Virus via windows live
Résolu
musynat
Messages postés
21
Date d'inscription
Statut
Membre
Dernière intervention
-
hubertaaz Messages postés 8194 Date d'inscription Statut Contributeur sécurité Dernière intervention -
hubertaaz Messages postés 8194 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Voilà une amie a cliqué sur un lien qu'un de ses contacts lui a envoyé via msn depuis son pc est infecté. Le problème est que même sa connexion internet ne fonctionne plus normalement, donc je demande de l'aide pour elle. Je lui ai installé Hijackthis, que faut il faire ensuite?
Si quelqu'un pouvait m'aider ce serait gentil,Je vous remercie par avance,
musynat
Voilà une amie a cliqué sur un lien qu'un de ses contacts lui a envoyé via msn depuis son pc est infecté. Le problème est que même sa connexion internet ne fonctionne plus normalement, donc je demande de l'aide pour elle. Je lui ai installé Hijackthis, que faut il faire ensuite?
Si quelqu'un pouvait m'aider ce serait gentil,Je vous remercie par avance,
musynat
A voir également:
- Virus via windows live
- Windows live mail - Télécharger - Mail
- Clé windows 8 - Guide
- Montage video windows - Guide
- Windows ne démarre pas - Guide
- L'équipe live tv comment ça marche - Accueil - TV & Vidéo
38 réponses
alors si j'ai bien compris je fais ctrl alt suppr et je vais dans processus c'est ça et ensuite je regarde s'il y a plusieurs quoi exactement ? Désolée je ne suis pas super douée , merci de ton aide
Dans hijackthis
tu coches les lignes ci-dessous
C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\services.exe
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\svchost.exe
O4 - HKLM\..\Run: [Flash Player2] C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\services.exe
O23 - Service: Generic Host Process for Win-32 Service - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
Tu cliques sur Fix Checked
tu coches les lignes ci-dessous
C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\services.exe
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\svchost.exe
O4 - HKLM\..\Run: [Flash Player2] C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\services.exe
O23 - Service: Generic Host Process for Win-32 Service - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
Tu cliques sur Fix Checked
Bonjour Musynat,
Désolé d'intervenir aussi tard mais j'ai dû m'absenter hier jusqu'à très tard.
Le lien donné par Nicopathe au poste 23 ci-dessus est intéressant.
Comme tu peux le voir il ne faut pas fixer les lignes dans HijackThis ce qui ne fera pas un nettoyage en profondeur.
Si tu les as déja fixées il faut les restaurer par le fichier Backups de HijackThis car sinon si une infection subsiste après le passage de SDFix elle n'apparaîtra plus dans le log HijackThis.
Fais ce que dit ^^Marie^^ qui est une spécialiste en désinfection au poste 35 et que j'ai copier/coller ici :
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
Cordialement
Désolé d'intervenir aussi tard mais j'ai dû m'absenter hier jusqu'à très tard.
Le lien donné par Nicopathe au poste 23 ci-dessus est intéressant.
Comme tu peux le voir il ne faut pas fixer les lignes dans HijackThis ce qui ne fera pas un nettoyage en profondeur.
Si tu les as déja fixées il faut les restaurer par le fichier Backups de HijackThis car sinon si une infection subsiste après le passage de SDFix elle n'apparaîtra plus dans le log HijackThis.
Fais ce que dit ^^Marie^^ qui est une spécialiste en désinfection au poste 35 et que j'ai copier/coller ici :
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
Cordialement
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonsoir, voilà le rapport sdfix, suivi du rapport hijackthis:
SDFix: Version 1.127
Run by Compaq_Propri‚taire on 18/01/2008 at 19:22
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
Safe Mode:
Checking Services:
Name:
Generic Host Process for Win-32 Service
Path:
"C:\WINDOWS\svchost.exe"
Generic Host Process for Win-32 Service - Deleted
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
Trojan Files Found:
C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\services.exe - Deleted
Removing Temp Files...
ADS Check:
C:\WINDOWS
No streams found.
C:\WINDOWS\system32
No streams found.
C:\WINDOWS\system32\svchost.exe
No streams found.
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-18 19:34:00
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG08.00.00.01WORKSTATION"="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"
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 7
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL France"
"C:\\StubInstaller.exe"="C:\\StubInstaller.exe:*:Enabled:LimeWire swarmed installer"
"C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\eMule\\eMule.exe"="C:\\Program Files\\eMule\\eMule.exe:*:Enabled:eMule Plus"
"C:\\Program Files\\WINSOS\\winsos.exe"="C:\\Program Files\\Winsos\\winsos.exe:*:Enabled:Winsos"
"C:\\Program Files\\WINSOS\\anti-spy.exe"="C:\\Program Files\\Winsos\\anti-spy.exe:*:Enabled:anti-spy Winsos"
"C:\\Program Files\\WINSOS\\help.exe"="C:\\Program Files\\Winsos\\help.exe:*:Enabled:Winsos Help"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\WINDOWS\\Temp\\NavBrowser.exe"="C:\\WINDOWS\\Temp\\NavBrowser.exe:*:Disabled:NAVBrowser"
"C:\\Program Files\\IncrediMail\\bin\\IMApp.exe"="C:\\Program Files\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Program Files\\VoipStunt.com\\VoipStunt\\VoipStunt.exe"="C:\\Program Files\\VoipStunt.com\\VoipStunt\\VoipStunt.exe:*:Enabled:VoipStunt"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Webtarot\\webtarot.exe"="C:\\Program Files\\Webtarot\\webtarot.exe:*:Enabled:jeu de tarot"
"C:\\DOCUME~1\\COMPAQ~1\\LOCALS~1\\Temp\\services.exe"="C:\\DOCUME~1\\COMPAQ~1\\LOCALS~1\\Temp\\services.exe:*:Enabled:Flash Player2"
"C:\\Documents and Settings\\Compaq_Propri‚taire\\Local Settings\\Temp\\services.exe"="C:\\Documents and Settings\\Compaq_Propri‚taire\\Local Settings\\Temp\\services.exe:*:Enabled:Flash Player2"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%ProgramFiles%\\iTunes\\iTunes.exe"="%ProgramFiles%\\iTunes\\iTunes.exe:*:enabled:iTunes"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
Remaining Files:
---------------
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes:
Wed 9 May 2007 218 A.SHR --- "C:\BOOT.BAK"
Thu 5 Aug 2004 60,416 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"
Fri 12 Oct 2007 5,903,928 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Wed 9 May 2007 22 A.SH. --- "C:\WINDOWS\SMINST\HPCD.sys"
Sun 30 Dec 2007 88 ..SHR --- "C:\WINDOWS\system32\B41C7971DE.sys"
Sun 30 Dec 2007 2,516 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Mon 10 Sep 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 10 May 2005 401 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv13.bak"
Tue 10 May 2005 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.key.bak"
Sat 4 Nov 2006 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Finished!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:47:47, on 18/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\USBToolbox\Res.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\VoipStunt.com\VoipStunt\VoipStunt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Logitech\QuickCam10\COCIManager.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=presario&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=presario&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=presario&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=presario&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=presario&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Program Files\USBToolbox\Res.EXE
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [VoipStunt] "C:\Program Files\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized
O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
SDFix: Version 1.127
Run by Compaq_Propri‚taire on 18/01/2008 at 19:22
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
Safe Mode:
Checking Services:
Name:
Generic Host Process for Win-32 Service
Path:
"C:\WINDOWS\svchost.exe"
Generic Host Process for Win-32 Service - Deleted
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
Trojan Files Found:
C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\services.exe - Deleted
Removing Temp Files...
ADS Check:
C:\WINDOWS
No streams found.
C:\WINDOWS\system32
No streams found.
C:\WINDOWS\system32\svchost.exe
No streams found.
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-18 19:34:00
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG08.00.00.01WORKSTATION"="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"
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 7
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL France"
"C:\\StubInstaller.exe"="C:\\StubInstaller.exe:*:Enabled:LimeWire swarmed installer"
"C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\eMule\\eMule.exe"="C:\\Program Files\\eMule\\eMule.exe:*:Enabled:eMule Plus"
"C:\\Program Files\\WINSOS\\winsos.exe"="C:\\Program Files\\Winsos\\winsos.exe:*:Enabled:Winsos"
"C:\\Program Files\\WINSOS\\anti-spy.exe"="C:\\Program Files\\Winsos\\anti-spy.exe:*:Enabled:anti-spy Winsos"
"C:\\Program Files\\WINSOS\\help.exe"="C:\\Program Files\\Winsos\\help.exe:*:Enabled:Winsos Help"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\WINDOWS\\Temp\\NavBrowser.exe"="C:\\WINDOWS\\Temp\\NavBrowser.exe:*:Disabled:NAVBrowser"
"C:\\Program Files\\IncrediMail\\bin\\IMApp.exe"="C:\\Program Files\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Program Files\\VoipStunt.com\\VoipStunt\\VoipStunt.exe"="C:\\Program Files\\VoipStunt.com\\VoipStunt\\VoipStunt.exe:*:Enabled:VoipStunt"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Webtarot\\webtarot.exe"="C:\\Program Files\\Webtarot\\webtarot.exe:*:Enabled:jeu de tarot"
"C:\\DOCUME~1\\COMPAQ~1\\LOCALS~1\\Temp\\services.exe"="C:\\DOCUME~1\\COMPAQ~1\\LOCALS~1\\Temp\\services.exe:*:Enabled:Flash Player2"
"C:\\Documents and Settings\\Compaq_Propri‚taire\\Local Settings\\Temp\\services.exe"="C:\\Documents and Settings\\Compaq_Propri‚taire\\Local Settings\\Temp\\services.exe:*:Enabled:Flash Player2"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%ProgramFiles%\\iTunes\\iTunes.exe"="%ProgramFiles%\\iTunes\\iTunes.exe:*:enabled:iTunes"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
Remaining Files:
---------------
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes:
Wed 9 May 2007 218 A.SHR --- "C:\BOOT.BAK"
Thu 5 Aug 2004 60,416 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"
Fri 12 Oct 2007 5,903,928 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Wed 9 May 2007 22 A.SH. --- "C:\WINDOWS\SMINST\HPCD.sys"
Sun 30 Dec 2007 88 ..SHR --- "C:\WINDOWS\system32\B41C7971DE.sys"
Sun 30 Dec 2007 2,516 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Mon 10 Sep 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 10 May 2005 401 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv13.bak"
Tue 10 May 2005 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.key.bak"
Sat 4 Nov 2006 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Finished!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:47:47, on 18/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\USBToolbox\Res.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\VoipStunt.com\VoipStunt\VoipStunt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Logitech\QuickCam10\COCIManager.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=presario&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=presario&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=presario&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=presario&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=presario&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Program Files\USBToolbox\Res.EXE
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [VoipStunt] "C:\Program Files\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized
O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
en fait je crois que si , puisque qu'il m'avait trouvé 3 infections et m'en a supprimé 2 ! Mais apparement j'avais encore des petits soucis suivant mon rapport hijackthis , don,c là j'attend le spécialiste pour voir si tout va bien maintenant.
Bye
Bye
alors je suis allée sur ce site : http://www.hijackthis.de/fr.
Dois je enlever ceci?
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Sûr
Inscription superflue (car sans effet) qui peut donc être effacée ! Cet élément a été classé comme bonne par nos visiteurs.
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
Sûr Effacer à tout prix ! Cet élément a été classé comme bonne par nos visiteurs.
Dois je enlever ceci?
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Sûr
Inscription superflue (car sans effet) qui peut donc être effacée ! Cet élément a été classé comme bonne par nos visiteurs.
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
Sûr Effacer à tout prix ! Cet élément a été classé comme bonne par nos visiteurs.
Salut Musynat,
Je n'avais plus de connexion, je viens de la retrouver à l'instant.
Avant d'analyser les rapports, je réponds à tes dernières questions :
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Tu peux fixer mais uniquement pour faire le ménage, ce n'est pas néfaste.
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
Là c'est plus délicat, tu peux fixer mais tu risques de ne plus avoir le son, tu pourras toujours annuler par Backups mais je préfère que tu attendes demain maitin je vais faire une recherche plus approfondie et analyser tes scan.
Cordialement
Je n'avais plus de connexion, je viens de la retrouver à l'instant.
Avant d'analyser les rapports, je réponds à tes dernières questions :
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Tu peux fixer mais uniquement pour faire le ménage, ce n'est pas néfaste.
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
Là c'est plus délicat, tu peux fixer mais tu risques de ne plus avoir le son, tu pourras toujours annuler par Backups mais je préfère que tu attendes demain maitin je vais faire une recherche plus approfondie et analyser tes scan.
Cordialement
--
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) Bonsoir à tous ! Salut Hubert ;-)
Aucun problème à fixer : O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE Ceci est un espion publicitaire sans aucune autre utilité.
Fait partie de Realteck.
Il est aussi possible qu'il soit collant. Alors, terminer le Processu: [AlcxMonitor]
ET/OU son service.
Peut même être supprimé à son emplacement : Dans C:/ ,Mais aussi l'empècher de démarrer est suffisant et non dangeureux.
PS : Pas eu le temps de regarder le log, mais me saute aux yeux ceci : C:\Program Files\Macrogaming\SweetIM\SweetIM.exe NUL, et Vilain. à désinstaller.
@+ Jal
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) Bonsoir à tous ! Salut Hubert ;-)
Aucun problème à fixer : O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE Ceci est un espion publicitaire sans aucune autre utilité.
Fait partie de Realteck.
Il est aussi possible qu'il soit collant. Alors, terminer le Processu: [AlcxMonitor]
ET/OU son service.
Peut même être supprimé à son emplacement : Dans C:/ ,Mais aussi l'empècher de démarrer est suffisant et non dangeureux.
PS : Pas eu le temps de regarder le log, mais me saute aux yeux ceci : C:\Program Files\Macrogaming\SweetIM\SweetIM.exe NUL, et Vilain. à désinstaller.
@+ Jal
Salut Jal,
Ravi d'avoir de tes nouvelles.
En fixant cette ligne 04 j'ai déja dû faire marche arrière parce que le helpé se retrouvait sans son.
Peux-tu me dire si SdFix à fait tout son boulot car je crains que certaines lignes aient été fixées trop rapidement (c'est le problème du robot).
Sinon apparemment pour moi dans HijackThis je ne vois plus de problème hormis l' abscence d'un Pare feu digne de ce nom et de certaines mises à jour comme Java et Adobe.
Merci de me donner ton avis qui est toujours éclairé.
Amitiés
Hubert
Ravi d'avoir de tes nouvelles.
En fixant cette ligne 04 j'ai déja dû faire marche arrière parce que le helpé se retrouvait sans son.
Peux-tu me dire si SdFix à fait tout son boulot car je crains que certaines lignes aient été fixées trop rapidement (c'est le problème du robot).
Sinon apparemment pour moi dans HijackThis je ne vois plus de problème hormis l' abscence d'un Pare feu digne de ce nom et de certaines mises à jour comme Java et Adobe.
Merci de me donner ton avis qui est toujours éclairé.
Amitiés
Hubert
Re,
Je n'avais pas connaissance de ton PS lorsque j'ai posté, d'après mes recherches le doute planne sur la nocivité de SweetIM.exe, aurais tu d'autres informations?
@+
Je n'avais pas connaissance de ton PS lorsque j'ai posté, d'après mes recherches le doute planne sur la nocivité de SweetIM.exe, aurais tu d'autres informations?
@+
--
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
Salut mon ami ! ;-)
J'ai supprimé cette ligne au moins 500 fois ,sans aucun problème apparu. Mais, si celle-ci est 'associées' ou est 'trafiquée' par un code quelquonque, il est possible oui que le reste des composantes, se perdent.
Mais dans ce cas, une visite chez l'éditeur ,qui soit dit en passant est hautement souhaitable une fois par année, règle efficacement ce dilèmme avec un pilote à jour et propre.
Par le fait même, le fabricant récalcitrant s'étant déjà fait montrer du doigt, prend plus de précautions pour l'avenir et y pense à deux fois avant de se faire traiter encore de magouilleur et de ce fait n'intègre plus ces composantes non désirables. LOll!
PS : Je ne veux pas m'émicer dans la suite , car je suis déjà un peu dans le jus ,,,encore loll!
Oui Sunbelt Kerio serait bienvenu ! Et tant qu'a Avast ,Hummmmm . Bon je ne m'en mèle pas LOll!
Mais effectivement les Mises à jour font défaut ici .
Secunia Inspector règlera ceci.
Et bien-sûr, supprimer dans C:/programme file tous les java qui ne sont pas celui-ci : 1.6.0_3.
Prends soins de toi Hubert! ;-)
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
Salut mon ami ! ;-)
J'ai supprimé cette ligne au moins 500 fois ,sans aucun problème apparu. Mais, si celle-ci est 'associées' ou est 'trafiquée' par un code quelquonque, il est possible oui que le reste des composantes, se perdent.
Mais dans ce cas, une visite chez l'éditeur ,qui soit dit en passant est hautement souhaitable une fois par année, règle efficacement ce dilèmme avec un pilote à jour et propre.
Par le fait même, le fabricant récalcitrant s'étant déjà fait montrer du doigt, prend plus de précautions pour l'avenir et y pense à deux fois avant de se faire traiter encore de magouilleur et de ce fait n'intègre plus ces composantes non désirables. LOll!
PS : Je ne veux pas m'émicer dans la suite , car je suis déjà un peu dans le jus ,,,encore loll!
Oui Sunbelt Kerio serait bienvenu ! Et tant qu'a Avast ,Hummmmm . Bon je ne m'en mèle pas LOll!
Mais effectivement les Mises à jour font défaut ici .
Secunia Inspector règlera ceci.
Et bien-sûr, supprimer dans C:/programme file tous les java qui ne sont pas celui-ci : 1.6.0_3.
Prends soins de toi Hubert! ;-)
--
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
Oui !
Moi non plus je t,avais pas vu .
J'ai reçu en mail.
Effectivent Sweetim est associé à Messenger Plus. Ces deux-ci sont non Microbill, mais faits, trafiqués, par des fans de msn.
Patchou étant le plus connu.
Afin de pouvoir étendre les possibilités de leurs jouets, visant surtout les jeunes, ils acceptes des commandites 'légitimes' de compagnies publicitaires et ciblant justement les jeune, dans un but de prendre un marché immense.
Le problème se situe là .
Car si tu combines les cookies de suivis et les espions implantés dans ces 2 bidules, la somme est d'environ 250 espions.
Dont lop.
Alors, j'ai vu souvent de bons programmes antispywares, établir des listes impressionnantes de ceux-ci.
dont ce que je me souviens 250.
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
Oui !
Moi non plus je t,avais pas vu .
J'ai reçu en mail.
Effectivent Sweetim est associé à Messenger Plus. Ces deux-ci sont non Microbill, mais faits, trafiqués, par des fans de msn.
Patchou étant le plus connu.
Afin de pouvoir étendre les possibilités de leurs jouets, visant surtout les jeunes, ils acceptes des commandites 'légitimes' de compagnies publicitaires et ciblant justement les jeune, dans un but de prendre un marché immense.
Le problème se situe là .
Car si tu combines les cookies de suivis et les espions implantés dans ces 2 bidules, la somme est d'environ 250 espions.
Dont lop.
Alors, j'ai vu souvent de bons programmes antispywares, établir des listes impressionnantes de ceux-ci.
dont ce que je me souviens 250.
bonsoir, merci pour vos bons conseils!! Donc j'attends ta réponse demain hubertaaz pour voir exactement quelles lignes sont à fixer.
Encore merci, bye
Encore merci, bye
Bonsoir Musynat,
Je fais entière confiance à Jalobservateur (c'est un EXPERT et il sait tout le bien que je pense de lui) donc tu peux fixer les 2 lignes dont tu fais mention au poste 32.
Rassure moi tu n'as pas fixé d'autres lignes? Sinon tiens moi au courant.
Tu as reçu le lien pour le robot mais un robot reste un robot et quand il conseille de supprimer ce n'est pas en fixant les lignes dans la grande majorité des cas.
Voici d'ailleurs un lien qui si tu veux en savoir plus te démontreras que j'ai raison :
https://www.bleepingcomputer.com/tutorials/comment-utiliser-hijackthis/#O24Diag
Et un autre regarde ici au poste 50 : http://www.commentcamarche.net/forum/affich 4670799 virus via msn message c est toi ca?page=2#0
Di moi aussi STP où en sont les problèmes.
A demain
Je fais entière confiance à Jalobservateur (c'est un EXPERT et il sait tout le bien que je pense de lui) donc tu peux fixer les 2 lignes dont tu fais mention au poste 32.
Rassure moi tu n'as pas fixé d'autres lignes? Sinon tiens moi au courant.
Tu as reçu le lien pour le robot mais un robot reste un robot et quand il conseille de supprimer ce n'est pas en fixant les lignes dans la grande majorité des cas.
Voici d'ailleurs un lien qui si tu veux en savoir plus te démontreras que j'ai raison :
https://www.bleepingcomputer.com/tutorials/comment-utiliser-hijackthis/#O24Diag
Et un autre regarde ici au poste 50 : http://www.commentcamarche.net/forum/affich 4670799 virus via msn message c est toi ca?page=2#0
Di moi aussi STP où en sont les problèmes.
A demain
Bonjour hubertaaz , non pour l'instant je n'ai rien fixé puisque c'est sur l'ordi d'une amie. Donc je lui ai envoyé le mail pour qu'elle fixe les lignes 02 et 04 .
pour le reste de ton post, je n'ai pas tout compris... (désolée de mon ignorance..)
En tout cas son ordi fonctionne très bien maintenant et son accès au net est redevenu normal.
Un grand merci à vous , je vais mettre le problème comme résolu ,bye.
pour le reste de ton post, je n'ai pas tout compris... (désolée de mon ignorance..)
En tout cas son ordi fonctionne très bien maintenant et son accès au net est redevenu normal.
Un grand merci à vous , je vais mettre le problème comme résolu ,bye.
Bonjour Musynat,
Content que ça fonctionne beaucoup mieux. SdFix a fait son boulot et a supprimé l'infection mais il reste des choses importantes à faire pour rendre le PC moins vulnérable à d'autres infections.
Je te fais parvenir les instructions dans le début de l'après-midi car je suis très occupé pour l'instant.
Cordialement
EDIT : je te ferais parvenir ces instructions dès que tu auras lu ces lignes et que tu me signales que ton amie est d'accord de mettre son PC à jour sinon pas la peine que je renseigne une liste des choses à faire notamment si tu ne reviens pas sur le site pour lire ce poste.
@+
Content que ça fonctionne beaucoup mieux. SdFix a fait son boulot et a supprimé l'infection mais il reste des choses importantes à faire pour rendre le PC moins vulnérable à d'autres infections.
Je te fais parvenir les instructions dans le début de l'après-midi car je suis très occupé pour l'instant.
Cordialement
EDIT : je te ferais parvenir ces instructions dès que tu auras lu ces lignes et que tu me signales que ton amie est d'accord de mettre son PC à jour sinon pas la peine que je renseigne une liste des choses à faire notamment si tu ne reviens pas sur le site pour lire ce poste.
@+