devant les lignes :O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" (*)
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\User\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)(*) c'est à fixer seulement si tu n'as pas besoin de lancer AdobeReader au démarrage.

* Ferme toutes les autres fenêtres actives et clique sur "Fix checked".

Il y a toujours cette ligne: O4 - HKCU\..\Run: [Weflirt] "C:\Program Files\Weflirt\weflirt.exe" -backgroundsur laquelle nous devons enquêter (pour info, ça semble être un spyware)...

Mike.us · Answer

Merci beaucoup

Après avoir fait cela, je ne remarque plus les signes que j'avai avant.
Le pc n'a pas l'air d'avoir subit des dégâts, tout va bien.

je repasserai pour voir si ya des news sur cette fameuse ligne.

Mike.us · Answer

heu... je viens de retrouver ce bug...

Mon nouveau firewall "Sunbelt Kerio" est toujours actif, et on m'a conseillé de désactiver le pare feu windows (qui ne servirai à rien).
Ad-aware n'a rien trouvé de spécial.
et j'ai lancé spybot (je posterai le résultat plus tard).

alors pour gagner du temps, je mes directement le rapport HijackThis:


Logfile of HijackThis v1.99.1
Scan saved at 20:43:39, on 05/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\AGEIA Technologies\TrayIcon.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://french.eazel.com/index.php?rvs=hompag
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Program Files\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Weflirt] "C:\Program Files\Weflirt\weflirt.exe" -background
O4 - HKCU\..\Run: [BPS Spyware Remover] C:\Program Files\BPS Remover\BPSRem.exe /STARTUP
O4 - HKCU\..\Run: [SPYWATCH] C:\Program Files\Spyware Remover\SpyWatch.exe /STARTUP
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Startup: IMVU.lnk = C:\Program Files\IMVU\IMVUClient.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\..\{4257FA68-663D-420C-905C-3C5FBA0087B4}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\..\{50E80FBA-5D40-4381-BFBE-E70238A8D7A7}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1554B55-42E4-425B-915C-FD21A687BE0F}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS1\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS2\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Mike.us · Answer

voilà le rapport de Spybot:


--- Search result list ---
BPS Spyware Remover: [SBI $1CA61E11] Réglages utilisateur (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-3724284762-955883548-1347832043-1006\Software\VB and VBA Program Settings\Spyware / Adware Remover

BPSSpywareRemover: [SBI $03D24FC9] Réglages Autorun (Valeur du registre, nothing done)
  HKEY_USERS\S-1-5-21-3724284762-955883548-1347832043-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BPS Spyware Remover

BPSSpywareRemover: [SBI $56D821C1] Type library (Clé du registre, nothing done)
  HKEY_CLASSES_ROOT\TypeLib\{602E2CE0-53F7-11D2-A7F4-00A0C91110C3}

BPSSpywareRemover: [SBI $FCD06CE5] Réglages (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-3724284762-955883548-1347832043-1006\Software\BPS Console Toolbar

BPSSpywareRemover: [SBI $F1909ADF] Réglages (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-3724284762-955883548-1347832043-1006\Software\BPS Remover

SpywareXP: [SBI $3E7C0B17] Dossier Programme (Répertoire, nothing done)
  C:\Program Files\Spyware Remover\

Zlob.DNSChanger.Rtk: [SBI $FE3023DF] Réglages (Valeur du registre, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System=...KDZIO.EXE...



==> cette dernière ligne avec le KDZIO.EXE me rappel une chose que "spyware doctor" m'avai indiqué, mais que je n'arrivai pas à supprimer...

Mike.us · Answer

j'ai éffacé cette fameuse ligne "KDZIO.EXE" avec Spybot et je n'ai plus eu ce bug pendant un cours instant... mais c'est revenu.

Pi_Xi · Answer

Bonsoir!

C'est quoi O4 - HKCU\..\Run: [Weflirt] "C:\Program Files\Weflirt\weflirt.exe" -background?

Mike.us · Answer

weflirt est un site de rencontre.

je me rappel pas l'avoir installé sur mon pc, mais j'ai déjà été sur le site.

Mike.us · Answer

Vu que ça n'a rien à faire sur mon pc, j'ai utiliser HijackThis pour retirer la ligne:

O4 - HKCU\..\Run: [Weflirt] "C:\Program Files\Weflirt\weflirt.exe" -background

   je pense pas que ça fera quelque chose.



sinon j'ai relancé spybot... et devinez quoi? 

Zlob.DNSChanger.Rtk: [SBI $FE3023DF] Réglages (Valeur du registre, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System=...KDZIO.EXE...



   elle me fait chier celle là à revenir à chaques fois, peut être en rapport avec le weflirt? comment savoir... le problême est revenu après quelques jours, alors il peut revenir dans 2 semaines si c'est pas réglé.   -_-'

à moins qu'on est retiré les bonnes choses.


spybot donne aussi ça (mais c'est peut être pas utile) :


2007-08-31 blindman.exe (1.0.0.6)
2007-08-31 SDMain.exe (1.0.0.4)
2007-08-31 SDUpdate.exe (1.0.6.4)
2007-08-31 SDWinSec.exe (1.0.0.8)
2007-08-31 SpybotSD.exe (1.5.1.15)
2007-08-31 TeaTimer.exe (1.5.0.9)
2007-10-09 unins000.exe (51.46.0.0)
2007-08-31 Update.exe (1.4.0.5)
2007-08-31 advcheck.dll (1.5.3.0)
2007-04-02 aports.dll (2.1.0.0)
2007-04-02 DelZip179.dll (1.79.5.3)
2007-08-31 SDHelper.dll (1.5.0.8)
2007-08-31 Tools.dll (2.1.2.0)
2008-01-02 Includes\Cookies.sbi (*)
2007-12-26 Includes\Dialer.sbi (*)
2008-01-02 Includes\DialerC.sbi (*)
2007-12-26 Includes\Hijackers.sbi (*)
2008-01-02 Includes\HijackersC.sbi (*)
2007-10-04 Includes\Keyloggers.sbi (*)
2008-01-02 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2007-11-07 Includes\Malware.sbi (*)
2008-01-02 Includes\MalwareC.sbi (*)
2007-10-24 Includes\PUPS.sbi (*)
2008-01-02 Includes\PUPSC.sbi (*)
2008-01-02 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2008-01-02 Includes\SecurityC.sbi (*)
2007-11-07 Includes\Spybots.sbi (*)
2008-01-02 Includes\SpybotsC.sbi (*)
2007-11-06 Includes\Tracks.uti
2007-12-12 Includes\Trojans.sbi (*)
2008-01-02 Includes\TrojansC.sbi (*)
2008-12-24 Plugins\TCPIPAddress.dll



==> ces lignes apparaissent lorsque j'enregistre sur un fichier le rapport.

Mike.us · Answer

en retirant le weflirt, j'ai réglé le problême?

enfin pour le moment j'ai plus de bug... je poste le message comme résolu.

si ça doit revenir, :s  je vous ferai un petit coucou !  lol


sinon   merci encore!

Mike.us · Answer

arf si je coche pas "résolu"...  dsl

Mike.us · Answer

aaarrrgghhhh j'en ai marre

vous allez me prendre pour Jeanne D'Arc des temps moderne, mais c'est revenu.

J'ai relancé HijackThis, j'ai regardé ce qu'il y avait de spécial, et j'ai reconnu une ligne dans le style "weflirt", mais là c'est :

O4 - Startup: IMVU.lnk = C:\Program Files\IMVU\IMVUClient.exe


C'est un site de tchat 3D, mais je l'ai supprimé ya quelques jours. Le bug est apparu dans la même période de son instalation.
C'est peut être pas ça mais je test.

==> pour les autres lignes du rapport, je reconnai pas grand chose, alors si ça se cache dedans...   -_-'


Je posterai d'autres messages si j'ai encore des problêmes, faut quand même bien que je vous avertisse en cas de résolution ^^
... au cas où je ne serai pas le seul.

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Salut passage rapido encore !
Passes SDkix et tu es aux prises avec Zlob DNSchanger.

 Pi_Xi vas te donner le lien et la suite Puis un Smithfraudfix.
je file ;-)

Pi_Xi · Answer

oki, merci jalobservateur !

1) Télécharge SDFix et sauvegarde sur ton Bureau: http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

* Double-clique sur SDFix.exe et choisis "Install" pour l'extraire dans un dossier dédié sur le Bureau.
* Redémarre ton ordinateur en mode sans échec:
* Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde)
* A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître
* Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée"
* Choisis ton compte
* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script
* Appuie sur Y pour commencer le processus de nettoyage
* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer
* Appuie sur une touche pour redémarrer le PC
* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers
* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau
* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt
* Enfin, copie/colle le contenu du fichier Report.txt

2) Télécharge: http://siri.urz.free.fr/Fix/SmitfraudFix.zip

* Exécute-le, double-clic sur Smitfraudfix.cmd, choisis l’option 1
* Il va générer un rapport : copie/colle son contenu stp.

Mike.us · Answer

quand je tape f8 plusieurs fois, ça m'affiche une fenêtre bleue, je choisi mon disque dur (option 1) puis il se lance sur mon bureau...
j'ai testé plusieurs fois, et toujours pareil.

alors je lance RunThis.bat, une fenêtre noir s'ouvre (mode ms dos),  et je n'ai pas la possibilité de faire y dans le menu...
voici le menu:


               To run the SDFix tool please reboot to Safe Mode
       (Reboot, tap the F8 Key and choose Safe Mode from the Advanced Menu)

               (SDFix Requires Administrator Account Privileges)

                1. Download/Run a-squared        (EMSI Software - 15.5 MB)
                2. Download/Run Norman Malware Cleaner   (Norman - 3.5 MB)
                3. Download/Run SAV32CLI                (Sophos - 11.5 MB)

                A. Create System Report
                B. Create Service/Driver List
                C. Create Catchme Log
                D. Export SafeBoot Key

                U. Download latest version of SDFix

                    E. EXIT

           (Active Internet Connection Required To Download Files)


Type A,B,C,D,U,1,2,3 or E to Exit....



  ==> alors j'ai tapé 2 pour "cleaner", là il s'est mis à charger en m'affichant une suite de point blanc (remake de pac man? lol)
puis une fenêtre "Norma Malware Cleaner s'est affichée, pour une analyse (pas en mode ms dos).

Le scan est en route, mais je ne sais pas si c'est en rapport avec ce que vous m'avez demandé.

Mike.us · Answer

bon le rapport est trèèèèès long...   je l'ai gardé sur le bureau au cas où ça devrait être ça.

de plus, le pc n'a pas redémarré avant...


j'attend vos réactions pour savoir quelle option choisir.

Mike.us · Answer

bon, ba j'ai pas été en mode sans échec   -_-'

je recommence...

Mike.us · Answer

hé bé !  c'est vrai que c'est plus long! lol

Il parlait de 20 minutes, j'approche de l'heure... et la page noir, avec écrit "mode sans échec" aux 4 coins de l'écran, puis tout en haut, centré écrit "microsoft (r) windows (r) ......."  change de mes habitudes.   -_-"

Le pc n'a pas l'air de chercher beaucoup de chose... c'est comme si cette page n'était qu'un écran de veille. Ca change de mes poissons habituels.  ^^

==> Heureusement que j'ai une autre connection internet en cas de problême. J'aurai pas l'air con avec un pc bloqué, et pas moyen de vous joindre...  lol

Mike.us · Answer

Bon... j'ai utilisé la bonne vieille méthode!  non pas celle où on jette le pc par la fenêtre. Dehors il pleut, et j'ai pas envi de mouiller à ramasser les morceaux.   -_-'

J'ai étaint le PC manuellement, puis je l'ai redémarré, il m'a sorti toute une analyse pour savoir si tout était en ordre (je me rappel avoir vu "CHDSK" au début).

Puis le pc redémarre, et là sur mon bureau, je vois une fenêtre noir (ms dos) de SdFix qui me dit:

"Final check,
Running catchme, please wait...."

Alors j'attends...   (aparition d'un message d'erreur de catchme, il doit fermer)

SdFix me dit qu'il a fini, je copie le rapport sur le bureau, 

     ...et là je change de pc car je peux retourner sur l'autre pour finir cette manip'

Mike.us · Answer

Bien, voilà le rapport de SdFix:


SDFix: Version 1.124

Run by User on 06/01/2008 at 13:06

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

No Trojan Files Found





Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\Program Files\Ubisoft\Ghost Recon Advanced Warfighter\GRAW.exe"="C:\Program Files\Ubisoft\Ghost Recon Advanced Warfighter\GRAW.exe:*:Enabled:GRAW"
"C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Program Files\Mozilla Firefox\firefox.exe"="C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\Program Files\Windows Media Player\wmplayer.exe"="C:\Program Files\Windows Media Player\wmplayer.exe:*:Enabled:Windows Media Player"
"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe"="C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe:*:Enabled:Sunbelt Kerio Firewall GUI"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files:
---------------


Files with Hidden Attributes:

Fri 21 Sep 2007     5,903,928 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Mon 23 Jul 2007             0 A.SH. --- "C:\WINDOWS\SMINST\HPCD.sys"
Mon 20 Aug 2007         4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Fri 10 Aug 2007           247 A..H. --- "C:\Program Files\InterActual\InterActual Player\iti9.tmp"
Wed 25 Jul 2007             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Sat  6 Oct 2007         6,838 A..H. --- "C:\Documents and Settings\User\Local Settings\Temp\Off1DB.tmp"
Tue 16 Oct 2007             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d03f71700772ecd1d20bacc33c473cd5\BIT2.tmp"

Finished! 



Je poursuis sur la 2nde étape.

Mike.us · Answer

J'en profite pour vous passer le rapport de catchme  (je sais pas si ya besoin mais il y a un truc sur le KDZIO):

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-06 14:21:56
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwQueryDirectoryFile

scanning hidden processes ...

IPC error: 2 Le fichier spécifié est introuvable.
scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

C:\WINDOWS\system32\kdzio.exe 73793 bytes executable

Mike.us · Answer

voilà le rapport de Smitfraudix :

SmitFraudFix v2.274

Rapport fait à 14:48:24,35, 06/01/2008
Executé à partir de C:\Documents and Settings\User\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\AGEIA Technologies\TrayIcon.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\User


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\User\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\User\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdzio.exe"

kdzio.exe détecté !


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 208.67.220.220
DNS Server Search Order: 208.67.222.222 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4257FA68-663D-420C-905C-3C5FBA0087B4}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4257FA68-663D-420C-905C-3C5FBA0087B4}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{50E80FBA-5D40-4381-BFBE-E70238A8D7A7}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{50E80FBA-5D40-4381-BFBE-E70238A8D7A7}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C1554B55-42E4-425B-915C-FD21A687BE0F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C1554B55-42E4-425B-915C-FD21A687BE0F}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D62092B3-1CBA-4DE1-9CA3-BA144424C062}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4257FA68-663D-420C-905C-3C5FBA0087B4}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4257FA68-663D-420C-905C-3C5FBA0087B4}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{50E80FBA-5D40-4381-BFBE-E70238A8D7A7}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{50E80FBA-5D40-4381-BFBE-E70238A8D7A7}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C1554B55-42E4-425B-915C-FD21A687BE0F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C1554B55-42E4-425B-915C-FD21A687BE0F}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D62092B3-1CBA-4DE1-9CA3-BA144424C062}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4257FA68-663D-420C-905C-3C5FBA0087B4}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4257FA68-663D-420C-905C-3C5FBA0087B4}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{50E80FBA-5D40-4381-BFBE-E70238A8D7A7}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{50E80FBA-5D40-4381-BFBE-E70238A8D7A7}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C1554B55-42E4-425B-915C-FD21A687BE0F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C1554B55-42E4-425B-915C-FD21A687BE0F}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D62092B3-1CBA-4DE1-9CA3-BA144424C062}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222 


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin







Et encore une fois, on trouve du KDZIO   -_-'



==> en attente de vos réponses.

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Salut ! 
Vas en sans echec et lance Smithfraudfix et #2 puis rapport stp.
Il est hameçonné ! yess!

Mike.us · Answer

Je suis impatient de savoir si il est pêché ^^   saleté de citron de spyware!

voilà le rapport:


SDFix: Version 1.124

Run by User on 06/01/2008 at 17:12

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

No Trojan Files Found





Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\Program Files\Ubisoft\Ghost Recon Advanced Warfighter\GRAW.exe"="C:\Program Files\Ubisoft\Ghost Recon Advanced Warfighter\GRAW.exe:*:Enabled:GRAW"
"C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Program Files\Mozilla Firefox\firefox.exe"="C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\Program Files\Windows Media Player\wmplayer.exe"="C:\Program Files\Windows Media Player\wmplayer.exe:*:Enabled:Windows Media Player"
"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe"="C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe:*:Enabled:Sunbelt Kerio Firewall GUI"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files:
---------------


Files with Hidden Attributes:

Fri 21 Sep 2007     5,903,928 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Mon 23 Jul 2007             0 A.SH. --- "C:\WINDOWS\SMINST\HPCD.sys"
Mon 20 Aug 2007         4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Fri 10 Aug 2007           247 A..H. --- "C:\Program Files\InterActual\InterActual Player\iti9.tmp"
Wed 25 Jul 2007             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Sat  6 Oct 2007         6,838 A..H. --- "C:\Documents and Settings\User\Local Settings\Temp\Off1DB.tmp"
Tue 16 Oct 2007             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d03f71700772ecd1d20bacc33c473cd5\BIT2.tmp"

Finished!

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Loll! Non tu t'es gouré de FIX !
Pas SDFIX ,  Mais Smithfraudfix que tu dois passer en MSE étape 2  ;-)

Mike.us · Answer

arf dsl je dors pas beaucoup ces temps-ci ^^

voilà le bon rapport, avec de bonnes nouvelles!

SmitFraudFix v2.274

Rapport fait à 18:22:27,34, 06/01/2008
Executé à partir de C:\Documents and Settings\User\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4257FA68-663D-420C-905C-3C5FBA0087B4}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4257FA68-663D-420C-905C-3C5FBA0087B4}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{50E80FBA-5D40-4381-BFBE-E70238A8D7A7}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{50E80FBA-5D40-4381-BFBE-E70238A8D7A7}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C1554B55-42E4-425B-915C-FD21A687BE0F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C1554B55-42E4-425B-915C-FD21A687BE0F}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D62092B3-1CBA-4DE1-9CA3-BA144424C062}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4257FA68-663D-420C-905C-3C5FBA0087B4}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4257FA68-663D-420C-905C-3C5FBA0087B4}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{50E80FBA-5D40-4381-BFBE-E70238A8D7A7}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{50E80FBA-5D40-4381-BFBE-E70238A8D7A7}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C1554B55-42E4-425B-915C-FD21A687BE0F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C1554B55-42E4-425B-915C-FD21A687BE0F}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D62092B3-1CBA-4DE1-9CA3-BA144424C062}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4257FA68-663D-420C-905C-3C5FBA0087B4}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4257FA68-663D-420C-905C-3C5FBA0087B4}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{50E80FBA-5D40-4381-BFBE-E70238A8D7A7}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{50E80FBA-5D40-4381-BFBE-E70238A8D7A7}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C1554B55-42E4-425B-915C-FD21A687BE0F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C1554B55-42E4-425B-915C-FD21A687BE0F}: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D62092B3-1CBA-4DE1-9CA3-BA144424C062}: DhcpNameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222 
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222 


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdzio.exe"

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\kdzio.exe supprimé
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Et ouais mon ami !

Ne te reste qu'a 1:  redonner un log HJKTS. 
2: Combler tes manques de protections :  http://jalobservateur.spacec.live.com
Y compris une visite ici : https://www.flexera.com/products/operations/software-vulnerability-management.html
NB: Tes vieilles versions qui ne s'écrasent pas, comme Java, tu les supprimes !
Car elles sont une importante faille exploitable !
3: À la suite du visionnement de ton log et dernier nettoyage, tu devras désactiver la resto et à la toute fin, créer un point de resto propre.
J'attends la suite.

Mike.us · Answer

voilà pour HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 18:48:24, on 06/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\AGEIA Technologies\TrayIcon.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Program Files\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SPYWATCH] C:\Program Files\Spyware Remover\SpyWatch.exe /STARTUP
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\..\{4257FA68-663D-420C-905C-3C5FBA0087B4}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\..\{50E80FBA-5D40-4381-BFBE-E70238A8D7A7}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1554B55-42E4-425B-915C-FD21A687BE0F}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS1\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS2\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 
Ok pour ton détournement de DNS en premier nous devrons prebdre actions.
Je suis pas dispo pour au moins 2heures alors ne t'éloignes pas je reviens.

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Mike ! Il reste du boulôt à faire !

!: À moins que tu sois 'sentimentalement' attaché à la petite voix de Avast qui te dit: Un virus a été introduit sur votre ordinateur !!!
Et qui a pas la fonction de te dire : Le virus restera sur votre ordinateur !!!

Je désinstallerais Avast !

Mais de la bonne façon ..

1: tu mets sur le bureau :  http://www.commentcamarche.net/telecharger/telechargement 55 antivir
Tuto ici :  http://speedweb1.free.fr/frames2.php?page=tuto5

2: tu désinstalles proprement Avast : https://www.avast.com/fr-fr/uninstall-utility

3: tu exécutes Avira Antivir/ Mets à jour/ Vas en MSE Et scan complet.

De quoi te tenir occupé pour 2 heures. 

@+ je file Jal;-)

Mike.us · Answer

tout est clean.

cependant, pour les vieilles versions de java, je fais comment?  j'ai peur de retirer les mauvaises  :s

Mike.us · Answer

ok... bein j'ai pas mal de boulot déjà... mais tu auras de mes nouvelles lorsque j'aurai avancé dans mes étapes ^^

faut déjà que je finisse de préparer mon oral d'anglais pour demain  -_-'

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Et puis Mykie! T'en es ou entre l'anglais et ta bécanne ?

Mike.us · Answer

lol  pour l'anglais...  (ça me gave, même après 10 ans d'anglais, j'en suis toujours au niveau débutant lol)  je commence la traduction de l'exposé (merci google ^^)

quand à ma bécanne, voilà le rapport :  (j'ai dû supprimer quelques trucs qui étaient des trojans   :s    comme si j'avai pas assez d'ennuis)




AntiVir PersonalEdition Classic
Report file date: dimanche 6 janvier 2008  20:33

Scanning for 1003108 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         SYSTEM
Computer name:    MIKE

Version information:
BUILD.DAT    : 270           15603 Bytes  19/09/2007 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  23/08/2007 13:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  16/08/2007 12:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  14/08/2007 15:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  14/12/2007 19:13:12
ANTIVIR2.VDF : 7.0.1.170    311296 Bytes  28/12/2007 19:13:12
ANTIVIR3.VDF : 7.0.1.195    122368 Bytes  06/01/2008 19:13:12
AVEWIN32.DLL : 7.6.0.46    3084800 Bytes  06/01/2008 19:13:12
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26/02/2007 10:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  18/07/2007 07:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.2      360488 Bytes  06/01/2008 19:13:12
AVREG.DLL    : 7.0.1.6       30760 Bytes  18/07/2007 07:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18/07/2007 07:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  08/03/2007 11:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07/08/2007 12:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  21/08/2007 12:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: dimanche 6 janvier 2008  20:33

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'msimn.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'usnsvc.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'ehmsas.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'dllhost.exe' - '1' Module(s) have been scanned
Scan process 'wmpnetwk.exe' - '1' Module(s) have been scanned
Scan process 'mcrdsvc.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'wmpnscfg.exe' - '1' Module(s) have been scanned
Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned
Scan process 'kpf4ss.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ehSched.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'ehrecvr.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'mDNSResponder.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'TrayIcon.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'smax4pnp.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'ehtray.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
45 processes with 45 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '32' files ).


Starting the file scan:

Begin scan in 'C:\' <Systeme>
C:\pagefile.sys
      [WARNING]   The file could not be opened!
C:\Program Files\Panda Security\NanoScan\Engine\psnflg.dll
      [DETECTION] Is the Trojan horse TR/Agent.bux.1
      [INFO]      The file was deleted!
C:\System Volume Information\_restore{26528C34-62DB-4E44-BFEC-490E3F1D5788}\RP159\A0016326.exe
      [DETECTION] Is the Trojan horse TR/Dropper.Gen
      [INFO]      The file was deleted!
C:\System Volume Information\_restore{26528C34-62DB-4E44-BFEC-490E3F1D5788}\RP162\A0018835.exe
      [DETECTION] Is the Trojan horse TR/Dropper.Gen
      [INFO]      The file was deleted!
C:\System Volume Information\_restore{26528C34-62DB-4E44-BFEC-490E3F1D5788}\RP162\A0018839.dll
      [DETECTION] Is the Trojan horse TR/Agent.bux.1
      [INFO]      The file was deleted!


End of the scan: dimanche 6 janvier 2008  21:35
Used time:  1:01:49 min

The scan has been done completely.

  10165 Scanning directories
 514443 Files were scanned
      4 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      4 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
 514439 Files not concerned
   8222 Archives were scanned
      1 Warnings
     48 Notes





enfin voilà pour le moment...   mais cet anti virus m'a l'air mieux qu'avast ^^   merci

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Ha je savais pas qu'il était mieux LOLLLL!!!


Les merdouilles sont dans le C:\System Volume Information\_restore
Ce qui en plus tantôt on va supprimer.

Maintenant pour les 017, 


O17 - HKLM\System\CCS\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{4257FA68-663D-420C-905C-3C5FBA0087B4}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{50E80FBA-5D40-4381-BFBE-E70238A8D7A7}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1554B55-42E4-425B-915C-FD21A687BE0F}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\..\{3C6D0B77-73B3-4691-BF2C-92A91F131470}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 

Vu que tu n'habites pas à San Fransisco ,' En hors connection'
, Tu coches et tu fixes.

Mais... Avant, Mets Spybot et :  https://www.safer-networking.org/download/


Configuration sécuritaire et efficace de Spybot Search & Destroy.

 NB: Cette configuration est idéal surtout comme bouclier 'protecteur'.
Si votre machine est loudement infectée, spybot pourrait 'cacher' ou nuire à la découverte de Rootkits ou de virus implantés.
Alors pour tout scans de Fix spéciaux, vous devrez désactiver 'temporairement' le 'Tea Timer' et le 'resident' .
----------------------------------------------------------------------------------------
1: en installant Spybot: Laissé comme demandé le Tea Timer.

2: Laissé le faire toutes les étapes qu'il veut. Soit, Sauvegarde du registre à la vaccination du systeme.

3: faire un scan 'complet' et corriger les problêmes trouvés.
Il est possible qu'en scannant avec Spybot que votre Anti virus se réveille !
Surtout si vous avez Avast qui est de moins en moins réactif et dort souvent debout.
Alors il se peut qu'il vous signale un virus qu'en fait Spybot par son scan en profondeur aura "tatillé" un peu.

4: Le nettoyage terminé: Revenez sur Spybot et dans l'onglet 'Mode', cochez 'mode avancé'.

5: Vous aurez un avertissement mais ne faite que ce que je vous indique sur les points suivants.

6: Cliquez sur 'Resident' afin que vous ayez cochés 'resident' et 'Tea Timer'.

7: Cliquez sur : Outil qui est un nouvel onglet apparu en bas.

8: Cochez toutes les cases.

9: Cliquez à gauche sous Resident 'Actives X'. Vous verrez à droite les Actives X chargés sur IE. Donc vous devez prendre le 'contrôle' de ceux-ci.
En cliquant gauche sur chacun d'eux,vous pouvez lire leur description et choisir de les supprimer à votre guise avec le 'Portier' Spybot.
Attention! Si vous lui donnez un ordre, il vous répondra et si vous désirez que cette ordre soit retenue, alors indiquez-lui, puis autorisez.
NB: Si vous avez des versions de Java ,parmis les ActivesX et que celle-ci ne sont pas absolument la dernière version, supprimez.
N'oubliez pas ensuite d'aller dans : Démarrer/Pabbeau de configuration/ Ajouts et Suppressions de programmes et supprimez les vieilles versions de Java ,'Dangeureuses' et Exploitables.
Si vous ne connaissez pas la description de Spybot, alors recherchez sur Google.

10: BHOs ou Browsers Helpers: Ceci sont les Pages de navigations, souvent détournées et bordéliques.
NB: Vous devez impérativement limiter celles-ci!!! Comme pour les activesX Vous avez la possibilité d'en supprimer.

11: Démarrage du systême : Vous montre les processus des programmes qui démarrent et foncrtionnent en 'arrière plan' .
Vous devez aussi limiter ceux-ci aux utiles et nécessaires.
Car ceci aussi peut devenir bordelique.
Vous pouvez voir assez rapidement ici les programmes,'non légitimes' ou Même dangeureux que vous pouvez aussi avoir autorisé par erreur ou à votre insu.
----------------------------------------------------------------------------------------------
Je me limite à ces fontions et onglets et je vous invite à en faire autant , pas moins, pas plus.

Jal

Mike.us · Answer

voilà, j'ai fait le nettoyage et les réglages dans spybot (mais ya des trucs dont je n'ai aucune idée, alors j'y touche pas  :s  )

quand aux lignes San Francisco... lol  j'aimerai bien y aller un jour ^^   bref, je les ai fixé.

voilà, est-ce tout?    j'ai plus de problême de navigation, c' est déjà ça.

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Oui Mike pour moi ça me semble ok !Si tu as plus la présence des lignes 017 alors on est en affaires !
Alors indiques resolu en haut et surf prudemment ! 
@+ jal

Mike.us · Answer

ok pas de problême!

merci encore jal!!!


@+++ (enfin dans d'autres circonstances ^^)

Mike

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

De rien 
Et merci  Pi_Xi,
d'en avoir fait un bon bout ! ;-)
@+ ciao.

Mike.us · Answer

ah oui, merci à toi aussi Pi_Xi ^^

3 virus sinon rien -_-'

65 réponses

Votre réponse

Discussions similaires

Newsletters