Pétage de plomb depuis 7 hRésolu/Fermé

Question

Bonjour,

voilà je suis "novice" et de sexe féminin .... oui je sais. La vie ne me gate pas.

J'ai une pourritu*** dans mon pc.
A priori un trojan ou un espion.
Au dernier scan Spybot "Ras" ... avant j'avais "vario.antivirus" et d'autres trucs genre boulets.
J'ai nettoyé avec CCleaner.

A chaque manipulation, ouverture de fenêtre, une fenêtre "erreur système" me siganle que je sui sinfectée par un trojan inconnu
et là j'y suis depuis 11h du mat. J'ai peur pour la vie de mon PC, qui commence à me gonfler. :)

Je suis sus Avast, je nettoie régulièrement mon pc, fais des scans spybot souvent, c'est la première fois que je ne parviens pas à me débrouiller seule avec les messages d'anciens forums.
Je sature
A L'AIDEEEEEEEE !!!!!!

J'ai Hijack à dispo. Une bonne âme pour m'assister, et je danse sur mon bureau :D
Merci d'avance

Le sioux · Accepted Answer

Bonsoir

Suite a la demande de Moé qui ne sera pas la pendant les prochains jours, je te rajoute quelques conseils afin d'éviter les soucis a l'avenir :
mieux vaut prévenir que guérir.

=========================================================================

=>  Il te faut impérativement tenir à jour régulièrement  Windows ainsi qu’ Internet Explorer : 

Via Internet Explorer, rends toi sur Microsoft Update  
http://www.update.microsoft.com/windowsupdate/v6/default.aspx

Effectue  toutes les mise à jour critiques proposées. 
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

=> Il faut mettre a jour la console Java régulièrement aussi : 

Rends toi sur  https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0
Après avoir installé la dernière version, désinstalle les anciennes versions (de java) afin d’éliminer les failles de sécurité  présentes dans ces anciennes versions.
 via Démarrer / paramètres / panneau de config / et dans ajout/suppression de programme navigue jusqu'aux anciennes versions de la console java qui s'y trouvent, puis supprimer, suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme.
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

=========================================================================

=>  Installe un pare-feu pour remplacer celui de Windows qui est insuffisant :

On t'as conseillé ZAFree, a toi de choisir, regarde cela :

Tests firewall: http://www.matousec.com/index.html

En gratuit, ma préference va a Comodo 2.4 :

* ComodoFirewallPro 2.4 http://www.personalfirewall.comodo.com/

Version 2.4 en français en bas de page ici  http://www.personalfirewall.comodo.com/download_firewall.html
 
Comodo Firewall Pro &#8722; French Version  2.4 
Option 1
Download French Version of Comodo Firewall Pro 2.4 (Size: 8.48 MB)
- Tuto https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389 http://www.nordicnature.net/tutorials/comodo/cf24wiz.htm

Attention ce pare-feu existe aussi en version 3.0 mais en version anglaise uniquement et plus difficile à paramétrer  
Tuto pour la version 3.0https://infomars.fr/forum/index.php?showtopic=1225

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) :

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois)  http://telechargement.zebulon.fr/123.html

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html

=========================================================================

=>  Pour sécuriser ta navigation

 -- Un programme incontournable : SpyBot-Search & Destroy  1.5  (scan passif + protection préventive avec ses 2 résidents, ses vaccinations et sa liste Hosts )
  https://www.safer-networking.org/

-démo d’utilisation 
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm 
 -Tuto :
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/ 
http://perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm

--Essaye et adopte le navigateur Firefox plus sûr /sécurisé qu’IE

-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/
-Tutorial pour le sécuriser: https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/

Firefox n’utilise pas le dangereux protocole ActiveX
Ce que sont les activeX : http://assiste.com.free.fr/p/abc/a/activex_dangers.html
S'en protéger : http://assiste.com.free.fr/p/abc/c/anti_activex.html

--Comportement à adopter http://assiste.com.free.fr/p/abc/a/safe_cex.html

=========================================================================

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

 Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
-Tuto   https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
-Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page.

=========================================================================

=> Pour améliorer la sécurité de ton PC prends quelques instants pour lire

Sécuriser son PC +WIFI (versions "hot" & "light") de Philae  https://forum.pcastuces.com/default.asp

https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf  (téléchargeable en Pdf)

=> Rappel sur les principales causes d'infection :

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :

Les dangers des cracks : http://forum.malekal.com/ftopic893.php

Le crack dans toute sa splendeur, journal d'une infection attendue :
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/

* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent ):

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/

Pourquoi éviter le P2P : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793
https://lexpansion.lexpress.fr/actualite-economique/

* Prévention sur deux autres types d'infection d'actualité :

MSN prévention : https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/

Infection par supports amovibles (clefs usb, flash, DD externes ..) https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
https://forum.malekal.com/viewtopic.php?f=45&t=5544

=========================================================================

=>  Pour optimiser un peu ton PC

* Pense à lancer une défragmentation.
Tuto : http://www.linternaute.com/hightech/nettoyagepc/nettoyagepc1.shtml

* Gère tes services grâce à ces 2 liens
http://speedweb1.free.fr/frames2.php?page=service3 et http://speedweb1.free.fr/frames2.php?page=service4

* Utilise Zeb Utility de Sebdraluorg
une application ne nécessitant pas d’installation, pour optimiser un poil ton pc. (merci a l ami Zebulon)
Téléchargement : https://www.zebulon.fr/telechargements/utilitaires/optimisation/zeb-utility.html
Tuto : https://www.zebulon.fr/dossiers/autres/58-zebutility.html 

=========================================================================

Bonne lecture, 

Salut.

lenrok · Answer

Bonjour ahlalalala,

As-tu essayé un SCAN en ligne de ta machine dans un premiser temps ?
Voici le lien : http://lesservices.fnac.com/scan8/ie.html

chrischris83 · Answer

il te faut telecharge  spayware doctor

lerevolteur83 · Answer

Slt, avast n'est pas du tout fiable, installe plutôt antivir. Sa base de données virale est + importante. Sinon prend un autre antimalware (je n'en connais pas de nom mais yen a plein) et ressaye et vois...

chrischris83 · Answer

c'est pas un virus qu'elle a mais en fait elle fait ce qu'elle veut mais moi ca marche a tout les coup avec spaware doxtor

ahlalalala · Answer

Pour le lien .... le produit n'existe pas 
Dites ... a priori mon antivir est naze ... je suis ok
par contre, là ... on peut pas m'aider ?????

Chaque manipulation ouvre une fenêtre error system ... mon pc veut mourrir sous mes doigts là il me cherche

lenrok · Answer

Bonjour ahlalalala,

Poste ton rapport HIJACKTHIS. 
Et on va essayer de t'aider...

clemd · Answer

Salut,

Essaie une analyse en ligne avec activescan de panda sinon il faudrait aussi essayer de voir si tu n'as pas la pourritu*** qui se lance au demarrage. Pour voir si c'est le cas tu fais demarrer - executer et tu tapes msconfig puis tu vas sur l'onglet démarrage et tu regarde ce qui se lance au demarrage (perso moi je dis tu peux tout virer sauf l'antivirus). Sinon il te reste la possibilité d'analyser avec un autre PC qui possede un bon antivirus style kaspersky.

En espérant que ca t'aide.

@+

Pi_Xi · Answer

Bonjour,

oublies tout ce qui a été dit plus haut, et c'est partiiii !!

Et au fait, c'est quoi cette remarque sexiste ?? (mdrrr)

Télécharge HiJackThis: http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

    * Dézippe-le à la racine dans un dossier prévu à cet effet. Par exemple C:\hijackthis
    * Exécute-le puis clic sur "Do a system scan and save a logfile"
    * Copie-colle le rapport dans ta prochaine réponse stp ^^

lerevolteur83 · Answer

Essaye de telecharger sur un autre ordi (si ordi est sous la main ^^) spaware doxtor comme dit ci dessus, et refait une analyse. Ensuite telecharge antivir ici : https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html

Fait une analyse et vois quand même il se peut que se ne soit pas autre qu'un virus mais sa reste peu probable...

ahlalalala · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:19:08, on 26/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\GWENAL~1\LOCALS~1\Temp\Rar$EX00.593\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr7/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: Player - {99F785E5-5394-4826-A515-034A34A36377} - C:\WINDOWS\orgnavi.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - https://onedrive.live.com/
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://minaaileloulou.spaces.live.com/PhotoUpload/MsnPUpld.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

Pi_Xi · Answer

* Tu n'as pas depare-feu actif => télécharge et installe:

http://www.commentcamarche.net/telecharger/telecharger 206 kerio

* HiJack n'est pas au bon endroit.

Recommence l'install et mets-le dans C:/Hijackthis comme dit plus haut !!

* l'erreur system, elle vient d'Avast ?

Pi_Xi · Answer

Télécharge sur ton bureau Navilog: http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    * Double-clique sur navilog1.exe
    * Dans le menu principal, choisis l'option 1 et valide
    * Poste le rapport sauvegardé à la racine du disque (fixnavi.txt)

ahlalalala · Answer

Pixi j'ai placé HJack dans C:/ .......
j'en suis à kerio (ça me place un pare feu ??? c'est ça ?

ahlalalala · Answer

kerio est installé il me demande de redémarrer je le fais maintenant ?

ahlalalala · Answer

bon je lance le navilog

ahlalalala · Answer

première alerte AVAST ........!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! ARRRRRgggghhhhj'ai supprimé le machin

ahlalalala · Answer

Win32:Inject-EV [Trj]


avast m'alerte avec ça !!!!! mis en quarantaine pour l'instant

ahlalalala · Answer

NAVILOG RESULT



Search Navipromo version 3.4.2 commencé le 26/01/2008 à 18:41:52,00

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 21.01.2008 à 14h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Gwenaëlle\application data" *** 



*** Recherche dossiers dans "C:\Documents and Settings\Gwenaëlle\local settings\application data" *** 



*** Recherche dossiers dans "C:\Documents and Settings\Gwenaëlle\MENUDM~1\PROGRA~1" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Gwenaëlle\local settings\application data" * 



*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

cfzrbesuhw.dat trouvé !
ucbkjxw.dat trouvé !
cfzrbesuhw_nav.dat trouvé !
ucbkjxw_nav.dat trouvé !

* Dans "C:\Documents and Settings\Gwenaëlle\local settings\application data" : 


3)Recherche Certificats :

Certificat Egroup trouvé !

4)Recherche fichiers connus :



*** Analyse terminée le 26/01/2008 à 18:46:40,95 ***

Pi_Xi · Answer

Relance Navilog, choisis l'option 2 ce coup-ci 

puis poste le rapport ^^

ahlalalala · Answer

Avec l'option 2 : résultat obtenu après redemarrage (le virus apparait toujours quand j'ouvre des fenêtres, un truc "porno" (???) s'incruste dans mes résultats de recherche sous IE .... (depuis le début hein :) ))))))) 
Je vais  bien tout va bien




Clean Navipromo version 3.4.2 commencé le 26/01/2008 à 18:57:12,35

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 21.01.2008 à 14h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Mode suppression automatique 


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans "C:\Documents and Settings\Gwenaëlle\local settings\application data" * 



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\Gwenaëlle\application data" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Gwenaëlle\local settings\application data" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Gwenaëlle\MENUDM~1\PROGRA~1" *** 


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Gwena‰lle\local settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *

cfzrbesuhw.dat trouvé !
Copie cfzrbesuhw.dat réalisée avec succès !
cfzrbesuhw.dat supprimé !

ucbkjxw.dat trouvé !
Copie ucbkjxw.dat réalisée avec succès !
ucbkjxw.dat supprimé !

cfzrbesuhw_nav.dat trouvé !
Copie cfzrbesuhw_nav.dat réalisée avec succès !
cfzrbesuhw_nav.dat supprimé !

ucbkjxw_nav.dat trouvé !
Copie ucbkjxw_nav.dat réalisée avec succès !
ucbkjxw_nav.dat supprimé !

cfzrbesuhw_navps.dat trouvé !
Copie cfzrbesuhw_navps.dat réalisée avec succès !
cfzrbesuhw_navps.dat supprimé !

ucbkjxw_navps.dat trouvé !
Copie ucbkjxw_navps.dat réalisée avec succès !
ucbkjxw_navps.dat supprimé !


* Dans "C:\Documents and Settings\Gwenaëlle\local settings\application data" * 


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !

*** Nettoyage terminé le 26/01/2008 à 18:59:58,78 ***

Pi_Xi · Answer

Télécharge SDFix et sauvegarde sur ton Bureau: http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

    * Double-clique sur SDFix.exe et choisis "Install" pour l'extraire dans un dossier dédié sur le Bureau.
    * Redémarre ton ordinateur en mode sans échec:
    * Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde)
    * A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître
    * Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée"
    * Choisis ton compte
    * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script
    * Appuie sur Y pour commencer le processus de nettoyage
    * Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer
    * Appuie sur une touche pour redémarrer le PC

    * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers
    * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
    * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau
    * Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt
    * Copie/colle le contenu du fichier "Report.txt", avec un nouveau log Hijackthis

ahlalalala · Answer

Comprends pas la d ernière étape  >>>>>>> * Copie/colle le contenu du fichier "Report.txt", avec un nouveau log Hijackthis

ahlalalala · Answer

SDFix: Version 1.131

Run by Gwena‰lle on 26/01/2008 at 19:26

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\GWENAL~1\Bureau\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

No Trojan Files Found






Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\explorer.exe
No streams found.
 
C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-26 19:33:19
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

IPC error: 2 Le fichier spécifié est introuvable.
scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 105


Remaining Services:
------------------

ahlalalala · Answer

Nouvel HJack


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:00, on 26/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\GWENAL~1\LOCALS~1\Temp\Rar$EX00.172\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr7/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: Player - {99F785E5-5394-4826-A515-034A34A36377} - C:\WINDOWS\orgnavi.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - https://onedrive.live.com/
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://minaaileloulou.spaces.live.com/PhotoUpload/MsnPUpld.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

Pi_Xi · Answer

Il n'a rien trouvé.

Tu as toujours des pubs depuis le passage de navilog ?

Poste un nouveau rapport HiJack stp :o)

ADIT: oki je regarde le rapport ...

ahlalalala · Answer

J'en peux plus :(

ahlalalala · Answer

Toujours pareil

Pub incrustée dans laes résultats de recherche sur IE (par google)

Alerte error system de brun, qui s'allume à chaque ouverture de fenêtre

:( MAmmmmmaaannn !!!

ahlalalala · Answer

Toujours pareil

Pub incrustée dans laes résultats de recherche sur IE (par google)

Alerte error system de brun, qui s'allume à chaque ouverture de fenêtre

:( MAmmmmmaaannn !!!

Pi_Xi · Answer

Navilog a pourtant bien bossé, mais ce n'est pas suffisant... 

T'enerve pas, ça sert à rien et prends l'habitude de surfer avec FireFox, ça ira mieux ^^

Ouvre Hijackthis, choisis "do a scan only"

Coche la case devant les lignes:O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: Player - {99F785E5-5394-4826-A515-034A34A36377} - C:\WINDOWS\orgnavi.dll
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://minaaileloulou.spaces.live.com/PhotoUpload/MsnPUpld.cabFerme toutes les autres fenêtres actives et clique sur "Fix checked"

EDIT: télécharge et installe:

http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware

Scanne et poste le rapport stp.

ahlalalala · Answer

Win32:Inject-EV [Trj]                    Voilà ce qu'avast me trouve et je l'ai mis en quarantaine

sinon j'ai "fixed" lol ce que tu m'as dit ....

et je télécharge avg de suite ...

Merci de ta patience !!!!! :)

Pi_Xi · Answer

Ensuite tu feras un scan avec Avast et tu posteras le rapport.

ahlalalala · Answer

Le scan est en cours
tout a commencé par des fenêtre de fermeture de programme où n me proposait de "prévenir microsoft" quand j'ouvrais Firefox (plus utilisable) ou Msn (non plus) j'ai donc supprimé ces deux programmes .. et puis là ça c'est un peu enchainné ...

Avast m'alert toujours pour la même chose  Win32:inject-EV trojan .... je suis pas prête de danser sur mon bureau on dirait !!
Oh ben tiens ça fait 9 h !!!
Mince, mon titre de topic est faux du coup lol

Pi_Xi · Answer

Mince je viens seulement de voir que HiJack n'est TOUJOURS PAS au bon endroit !!

A force de paniquer, tu ne suis pas mes instructions, et on tourne en rond.

Je suis naze aussi, je reprends demain !

Bonne soirée
++

Pi_Xi · Answer

Ce sujet ets un bordel géant :o(

Tu as dit "Avec l'option 2 : résultat obtenu après redemarrage (le virus apparait toujours quand j'ouvre des fenêtres, un truc "porno" (???) s'incruste dans mes résultats de recherche sous IE .. "

1) c'est pas un virus

2) ton probléme, ce n'est pas des fenêtres intempestives alors ?

Si c'est que des liens pornos "s'incrustent" au début des résultats de ta recherche, ben ça arrive et on peut rien faire contre !?

Je comprendrai surement mieux demain ...

* Si tu veux être certaine que tu n'as pas de virus:

fais d'ici demain une analyse BitDefender à partir d'IE: https://www.bitdefender.fr/

(bouton BitDefender scan online dans la colonne de gauche)

et poste le rapport

ahlalalala · Answer

Bonne soirée à ti et merci 
je continue mes recherches 
et j'ai pas capté le souci avec Hijack moi ... je suis naze oui je sais

guary · Answer

moi aussi j'ai eu ce probleme et j te dirai tout simplement de télécharger Bitdefender, la version d'essai  et non la gratuite, si ton pblm se règle t'auras qu'a l'acheter

ahlalalala · Answer

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	20:22:25 26/01/2008

 + Résultat de l'analyse:	



:mozilla.35:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\0ptr9hjp.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.
:mozilla.27:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\0ptr9hjp.default\cookies.txt -> TrackingCookie.Atdmt : Aucune action entreprise.
:mozilla.54:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\0ptr9hjp.default\cookies.txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
:mozilla.28:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\0ptr9hjp.default\cookies.txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
:mozilla.53:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\0ptr9hjp.default\cookies.txt -> TrackingCookie.Googleadservices : Aucune action entreprise.
:mozilla.14:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\0ptr9hjp.default\cookies.txt -> TrackingCookie.Mediaplex : Aucune action entreprise.
C:\Documents and Settings\Gwenaëlle\Cookies\gwenaëlle@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Aucune action entreprise.
C:\Documents and Settings\Invité\Cookies\invité@overture[1].txt -> TrackingCookie.Overture : Aucune action entreprise.
:mozilla.59:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\0ptr9hjp.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.60:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\0ptr9hjp.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.61:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\0ptr9hjp.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.62:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\0ptr9hjp.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.63:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\0ptr9hjp.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.64:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\0ptr9hjp.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\Invité\Cookies\invité@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\Invité\Cookies\invité@serving-sys[1].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\Gwenaëlle\Cookies\gwenaëlle@smartadserver[1].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.29:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\0ptr9hjp.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\Documents and Settings\Invité\Cookies\invité@weborama[2].txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\Documents and Settings\Invité\Cookies\invité@m.webtrends[2].txt -> TrackingCookie.Webtrends : Aucune action entreprise.


Fin du rapport





Voilà le avg rapport .... pour le petit déj ? lol

ahlalalala · Answer

euuuuuh sinon, depuis le "fix" sur HJack .... y'a plus rien, ni porno dans les recherches google, ni message "error system" intempestif en fenêtre polluante ...
je danse un peu ... mais je reste coool !!
si tu reviens demain, je t'épouse (nan, je déconne reviens !!)

ahlalalala · Answer

Hijak comme ça ????????


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:35:10, on 26/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Documents and Settings\Gwenaëlle\Local Settings\Temporary Internet Files\Content.IE5\0392PY5P\bitdefender_free_v10[1].exe
C:\DOCUME~1\GWENAL~1\LOCALS~1\Temp\IXP000.TMP\Setup.Exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\MsiExec.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\Program Files\Softwin\BitDefender10\bdwizreg.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\Softwin\BitDefender10\bdlite.exe
C:\DOCUME~1\GWENAL~1\LOCALS~1\Temp\Rar$EX02.859\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr7/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\GWENAL~1\LOCALS~1\Temp\IXP000.TMP\"
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - https://onedrive.live.com/
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

ahlalalala · Answer

je sais que t'es une fille !!!! :D lol

j'ai pas de virus a priori ...

Plus de fenêtre pourries ...
 Plus de porno ...

hum hum

je fais un scan bitdefender là ...

Mais n peut poursuivre demain, je veux pas t'ennuyer , tu as déjà fait beaucoup ;) :)

ahlalalala · Answer

j'ai bien compris que je n'avais pas de virus ... :) t'énerves pas please 
Bitdefender n'a rien trouvé du tout (donc ça se confirme) pas de virus je suisi rassurée (j'ai bon ? )
J'ai re - téléchargé HJack que j'ai placé dans les programfiles de C:/ 
je vais essayer un dépannage en live, parce que j'ai quand même prévenue que j'étais novice , et je veux pas faire Ch**** 
Merci

ahlalalala · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:06:57, on 27/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr7/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - https://onedrive.live.com/
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

ahlalalala · Answer

J'en reviens pas que tu puisses encore m'aider ... merci à toi !!!! :)

ahlalalala · Answer

ben non, depuis le dernier "fix" sur hijack j'ai plus de souci. 
J'ai effectivement supprimé Bitdefender, et je conserve avast.
Je te remercie beaucoup pour ta patience ....
Merci merci merci
Et excellente journée à toi Pi_Xi

ahlalalala · Answer

Problème résolu

ahlalalala · Answer

j'ai coché ce bouton .... oui
La liste ??? des cadeaux que tu veux en échange ? lol

ahlalalala · Answer

firefox ...c'est lui qui a commencé à merder en fait, donc je l'avais désinstallé ... réinstallé ce matin, ...le message d'évasion m'alarme un peu, c'est l'impression que j'ai en fait, rien ne me dit que je l'ai sorti, je l'ai juste bloquer en somme, 
Partant pour m'aider avec smitfraud fix ?

ahlalalala · Answer

Je suis mauvaise moi, dezipper je sais pas si je sais le faire , bref, j'ai trouvé une version normale.


SmitFraudFix v2.274

Rapport fait à 11:45:39,14, 27/01/2008
Executé à partir de C:\Documents and Settings\Gwena‰lle\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Gwena‰lle


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Gwena‰lle\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\GWENAL~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7C0AEF36-D694-4FFF-9DC6-2900655CF2ED}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7C0AEF36-D694-4FFF-9DC6-2900655CF2ED}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7C0AEF36-D694-4FFF-9DC6-2900655CF2ED}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{7C0AEF36-D694-4FFF-9DC6-2900655CF2ED}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

ahlalalala · Answer

SmitFraudFix déplaçé dans C:/ ... 



Rapport fait à 11:51:57,96, 27/01/2008
Executé à partir de C:\smitfraud\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Gwena‰lle


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Gwena‰lle\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\GWENAL~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7C0AEF36-D694-4FFF-9DC6-2900655CF2ED}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7C0AEF36-D694-4FFF-9DC6-2900655CF2ED}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7C0AEF36-D694-4FFF-9DC6-2900655CF2ED}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{7C0AEF36-D694-4FFF-9DC6-2900655CF2ED}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

ahlalalala · Answer

euhhh c'est grave sinon, qu'il reste là ??
je dois aller voir un spécialiste ? 
:)

ahlalalala · Answer

Bon, je le sens mal là d'un coup Pi_Xi .....
Je commence à saturer
on a mal fait alors ?

ahlalalala · Answer

y'a un nettoyage en mode sans échec à faire? ou il a rien trouvé le smit machin?

Pi_Xi · Answer

On suit les conseils d'evasion, passe l'outil en mode sans échec ;o)

De toute façon, s'il y a une infection, on peut toujours la détecter :o)

ahlalalala · Answer

Question autre : pour passer en mode sans échec je suis obligé de passer par "msconfig" "boot.ini" "safe.ini" quand je veux revenir en mode normal, je dois : décocher "safe.ini" ...et en mode normal ou sélectif????  (là , en redémarrant en mode normal, le bureau ne m'affiche pas mon image de fond d'écran ... 

sinon, vlà le rapport smitfraud

SmitFraudFix v2.274

Rapport fait à 12:23:19,57, 27/01/2008
Executé à partir de C:\smitfraud\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7C0AEF36-D694-4FFF-9DC6-2900655CF2ED}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7C0AEF36-D694-4FFF-9DC6-2900655CF2ED}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7C0AEF36-D694-4FFF-9DC6-2900655CF2ED}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{7C0AEF36-D694-4FFF-9DC6-2900655CF2ED}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Pi_Xi · Answer

Par curiosité, fais une recherche sur orgnavi.dll

C:\WINDOWS\orgnavi.dll

Mais comme il ne tournait pas dans les process au départ, y'a pas à s'inquiéter.

ahlalalala · Answer

Bon, dis donc, j'ai trouvé un truc que j'avais pas avant, (après je me monte peut être la tête) mais y' a une application inconnue dans C:/
nommée "Unwise.exe" je vois pas à quoi sert ce truc, en tout cas a priori je l'ai pas installé moi même ....

Install.log au cas où ...... 


***  Installation Started 12/18/2007 18:51  ***
Title:  Installation
Source: D:\player\SKIN.EXE | 01-31-2002 | 11:58:02 | 725005
File Copy: C:\UNWISE.EXE | 05-24-2001 | 12:59:30 | | 162304 | 432c52a3
RegDB Key: Software\Microsoft\Windows\CurrentVersion\Uninstall\
RegDB Val: 
RegDB Name: DisplayName
RegDB Root: 2
RegDB Key: Software\Microsoft\Windows\CurrentVersion\Uninstall\
RegDB Val: C:\UNWISE.EXE C:\INSTALL.LOG
RegDB Name: UninstallString
RegDB Root: 2
Shared DLL counter ignored:
File Overwrite: C:\WINDOWS\system32\atl.dll | | | | 58938 | 2d1835a8
File Copy: C:\WINDOWS\ActiveSkin.INI | 01-18-2002 | 18:12:32 | | 112 | 398ca304
File Copy: C:\WINDOWS\system32\ActiveSkin.ocx | 09-30-2001 | 19:10:44 | 3.65.0.0 | 246784 | 73c606a4
File Overwrite: C:\WINDOWS\system32\shlwapi.dll | | | | 131856 | 97e6a077
File Overwrite: C:\WINDOWS\system32\urlmon.dll | | | | 166160 | 7eec9854
File Overwrite: C:\WINDOWS\system32\wininet.dll | | | | 291600 | f0f51099
Self-Register: C:\WINDOWS\system32\atl.dll
Self-Register: C:\WINDOWS\system32\ActiveSkin.ocx
Self-Register: C:\WINDOWS\system32\urlmon.dll

ahlalalala · Answer

voilà le souci ... y'a toujours un moment où on demande à un novice de comprendre un truc ...
faire une recherche, .... hum

OUi j'ai trouvé la dll ... et donc ? 

faire une recherche pour moi, c'est faire aboyer le petit chien orange là ... (oui je sais je me fais rire moi même)

je vais supprimer unwise, puisqu'a priori c'est juste une connerie qui empêche la suppression de programme.

ahlalalala · Answer

Merci beaucoup !!! je dois dire ça ?
j'ai un peu les boules là ... en gros j'y suis depuis 10 h hier, je me résouds à écouter la seule personne qui me conseille de prendre mon temps et de ne pas stresser, et puis pif paf!!! on arrête tout et on me plante ... j'adore!
merci, ... c'est bizarre ça m'étonnait aussi .. c'était un peu trop beau pour être vrai.
:(

bon dimanche ... ouais tu m'en diras tant !

chrischris83 · Answer

je vois que tu es toujors en train de tchater pour ton probleme alors que je t'avais apporté la solution des le debut il suffiasait de telecharger un prog et de l'installer et tous ts probemes etaoent resolus mais tu n'en as pas tenu compte et te voila parti dans des delires pas possibles mais bon 
moi ca m'a prit dix minutes pour elevertoutes les merdouilles de mon pc entre autre les pages internet qui s'ouvrent sans que tu ne demande rien

ahlalalala · Answer

chris ... t'es gentil (ou gentille) mais bon, mets toi à ma place, novice, je débarque ici, je fais confiance à des "internautes" de derrière un écran, moralité ça fait plus de 18h sur mon pc ... je sature littéralement, je viens de refaire un navilog, et avast me retrouve toujours le Win32:Inject-EV .... moralité je traine, je traine, je suis des conseils de je ne sais où, des gens mettent leur grain de sel ... j'ai mis le truc en quarantaine, je fais quoi ? je le supprime comment? j'en peux plus là :(

chrischris83 · Answer

tu desinstalles toutes les merdes qu'on t'as fait mettre  tu ne garde qu'un antivirus
ensuite tu telecharge spayware doctor et tu suis la mise en oeuvre et la ho miracle toutes petits soucis disparaisset
mais vu tout ce que tuas fait depuis il se peut que la seule solution sera de formater et de reinstaller windows

ahlalalala · Answer

Magnifique !!!!

j'ai le droit d'être super véner ?????

Je pensais trouver des pros moi ... je suis dég

ahlalalala · Answer

oooh merci ...un site payant .... fuat s'enregistrer ... t'as des parts chez Spydoctor ? lol
désolée j'ironise, mais je pensais vraiment être aidée ... pas trainée

et quel boulet ce kério !!!!!!!

ahlalalala · Answer

Comment reconnaitre un qualifié d'un nom qualifié ? lol

bref, moi là je fais une pause, je n'en peux plus. 
j'ai viré toutes les merdes possibles qu'on m'a fait installé. Je maudis le hacker qui a inventé cette vérole de trojan.
Depuis le dernier démarrage en mode sans échec, j'ai plus mon fond d'écran, c'est pas grave, mais ça m'énerve un peu. 
Je ne fais rien avec ce Pc et faut qu'on trouve le moyen de me véroler ... ça me dégoute.
Merci quand même
mais là je suis à bout
Bye

mOe · Answer

Bonjour ahlalalala

Welcome in the Jungle...:-)

En attendant le retour d'evasion60/PCA... Est-ce que tu as noté le nom et l"emplacement d'origine du fichier détecté par Avast comme Win32:Inject-EV ?

Dans un premier temps, vide la quarantaine d'Avast en t'aidant de ce lien, puisque tu te posais la question de savoir comment il fallait faire :
http://www.01net.com/editorial/360079/avast.-gerez-la-zone-de-quarantaine/
Redémarre ensuite ton pc et dis moi si l'alerte persiste.

Bon courage.

@+

ahlalalala · Answer

vider la quarantaine ça n'enlève pas un problème me semble t-il ? 
le truc est là :  C:\DOCUME~1\********\LOCALS~1\Temp\djeigksw0140CD (présent 7 fois dans la quarantaine)

ahlalalala · Answer

j'attends évasion .. je stoppe là ... 100ème message ... on va arrêter les frais

lerevolteur83 · Answer

Slt, c'est normal qu'en mod sans echec tu n'ai pas ton fond d'écran affiché, car justement, le mod sans échec met en route les composants principaux, et fait le moins possible encombrer la mémoire vive. Ton fond d'écran se remettra normalement en mod normal...

ahlalalala · Answer

j'ai localisé le petit pourri ... impossible de le supprimer , et sur le net, je ne trouve personne qui ai résolu le problème
( il est dans un fichier .dll)

mOe · Answer

Re,

Ca dépends, car ce fichier peut être simplement un résidus de l'infection précédente et pas forcément "actif", et du moment que le plus "gros" de  l'infection n'est plus présent,  le fait de vider la quarantaine peut être suffisant.

Tout dépend en fait si après l'avoir vidé et après redémarrage du pc, tu as à nouveau eu une alerte d'avast ?, dans ce cas ça voudrait dire qu'il reste une infection beaucoup mieux dissimulée que la partie "apparente" que tu as supprimé et qui elle est toujours active...
Si c'est bien le cas et si j'en crois ton dernier message, il faut passer par un outil plus pointus qu'Hijackthis.


Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

&#9658; Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.
 

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

@+

ps:
Depuis le dernier démarrage en mode sans échec, j'ai plus mon fond d'écran, c'est pas grave, mais ça m'énerve un peu.
C'est normal et ton fond d'écran n'a pas été supprimé, SmitfraudFix est un utilitaire qui s'occupe de virer certains type d'infections dont certaines ont ou avaient pour les plus anciennes variantes,  la particularité de changer ton fond d'écran en un message d'alerte inquiétant ou agressif.

ahlalalala · Answer

Moe m'en veut pas mais tu es un utilisateur anonyme ... je vais attendre et aussi accessoirement faire mon boulet avec mon pote programmeur, que je ne voulais pas déranger.
Merci beaucoup, mais tu peux pas imaginer tout ce que j'ai déjà télécharger comme "fixeur" ... tout ça pour rien, à part faire une grosse connerie ... :(    j'ai tout sorti de ma bécane là ...
Merci beaucoup

mOe · Answer

Pas de problèmes ahlalala, puis pourquoi je devrais t'en vouloir lol  !! :-), tu as eu jusqu'à présent toutes les raisons et mauvais exemples réunis en un seul post pour être méfiante.
Je comprend tout à fait que tu ne souhaites pas t'éparpiller et préfères attendre Evasion, c'est tout à fait normal et même une très bonne réaction :-)

D'ici là,b onne pause (18h d'écran c'est pas mal !) et surtout bon courage et bonne continuation.

@++

ahlalalala · Answer

:) quelques épisodes de South park ... et j'irai mieux lol

evasion60/PCA · Answer

RE, ahlalalala

...Dans ton poste n°103, tu dis avoir localisé la bête 
As tu son nom, et son chemin ?
Si réponse = Oui, donne moi ces deux infos STP

...On peut tenter un scanner en ligne, rien à installer donc --->Juste suivre le tutorial que je te joint, pour appliquer ce scan / OK
fais ce scan en ligne : http://www.bitdefender.fr/bd/site/page.php?tab=0#
Clique, en bas à gauche, sur "scan on line (nouveau)"
Accepte ensuite la licence puis laisse-lui installer l'ActiveX
Laisse-toi guider. 

Tuto en image : http://pageperso.aol.fr/rginformatique/mapage/defender.htm

Poste son rapport 

Bonne réception, et à te lire

ahlalalala · Answer

Bon, toujours aussi :( en fait .... yeu désespèrrre !!!

voilà le lascar j'ai été obligée de remettre navilog en marche pour qu'il réapparaisse, je le fous en quarantaine à chaque fois avec Avast qui me fait le coup de" l'alerte internatiolale" lol

Bon, il se planque dans C:\DOCUME~1\GWENAL~1\LOCALS~1\Temp\djeigksw0140CD1.dll  .... oui , c'est une dll (je fais style mais je sais pas ce que c'est une dll) :)

Voilà ... 

Je vais faire le scan sous IE ... parce que là il veut pas

ahlalalala · Answer

pour info complémentaire : 
j'ai deux applications merdiques qui sont apparues sur mon bureau depuis quelques jours (Install.player avec des chiffres.exe ) , et une application Unwise.exe dans le C:/ sortie de nul part, .... pas normal j'ai l'impression

ahlalalala · Answer

BitDefender Online Scanner
	

 
	

 

Rapport d'analyse généré à: Sun, Jan 27, 2008 - 18:23:13

 
	

 
	

 

Voie d'analyse: C:\;D:\;
	

 
	

 

 
	

 
	

 

Statistiques

Temps
	

00:51:22

Fichiers
	

206578

Directoires
	

4170

Secteurs de boot
	

2

Archives
	

7074

Paquets programmes
	

8758
	

 
	

 

Résultats

Virus identifiés
	

1

Fichiers infectés
	

4

Fichiers suspects
	

0

Avertissements
	

0

Désinfectés
	

0

Fichiers effacés
	

4
	

 
	

 

Info sur les moteurs

Définition virus
	

894008

Version des moteurs
	

AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
	

14

Archive des plugins
	

38

Unpack des plugins
	

7

E-mail plugins
	

6

Système plugins
	

1
	

 
	

 

Paramètres d'analyse

Première action
	

Désinfecté

Seconde Action
	

Supprimé

Heuristique
	

Oui

Acceptez les avertissements
	

Oui

Extensions analysées
	

*;

Excludez les extensions
	

 

Analyse d'emails
	

Oui

Analyse des Archives
	

Oui

Analyser paquets programmes
	

Oui

Analyse des fichiers
	

Oui

Analyse de boot
	

Oui
	

 
	

 
 

Fichier analysé
	

 Statut

C:\Documents and Settings\Gwenaëlle\Bureau\install_player_3913230(2).exe
	

Infecté par: Trojan.Downloader.Codec.C

C:\Documents and Settings\Gwenaëlle\Bureau\install_player_3913230(2).exe
	

Echec de la désinfection

C:\Documents and Settings\Gwenaëlle\Bureau\install_player_3913230(2).exe
	

Supprimé

C:\Documents and Settings\Gwenaëlle\Bureau\install_player_3913230.exe
	

Infecté par: Trojan.Downloader.Codec.C

C:\Documents and Settings\Gwenaëlle\Bureau\install_player_3913230.exe
	

Echec de la désinfection

C:\Documents and Settings\Gwenaëlle\Bureau\install_player_3913230.exe
	

Supprimé

C:\System Volume Information\_restore{CB09F90C-70C6-4BC8-9827-4AFD818DB8DC}\RP244\A0043107.exe
	

Infecté par: Trojan.Downloader.Codec.C

C:\System Volume Information\_restore{CB09F90C-70C6-4BC8-9827-4AFD818DB8DC}\RP244\A0043107.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{CB09F90C-70C6-4BC8-9827-4AFD818DB8DC}\RP244\A0043107.exe
	

Supprimé

C:\System Volume Information\_restore{CB09F90C-70C6-4BC8-9827-4AFD818DB8DC}\RP244\A0043108.exe
	

Infecté par: Trojan.Downloader.Codec.C

C:\System Volume Information\_restore{CB09F90C-70C6-4BC8-9827-4AFD818DB8DC}\RP244\A0043108.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{CB09F90C-70C6-4BC8-9827-4AFD818DB8DC}\RP244\A0043108.exe
	

Supprimé
	

 

 
	
Pas simple d'avoir un rapport propre ... en espérant que ce soit lisible
t'as vu ? il supprime vraiment les deux applications dont je parlais ???

evasion60/PCA · Answer

Bonsoir
...Tu tiens cette fois ci le bon bout !

Assure toi d'avoir accès aux Fichiers/Dossiers Cachés :

démarrer
-poste de travail ou autre dossier
-menu outils
-options de dossier
-onglet affichage

puis,
- activer la case : Afficher les fichiers et dossiers cachés
- désactiver la case : Masquer les extensions des fichiers dont le type est connu
- désactiver la case : Masquer les fichier protégés du système d'exploitation
Puis - Appliquer

Supprime le(s) fichier(s) ci dessous si il(s) est (sont) présent(s) :

C:\Documents and Settings\Gwenaëlle\Bureau\install_player_3913230(2).exe 
C:\DOCUME~1\GWENAL~1\LOCALS~1\Temp

Dans l'Explorateur Windows recache les fichiers système afin de ne pas faire d'erreur à l'avenir. Retourne à la fenêtre Paramètres de dossiers et sélectionne Ne pas afficher les fichiers cachés ou les fichiers système

...Ensuite:
Pour désactiver le système de Restauration :
démarrer-----------panneau de configuration------------système----------
onglet Restauration système-----------coche la case (Désactiver la restauration système)--------------
redémarre l'ordinateur

Recoche ( Activer la restauration système )

Bonne réception, et à te lire

ahlalalala · Answer

Bienvenue sur le site "Comment ça marche pas !" lol mdr
Ben j'ai tout fermé les applic. je suis allée essayer se supprimer temp. 
et message d'erreur il me dit qu'un des fichier  (NOM =  truc avec une petite vague DF1B12.tmp (y'en a 4 a peu près semblables) n'es tpas supprimable , car utilisé par une autre application, et je n'ai que le poste de travail d'ouvert
sinon, les applications machins intall.player.exe ne sont plus sur le bureau ... elles ont donc brûlé en enfer grâce à Bitdefender?

ahlalalala · Answer

OOOOH !!! un nouveau fichier sur le bureau qui ressemble grave au virus il s'appelle : thumbs.db

je vais me suicider virtuellement !!! :(

ahlalalala · Answer

juste pour rire j'ai relancé Navilog et Avast rehurle !!!! Toujours ce pourri de Win32.inject de mes ...

ahlalalala · Answer

A l'aideeeeeeeeeeeeeeeee

green day · Answer

Salut Evasion

 je pense que cette personne s'est assez fait tapé sur le doigts, par moi y compris ! :)

si tu pouvais prendre ton courage à deux mains, halalala aussi ... vous pouvez aller jusqu'au bout

 je n'ai pas tout suivis perso

@+

Le sioux · Answer

Bonsoir tout le monde

Pour suivre...

Le titre de ce sujet "Pétage de plombs, a été très bien choisi" ...  la tournure qu'on pris les choses en est autrement ...

Au poste 104 Moé, qui est inscrit en anonyme, (c'est un faite), avait donné un conseil très judicieux  qui aurait du, a mon sens, être suivis...

Ahlalalala , il faut se calmer un petit peu, tu risques de lasser a tour de rôle les intervenants qui tentent de te répondre avec ta façon de poster ...
.

moe · Answer

Bonsoir à tous, toutes

Afideg, bien vu :-), faux positif généré surement par Catchme.
On retrouve le même "problème" aussi par intermitence avec combo et sdfix.

ahlalalala, si tu es toujours là...petit récapitulatif :

Primo :
Tu as été victime d'une infection récente à peine découverte il y a trois/quatre jours grosso modo et qui fait partie de la famille des faux Codecs.
Ce type infection est normalement pris en charge par smitfraudfix, mais visiblement l'outil n'a pas encore pu être updaté ce qui explique qu'il ait fait choux blanc.
Pi_Xi et Evasion t'on permis tout les deux à leur façon de supprimer cette saloperie.
Pi_Xi, grace à hijackthis et O2 - BHO: Player - {99F785E5-5394-4826-A515-034A34A36377} - C:\WINDOWS\orgnavi.dll 
(supprime ce fichier s'il existe toujours => C:\WINDOWS\orgnavi.dll)
Et evasion grace au scan de Bitdéfender.

Secondo :
Néanmoins, ta première infection détecté était Navipromo, elle se choppe généralement lors de l'installation de certains progs freewares et installe un rootkit, ce rootkit c'est Navilog1 qui te l'as supprimé.

Je crois que je viens de comprendre d'ou provient ton problème d'alerte avec Avast, ahlalalala.
Ca m'a fait tilt en lisant une de tes réaction :

juste pour rire j'ai relancé Navilog et Avast rehurle !!!! Toujours ce pourri de Win32.inject de mes ...

Il faut que tu saches que l'outil Navilog1 utilise d'autres programmes complémentaires pour l'aider à traiter l'infection qu'il cible,  et parmis ces outils il y en a un qui génère un fichier dll au nom aléatoire dans le dossier réservé aux fichiers temporaires.
Cette dll et complètement clean je peux te le garantir connaissant le sérieux et la réputation des personnes qui ont conçu cet outil, néanmoins elle génère un faux positif chez certains éditeurs AV.

J'ai installé Navilog et envoyé cette dll sur virustotal pour une analyse, et voilà le résultat :
AntiVir 	- 	- 	TR/Inject.MF
Authentium 	- 	- 	-
Avast 	- 	- 	Win32:Inject-EV
AVG 	- 	- 	Generic9.ACFR
CAT-QuickHeal 	- 	- 	Trojan.Inject.mf
Ewido 	- 	- 	Trojan.Inject.mf
Fortinet 	- 	- 	W32/Inject.MF!tr
F-Prot 	- 	- 	W32/Heuristic-KPP!Eldorado
F-Secure 	- 	- 	Trojan.Win32.Inject.mf
Ikarus 	- 	- 	Trojan.Win32.Inject.mf
Kaspersky 	- 	- 	Trojan.Win32.Inject.mf
NOD32v2 	- 	- 	probably a variant of Win32/Inject
Sunbelt 	- 	- 	Trojan.Inject.MF
TheHacker 	- 	- 	Trojan/Inject.mf
VBA32 	- 	- 	Trojan.Win32.Inject.mf
VirusBuster 	- 	- 	Trojan.Inject.FU
Webwasher-Gateway 	- 	- 	Trojan.Inject.MF
Conclusion :

Désinstalle Navilog1, supprime son dossier situé dans C:\ProgramFiles et les raccourcis situés dans le menu démarrer et le dossier de Backup à la racine de ton disque dur.

Vide le contenu du dossier C:\Documents and Settings\Gwenaëlle\Local Settings\Temp et notamment du fichier détecté par Avast s'il s'y trouve encore.

Pour celà :

1/

Rend visible les fichiers cachés et systeme 
panneau de configuration > options des dossiers > onglet affichage 
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu" 
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

Rends toi dans C:\Documents and Settings\Gwenaëlle\Local Settings\Temp et venges-toi en supprimant tout ce qui peut l'être à l'intérieur de ce dossier :-)
Ne t'inquiètes pas si certains fichiers résistent, ça peut être tout à fait normal et pas forcément le signe d'un fichier infecté, donc pas de prise de tête car c'est la dll au nom aléatoire qui nous interresse en premier.

2/ Recache les fichiers cachés et système pour ne pas voir apparaitre certains fichiers qui pourront t'induire en erreur, comme thumbs.db sur ton bureau :-) qui est un fichier système tout à fait sain qui ne se voit que lorsque tu rends visible les fichiers système.

Redemarre ton pc, c'est important et surfe quelques minutes.
Si ensuite tu as toujours l'alerte, bah tu auras le droit de venir m'enguirlander ici et en public :-)

Gwenaëlle, pour être honnète je crois que tu cours depuis quelques heures derrière un faux positif généré par Navilog1, à toi de confirmer ou d'infirmer en prenant le temps de faire consciencieusement le test.
Tiens nous au courant et donne nous tes commentaires sur l'évolution que tu auras pu remarquer...ou pas.

Bonne fin de soirée.

ahlalalala · Answer

Re

bon, j'en prends un peu plein la tronche, merci aux passages pour les remontrances, mais franchement, j'ai passé pas moins de 24h à me faire guider, à voir des gens se contredire ou se faire eux mêmes des remontrances, au final, mn problème n'avançait pas. Mais bon, chacun voit midi à sa porte. Mea culpa ... je ne suis qu'une petite novice (cf.mon premier post) et je cherchais de l'aide j'aurai jamais pensé arriver jusuq'à 122 posts pour ce sujet.

Moe merci pour ta gentillesse et ce dernier message,
j'ai tout suivi à la lettre et O miracle! j'ai pu tout supprimer le "temp"
 (pas compris, tout à l'heure ça marchait pas ...aaahhh!! les mystères de l'informatique !!! un peu comme le trou noir de la machine à laver qui perd les deuxièmes chaussetes non?) :)

Bref, Navilog est dégagé ... (mon pauvre pc tout ce qu'il a du bouffé en deux jours)
La seule indication que je ne comprends pas c'est je te cite : 
" (...)  le dossier de Backup à la racine de ton disque dur. " waza ?
J'ai supprimé  les raccourcis, ça j'ai bon, mais là t'as sorti un terme tout technique et moi je sens des racines blondes qui poussent dedans ma crinière ....  (oui je déconne)

Bref, je pense faire un scan avast pour voir si tout va bien, je vais aller vérifier la quarantaine tiens, .... bon, y'en avait 4 tout gris, de dll, je les ai supprimé aussi.

Fausse alerte, sérieusement, je le pense de plus en plus, car depuis le coup de Pi_Xi avec Hijack le problème de base (fenêtres system error et les  incrustes dans résultats de recherche 'porno' ) avait disparu .... 

Bref ... quel univers impitoyable, ... j'ai pas le droit à l'erreur.

Parait que c'est pas toujours comme ça que ça se passe.

On rencontre aussi bien le niveau zéro de l'humour que le niveau "extra" de la solidarité !!! 

Merci à vous tous

ahlalalala · Answer

pour voir j'ai fait un combofix
si besoin je le poste
mais jusqu'ici tout va bien ......

moe · Answer

Salut Ahlalalala

Content de voir que n'as pas décidé de lâcher l'affaire :-)

Ecoute, je vais devoir couper pour ce soir et je repasserais te répondre plus en détail demain,je suis  trop claqué pour continuer ce soir.
Postes le rapport Combofix oui, bonne initiative :-), au moins il permettra de lever d'éventuels doutes sur une infection plus en profondeur.
Evites d'ici là de passer d'autres outils de désinfection, ça pourrait venir fausser le rapport de combofix qui est assez pointu.

D'ici à demain je te souhaite de passer une bonne fin de soirée/début de nuit et d'en profiter toi aussi pour te reposer.
Je crois qu'il n'y a plus le feu au lac et tu as déjà pas mal bataillé depuis plusieurs heures :-)

@++

ps:

De rien...Et penses à refermer la trappe du tambour de ta machine à laver :-p

Le sioux · Answer

Bonsoir alalala

Pour ma part, ce ne sont pas des remontrances mais un conseil, je me suis peu être mal exprimé ...

Bonne fin de nuit.

+1 a Moé  ;-)

afideg · Answer

Salut mOe et TLM,

Salut Ahlalalala

J'ai bien aimé cette vérité: « On rencontre aussi bien le niveau zéro de l'humour que le niveau "extra" de la solidarité !!! »

Attention pour ComboFix: ==> applique bien la procédure conseillée par mOe; je la remonte ici:
( toujours télécharger la dernière version, et supprimer celle (même récente) actuellement sur le pc )
Télécharge ComboFix à partir d'un de ces liens : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
https://forospyware.com 
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/ 
Et important, enregistre le sur le bureau. 
Avant d'utiliser ComboFix : 
&#9658; Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. 
&#9658; Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares, (qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil). 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 
- Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc-notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.


Note « dossier de Backup à la racine de ton disque dur » ==> veut dire en C:\BackUp

Bonne chance

moe · Answer

Salut Ahlalalala, le sioux, afideg 

Entre deux coup de fourchette :-)

Fausse alerte, sérieusement, je le pense de plus en plus, car depuis le coup de Pi_Xi avec Hijack le problème de base (fenêtres system error et les incrustes dans résultats de recherche 'porno' ) avait disparu .... 
C'est ce qu'il me semble aussi, du moins ce qui me semble le plus probable sous réserve du résultat du rapport Combofix.
Est-ce que tu confirme qu'après avoir fait le ménage avec Navilog1, l'alerte d'Avast a cessée ?

" (...) le dossier de Backup à la racine de ton disque dur. " waza ? 
Désolé de ne pas avoir été plus précis, en plus je t'ai dit une demi bétise...
Navilog crée un dossier ou il stocke une copie de sauvegarde (Backups) de chacune de ses suppressions et je pensais que ce dossier se situait à la racine de ton disque dur (C:\Backupnavi) alors qu'il se situe dans C:\ProgramFiles\Navilog1\Backupnavi.
Donc au temps pour moi, et vu que tu as déjà supprimé C:\ProgramFiles\Navilog1 la question de sa suppression ne se pose plus :-)
C'était juste une précaution pour éviter que ton av ne s'affole pour rien et sur un simple dossier de sauvegardes.

Finalement, est-ce que tu as pu faire le scan avec Avast que tu avais prévu pour hier soir et si oui, qu'a t'il donné ?
Possible qu'il te détecte quelques fichiers dans C:\System Volume Information et si c'est le cas tu ne dois pas t'en inquiéter.
Pendant que ton pc était infecté, il a surement crée des points de restauration systeme, ces points de sauvegarde sont stockés dans le dossier C:\System Volume Information qui est un dossier non visible par défaut.(il faut pour celà rendre visible les fichiers cachés et système dans les options des dossiers.)
Tous les fichiers se trouvant dans ce dossier sont inactifs, virus y compris, sauf bien sur si tu décidais brusquement de restaurer le système à une date antérieure.
On traite généralement les infections qui ont pu s'y loger, qu'en dernier lieu, une fois sur qu'aucune infection active ne traine encore dans le pc.
Donc je me répète en radotant lol, mais pas d'affolement à avoir si jamais Avast détectait quelque chose dans ce dossier.

Et enfin, peux-tu copier/coller sur le forum le rapport Combofix ?

Passez tous une bonne journée.

@+

ahlalalala · Answer

Bijour !:) j'ai bien lu vos messages, j'ai fait ce qu'il restait à faire. Là je trace mais je lance avast pendant mon absence, et je dirais quoi à mon retour, voilà le combofix (p'tine mais y'a écrit tout ce que je fais là dedans !!! ) Tiens j'ai lu sans trop comprendre, mais à la fin ça parle catch.me et rootkit comme tu disais ... Et dire que j'ai toujours pas pu danser sur mon bureau .... lol Ps : le chat aussi est un grand amateur de chaussettes ....mia! mais je trouve pas sa trappe à lui ;) ComboFix 08-01-23.1C - Gwena‰lle 2008-01-27 23:24:32.1 - NTFSx86 Microsoft Windows XP Édition familiale *********************[GMT 1:00] Endroit: C:\Documents and Settings\Gwena‰lle\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\All Users\Application Data\salesmonitor . ((((((((((((((((((((((((((((( Fichiers créés 2007-12-27 to 2008-01-27 )))))))))))))))))))))))))))))))))))) . 2008-01-27 23:23 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe 2008-01-27 20:22 . 2007-10-21 10:30 4,461 --a------ C:\WINDOWS\system32\gnc.exe 2008-01-27 17:29 . 2008-01-27 18:26 d-------- C:\WINDOWS\BDOSCAN8 2008-01-27 14:54 . 2008-01-27 14:54 d-------- C:\WINDOWS\system32\corbeille 2008-01-27 11:45 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-01-27 11:45 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-01-27 11:45 . 2007-12-20 23:11 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-01-27 11:45 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-01-27 11:45 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-01-27 11:45 . 2008-01-27 12:23 1,018 --a------ C:\WINDOWS\system32 mp.reg 2008-01-27 11:06 . 2008-01-27 11:06 d-------- C:\HijackThis 2008-01-26 20:55 . 2008-01-26 20:57 d-------- C:\Program Files\Windows Live 2008-01-26 20:48 . 2008-01-26 20:48 d-------- C:\Program Files\Trend Micro 2008-01-26 20:45 . 2008-01-26 20:45 d-------- C:\Program Files\eMule 2008-01-26 20:34 . 2008-01-26 21:36 81,984 --a------ C:\WINDOWS\system32\bdod.bin 2008-01-26 19:21 . 2008-01-26 19:21 d-------- C:\WINDOWS\ERUNT 2008-01-26 19:20 . 2008-01-27 12:11 660 --a------ C:\WINDOWS\system32\drivers\fwdrv.err 2008-01-26 18:35 . 2008-01-26 18:35 d-------- C:\Program Files\Sunbelt Software 2008-01-26 18:35 . 2008-01-27 22:50 d-------- C:\Program Files\Navilog1 2008-01-26 16:30 . 2008-01-26 16:30 d-------- C:\Program Files\Recuva 2008-01-26 13:40 . 2003-02-02 19:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll 2008-01-26 13:40 . 2002-03-06 00:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll 2008-01-26 12:55 . 2008-01-27 10:11 48 --a------ C: mp.bat 2008-01-26 11:35 . 1998-06-18 00:00 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL 2008-01-01 19:50 . 2008-01-01 19:50 d-------- C:\WINDOWS\Downloaded Installations . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-26 15:30 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-26 15:29 --------- d-----w C:\Program Files\BeClean 2008-01-26 11:57 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2007-12-18 20:07 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2 2007-12-18 17:56 --------- d-----w C:\Program Files\Windows Media Connect 2 2007-12-17 15:41 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller 2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr 2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll 2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 15:45 313472] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2006-01-19 18:35 180269] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 05:24 286720] R0 SiSRaid2;SiSRaid2;C:\WINDOWS\system32\drivers\SiSRaid2.sys [2005-01-11 16:58] R0 viamraid;viamraid;C:\WINDOWS\system32\drivers\viamraid.sys [2004-12-24 17:04] S3 qcusbser;HUAWEI USB Device for Legacy Serial Communication;C:\WINDOWS\system32\DRIVERS\hwusbser.sys [2005-03-29 02:57] S3 V0090VID;Creative WebCam Vista Plus;C:\WINDOWS\system32\DRIVERS\V0090Vid.sys [2005-04-14 02:00] *Newly Created Service* - PROCEXP90 . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-27 23:26:22 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-01-27 23:27:20 . 2008-01-27 09:17:26 --- E O F ---

ahlalalala · Answer

Bon le verdict est implacable : Avast détecte toujours une infection >>>>>>>>>>>

C:\Program Files\Alwil Software\Avast4\DATA\moved\djeigksw0140CD1.dll
Win32:Inject-EV [Trj]
Cheval de Troie

Bizarre : c'est pas justement la quarantaine ça ????

ahlalalalalalala !!! je suis trop forte pour choisir mes pseudos :)

Va t-on s'en sortir ?

ahlalalala · Answer

je l'ai "supprimé" ... avast bronche pas ... d'habitude il re-sonne direct ... (alerte internationale tout l'immeuble est au courant ahaha!)
j'ai vidé le fichier move aussi ... tant que j'y étais. en espérant que j'ai pas fait de bêtises. Ben oui, j'improvise aussi ... histoire de conserver un minimum de fierté ...lol parce que là j'en ai plus beaucoup ...:)

ahlalalala · Answer

seconde alerte avast à la suite de l'autre ....
C:\System Volume Information\_restore{CB09F90C-70C6-4BC8-9827-4AFD818DB8DC}\RP245\A0043296.dll
dans une restauration ... ouinn!
en espérant que vous repasserez :)

Le sioux · Answer

Bonjour alalala

En attendant Moé 

Du calme , une fois encore ;-)  ne t'inquiètes pas.

* Relis le post 128 de Moé  , il t'y explique ce qu'il en est pour ce genre de détection dans la restauration.

* Pour la détection  dans C:\Program Files\Alwil Software\Avast4\DATA\moved\djeigksw0140CD1.dll   il te suffit comme tu l'as compris de vider la quarantaine (au passage, cela reste comique qu'Avast flashe sur sa propre quarantaine ... )

* Pour ton rapport ComboFix, il reste au moins un élément nuisible a supprimer.
 Moé te donnera les instructions, patience ( nous sommes tous et toutes bénévoles et ne sommes pas constamment rivés a l'écran du PC )

Salut.

ahlalalala · Answer

pas de souci ... je chouine mais ça va ... lol
je refais un scan pour voir ...

Le sioux · Answer

Re

Plutôt que faire un scan avec Avast  tu peux faire cela si tu veux en attendant Moé :

* Va sur VIRUS TOTAL  https://www.virustotal.com/gui/

* Clique sur  "parcourir" :  C:\WINDOWS\system32\gnc.exe

*  Recherche le fichier à analyser, puis clique ensuite sur "send".

Il faut patienter car tu es sur une file d'attente.
Le rapport ne sera complet que lorsque tu verras la mention "FINISHED"sur la droite.

Dépose le dans ta prochaine réponse.

Tuto : http://pageperso.aol.fr/loraline60/virus_total.htm

Note : Il est possible que tu es besoin d'avoir accès aux dossiers et fichiers cachés, pour cela  "Affiche les dossiers cachés" Aide toi de  B ) Afficher les dossiers cachés  ici   https://forum.pcastuces.com/sujet.asp?f=25&s=3902  si besoin.

Fais de même avec C:\WINDOWS\system32\corbeille  et poste les deux rapports obtenus 

Salut

moe · Answer

Salut,

Hey !, on dirait que ça avance pas mal dans l'coin :-)

Soit dit en passant et avant de continuer, merci le sioux pour tes interventions, leur qualité et de prendre le relais comme tu le fais, c'est sympa.
Et pas besoin de balises en gras, c'est vraiment pas la peine :-), perso j'apprécie quand l'entraide prend cette tournure.

Voyons voir ce famaeux rapport Combofix ou absolument toute la vie de ahlalalala est retracée étape par étape... Oulaa !  (<= je plaisante lol)

Je sais pas si Le sioux sera du même avis et s'il vois d'autres choses que j'oublie mais je pense qu'il va y avoir plusieurs fichiers à supprimer :
Perso j'ai un doute sur la légitimité de ces deux :

C:	mp.bat 
C:\WINDOWS\system32	mp.reg

+ ce dossier 
C:\WINDOWS\system32\corbeille => Ce serait interessant de savoir s'il est vide ou s'il contient des fichiers et le cas échéant de les faire scanner sur Virustotal.
Edit: Oups, je viens de voir la dernière intruction que t'as donné le sioux, donc résultat de l'analyse en attente et surement très instructive.

Quant à ceux-ci se sont des résidus des outils de désinfection que tu a pu employer jusqu'à maintenant (Navilog1, smitfraudfix, sdfix...), donc pas très utiles en l'état.

C:\WINDOWS\system32\gnc.exe <= généric navi search (Navilog)

C:\WINDOWS\system32\VCCLSID.exe
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\dumphive.exe
C:\WINDOWS\system32\WS2Fix.exe 
et 
C:\WINDOWS\system32\bdod.bin <= résidu après désinstallation de Bitdefender

C:\Program Files\Navilog1 <= Gwenaelle, je pensais que tu avais déjà supprimé ce dossier ?

Pour résumer et faire court il reste dans ton pc quelques résidus possible d'infection, quelques fichiers non infectieux mais inutiles maintenant, mais pour ma part je ne vois pas d'infection réellement active.
Poste les rapports que t'a demandé le sioux et éventuellement si Virustotal refuse de scannertel quel le dossier C:\WINDOWS\system32\corbeille, regarde s'il contient des fichiers et fais les scanner sur le site un par un.


@ plus tard !

ahlalalala · Answer

C:/WINDOWS/system32/corbeille > vide (mais supprimé) (j'ai attrapé une supprimite aïgue ...lol)
C:/WINDOWS/system32/VCCLSID.exe > supprimé (nanméoh!!!)
C:/WINDOWS/system32/SrchSTS.exe > supprimé 
C:/WINDOWS/system32/IEDFix.exe > supprimé
C:/WINDOWS/system32/dumphive.exe > supprimé
C:/WINDOWS/system32/WS2Fix.exe  > supprimé
C:\WINDOWS\system32\bdod.bin.exe > supprimé

Navilog ...euh oui mais ce dossier est vide, c'est que je l'avais mal placé au début ... il restait ce dossier tout vide dedans :D
Attends attends tu viens de mettre en doute mon attention qui t'est toute dédiée ????  je suis véxée là :(

Bon, je te pardonne Moe.
T'as de la chance j'aime pas boudé (ahh! les femmes et leur façon de retourner les situations ...lol)

Au sujet de C:/tmp.bat .... 'enfin je trouve tmp sans ".bat" ... si ça se trouve c'est kif kif mais bon , comme je suis novice, tout m'alarme ...lol ...  je ne trouve pas ce dossier la seule chose qui y ressemble mais c'est "un fichier de commande MSDOS"  (
48 octects ) ... j'en fais quoi ?

L'analyse avast n'a rien trouvé de louche, plus de dossier infecté plus d'alarme d'immeuble (Ouaiiiiiiiis !!!!!!! même le chat est content :)

Virus total est en curs sur gnc.exe (premiers résultats ::   SUSPICIOUS !! Malware etc ....) on le tient non?
Je poste ça dès que c'est fini

Ps : "la vie de ahlalalala est retracée étape par étape... Oulaa ! (<= je plaisante lol) " ........ Mais euuuuuuhhhh!!!! :) lol

ahlalalala · Answer

Fichier gnc.exe reçu le 2008.01.28 19:54:10 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé(finished ???)
 NON TROUVE ARRETE
Résultat: 7/32 (21.88%)AhnLab-V3	2008.1.28.10	2008.01.28	



-
AntiVir	7.6.0.56	2008.01.28	-
Authentium	4.93.8	2008.01.26	-
Avast	4.7.1098.0	2008.01.27	-
AVG	7.5.0.516	2008.01.28	-
BitDefender	7.2	2008.01.28	-
CAT-QuickHeal	9.00	2008.01.25	(Suspicious) - DNAScan
ClamAV	0.91.2	2008.01.28	-
DrWeb	4.44.0.09170	2008.01.28	-
eSafe	7.0.15.0	2008.01.16	Suspicious File
eTrust-Vet	31.3.5486	2008.01.26	-
Ewido	4.0	2008.01.27	-
FileAdvisor	1	2008.01.28	-
Fortinet	3.14.0.0	2008.01.28	-
F-Prot	4.4.2.54	2008.01.27	-
F-Secure	6.70.13260.0	2008.01.28	Suspicious:W32/Malware!Gemini
Ikarus	T3.1.1.20	2008.01.28	-
Kaspersky	7.0.0.125	2008.01.28	-
McAfee	5216	2008.01.26	-
Microsoft	1.3109	2008.01.28	-
NOD32v2	2828	2008.01.28	-
Norman	5.80.02	2008.01.28	-
Panda	9.0.0.4	2008.01.28	Suspicious file
Prevx1	V2	2008.01.28	-
Rising	20.29.01.00	2008.01.28	-
Sophos	4.25.0	2008.01.28	-
Sunbelt	2.2.907.0	2008.01.25	VIPRE.Suspicious
Symantec	10	2008.01.28	-
TheHacker	6.2.9.200	2008.01.28	-
VBA32	3.12.2.5	2008.01.21	-
VirusBuster	4.3.26:9	2008.01.28	Packed/FSG
Webwasher-Gateway	6.6.2	2008.01.28	Win32.Malware.gen!92

moe · Answer

Re,  ahlalalala

Tu vas plus vite que la musique dis donc !
Bah, manquerait plus que tu danses sur le bureau, lol :P

Sérieusement, fais attention quand même avec la supprimite aïgue, quelques fois ça joue de drôle de tours sans savoir exactement ce que l'on supprime.

Tu ne confondrais pas Navilog avec Hijackthis par hasard :-p ?
C'est un résidu de la désinstallation par ajout/suppression de programme (< j'essaye de me rattrapper là et de couper la poire en deux lol) donc dossier vide et sans importance pour l'élégante sonnette d'alarme d'Avast. Néanmoins supprimes-le,car  il ne te servira plus à grand chose.

Pour tem.bat, tu vas faire ceci :

Panneau de configuration > options des dossiers > onglet affichage 
Décocher la case devant " masquer les extentions des fichiers dont le type est connu" 
clic sur [Appliquer] puis sur [ok] pour valider

Là tu devrais maintenant pouvoir voir l'extension réelle du fichier tmp.
S'il s'agit bien de 'bat', tu fais un clic droit dessus, puis clic sur "modifier" (ne te trompe pas)
Le bloc notes va s'ouvrir, copie et colle le contenu ici sur le forum.
On va vite voir à quoi il est sensé servir.
En parallèle tu peux de ton côté refermer le bloc note et faire analyser le fichier sur virustotal, deux avis vallent mieux qu'un seul :-)
Quant au fichier de commande MSDOS, MSDOS.SYS je suppose, pas touche lol il est clean, c'est un fichier système !

Tu peux aussi supprimer gnc.exe dans la foulée, mais je suppose que ce doit être presque déjà fait :-)

@ tout à l'heure.

ahlalalala · Answer

Je viens de perdre tout mon message ... je fais faire bref ... 


C:	mp.bat (c'est lui qui apparait comme fichier de commande MS-DOS)
Bloc note correspondant :

C:\DOCUME~1\GWENAL~1\LOCALS~1\Temp\GA-tmp_.exe


C:\WINDOWS\system32	mp.reg 
Bloc notes correspondant :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun]
"TkBellExe"="\"C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe\"  -osboot"
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe"
"QuickTime Task"="\"C:\Program Files\QuickTime\QTTask.exe\" -atboottime"
"!AVG Anti-Spyware"="\"C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe\" /minimized"
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"



J'ai viré gnc. vi ... cré cré vite même !!
(je suis en cours de traitement pour la suppimite ... ça se calme ... lol)

moe · Answer

Zut, c'est ralant :-)

Merci pour le contenu des deux fichiers en tout cas et  tu peux supprimer les deux sans crainte :

Le premier :
C:	mp.bat est sensé lancer l'exécution d'un fichier temporaire, qui lui ne dois plus exister depuis belle lurette.
Donc poubelle.

C:\WINDOWS\system32	mp.reg lui, c'est apparement la sauvegarde temporaire d'une clé du registre, qui liste les éléments du démarrage.
Clé probablement crée par un des fixs que tu as utilisé.
Poubelle itoo.

En ce qui me concerne je ne vois plus rien de suspect ahlalalala et sans vouloir crier victoire trop vite je pense que ton pc est clean maintenant.
J'ai vu que tu utilisais BeClean pour le nettoyage des fichiers inutiles et s'il est toujours installé, passes-le, histoire de parfaire le ménage.
Ensuite tu vas quand même faire une analyse en ligne chez Kaspersky, mieux vaut être sur qu'il ne traine rien d'autre qui aurait pu échapper aux "yeux" de combofix :-).
Je sais c'est long et ch... mais nécessaire.
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Rends toi sur le site avec internet explorer, acceptes le contrôle activeX et une fois le moteur AV et les définitions virales chargées, choisis le poste de travail comme cible d'analyse.

Une fois fait et si le résultat est positif, on s'occupera des points de restaurations systèmes pour finaliser.
Dans ton prochain message, poste le rapport de scan ainsi qu'un dernier rapport hijackthis.

Voilà pour la suite des opérations :-), tu m'excuseras si je ne peux pas rester plus pour ce soir mais je dois déconnecter.
Si le sioux est dans les parages ce soir, je pense qu'il viendra surveiller tout çà de près et te conseiller au besoin.

Passes une bonne fin de soirée ahlalalala, à demain surement et content pour toi de la tournure que prend la désinfection de ton pc :-)

Utilisateur anonyme · Answer

Bonsoir à tous,
pardonnez mon intrusion, mais je souhaite connaître la suite et fin...
Bonne continuation.
A+

ahlalalala · Answer

Je suis KO .... :)

J'envoie là mon scan kaspersky


Cible de l'analyse  	Poste de travail
C:\
D:\
Statistiques de l'analyse
Total d'objets analysés 	46211
Nombre de virus trouvés 	1
Nombre d'objets infectés 	3 / 0
Nombre d'objets suspects 	0
Durée de l'analyse 	00:52:10

Nom de l'objet infecté 	Nom du virus 	Dernière action
C:\Documents and Settings\Gwenaëlle\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Gwenaëlle\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Gwenaëlle\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Gwenaëlle\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Gwenaëlle\Local Settings\Historique\History.IE5\MSHist012008012820080129\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Gwenaëlle\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Gwenaëlle\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Gwenaëlle
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat 	L'objet est verrouillé 	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db 	L'objet est verrouillé 	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\integ\avast.int 	L'objet est verrouillé 	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws 	L'objet est verrouillé 	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log 	L'objet est verrouillé 	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log
shield.log 	L'objet est verrouillé 	ignoré
C:\Program Files\Alwil Software\Avast4\DATAeport\Protection résidente.txt 	L'objet est verrouillé 	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase 	L'objet est verrouillé 	ignoré
C:\System Volume Information\_restore{CB09F90C-70C6-4BC8-9827-4AFD818DB8DC}\RP233\A0041894.dll 	Infecté : Trojan-Downloader.Win32.Delf.efu 	ignoré
C:\System Volume Information\_restore{CB09F90C-70C6-4BC8-9827-4AFD818DB8DC}\RP236\A0042209.dll 	Infecté : Trojan-Downloader.Win32.Delf.efu 	ignoré
C:\System Volume Information\_restore{CB09F90C-70C6-4BC8-9827-4AFD818DB8DC}\RP244\A0043136.dll 	Infecté : Trojan-Downloader.Win32.Delf.efu 	ignoré
C:\System Volume Information\_restore{CB09F90C-70C6-4BC8-9827-4AFD818DB8DC}\RP245\change.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Debug\PASSWD.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SchedLgU.Txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{5909B83D-8FAA-416A-946B-03D6407844D6}.bin 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Sti_Trace.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\Antivirus.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\Internet.evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\h323log.txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_57c.dat 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\wiadebug.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\wiaservc.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\WindowsUpdate.log 	L'objet est verrouillé 	ignoré
Analyse terminée.


A voir tous les fichiers verrouillés je me demande si j'ai pas encore fait un truc pas bien ...
Bref, le trojan est encore dans une restauration système (peut être pas grave, tu me confirmeras ..)



Voici le Hijack qui a suivi
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:28:36, on 28/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - https://onedrive.live.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

Darckiller · Answer

Salut,
j'ai un peu suivi le topic là, et je pense qu'il serait bien de faire ceci:

-Tu désactives l'Accès à distance de Windows:
Démarrer -> Panneau de configuration (en mode catégorie) -> Performance et maintenance -> Système -> Onglet "À distance" -> décoche la case "Autoriser l'envoi d'invitations d'assistance à distance à partir de cet ordinateur" -> clique sur le bouton "Appliquer" en bas -> clique sur le bouton "Ok" en bas.
L'accès à distance de Windows est un outil utile permettant se connecter et de configurer son PC à distance, ou encore d'aider une personne ayant des problèmes sur son ordinateurs à distance. Cependant cet outil est détourné par les pirates pour prendre le contrôle d'ordinateurs.

-Tu dois avoir accès à tous les fichiers de ton système: 
Démarrer -> poste de travail -> clique sur le menu "Outils" en haut -> sélectionne "Option des dossiers" -> clique sur l'onglet "Affichage" -> coche la case "Afficher les fichiers et dossiers cachés" -> décoche la case "Masquer les extensions des fichiers dont le type est connu" -> décoche la case "Masquer les fichiers protégés du système d'exploitation" -> clique sur le bouton "Appliquer" en bas -> clique sur le bouton "Appliquer à tous les dossiers" en haut -> clique sur le bouton "Ok" en bas.

=> Il aurait fallu les afficher pour tous les fichiers de son PC (sauf si c'est déjà fait).

-Tu désactives l'Affichage des messages: 
Démarrer -> exécuter-> tape "services.msc" -> un menu s'ouvre: tu sélectionnes la ligne"Affichage des messages" dans la colonne Nom -> clique droit sur cette ligne -> choisis"propriétés"-> dans le panneau "Statut du service" clique sur arrêter -> puis dans le menu déroulant "Type de démarrage" choisis "Désactiver". 
L'affichage des messages est un services que certains pirates et autres personnes malintentionnées utilisent afin d'envoyer des messages publicitaires et des "pourriels" sur le réseau Internet. Ils gênent la navigation sur le Web et perturbent les activités en cours.
Si cela est déjà fait, c'est bien, ne touche à rien.

Darckiller · Answer

Oui j'ai vu à au post #112 .

Mais l'a-t-elle fait ?

Rien est moins sur.

C'est vrai que ce topic part dans tous les sens, mais je veux m'investir dans cette éradication.

Encore un HJ:
-Tu fais un scan avec HijackThis.
Pour faire un scan HJTH, il faut : 
télécharger ce programme ( http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download ),
sur cette page choisis le programme : "Download Hijakcthis Installer" (en bleu clair), 
installe le sur ton PC.
Ouvres HJTH en cliquant sur l'icône nouvelle qui apparaît (un détective avec un chapeau rouge),  
cliques sur le bouton "Do a system scan and save a log file",
attends qu'il est fini le scan de ton PC,
une page de texte (généralement le bloc-note) s’ouvrent avec des lignes: c'est ton rapport ; 
copies et colles ce rapport sur un nouveau message. 


-Tu fais un scan en ligne pour identifier les menaces présentes dans ton PC (http://pandasoftware.fr ),
 cliques sur le bouton "Lancer TotalScan !" (vert foncé),
 coches l’option "Full Scan" sous le bouton "Scan Now" (vert foncé),
 cliques sur le bouton "Scan Now",
 installes le Plug-in ou ActiveX demandé au préalable (tu auras peut-être à désactiver ton Antivirus),
copies et colles le rapport obtenu (un page de texte bloc-note).

Le sioux · Answer

Bonsoir tout le monde

Darkiller, je pense que tu devrais t'abstenir, il y a deja beaucoup d'intervenants dans ce sujet , Moé s'occupe d'alalalala , elle est entre de bonnes mains.

--> On a deja un rapport HijackThis et un scan Kaspersky , donc le scan Panda n est pas utile, et on ne va pas lui faire réinstaller HijackThis ...

Merci a Moé pour son ptit message sympa poste 136  ;-)

Bonsoir.

Darckiller · Answer

Ok, comme vous voulez...

Bon courage pour la suite alors

afideg · Answer

Salut  Darckiller,

Il me paraît intéressant de laisser le fil de ce topic à mOe.
Il doit encore "observer" certaines choses sans qu'elles soient perturbées par des actions intermédiaires.
Même l'internaute a besoin d'être rassurée; et doit éviter de lire des choses comme celle-ci : « C'est vrai que ce topic part dans tous les sens, mais je veux m'investir dans cette éradication. »

Je souhaiterais que tu revoies ton post dans ce sens.
Amicalement
Albert

Darckiller · Answer

Oui , bien entendu :) !
Surtout après ce que je viens de lire !!!

ahlalalala · Answer

lol lol lol
Bonjour !!

Bon, alors on se bat pour m 'aider et tout ça sans avoir vu ma photo ?????  (:D )
(je plaisante)

Merci darckiller pour tes précieuses informations concernant l'accès à distance, et l'affichage des messages, je demanderais confirmation avant d'agir. Mais ça me parait interréssant.

Je pense qu'on tient le bon bout (quelle ma-gni-fique expression !!...mouahahaha!)

Je vote pour le message de Afideg et ce qu'il dit sur "l'internaute" y'a beaucoup de vrai là dedans. Et j'ai vraiment l'impression que mon post a été "sur - géré" et la dispersion ça ne donne rien de bon. la preuve :  152 ème message et 4 jours de galères ...
Il suffit de lire les premières réponses et on comprend que je puisse à un moment me sentir perdue, 
et que je chouine un peu ...pardon :)

Par contre, là où je suis contente, c'est que je pense que c'étaient de bonnes intentions, et ça vous pouvez pas imaginer à quel point, en ces temps, ça me fait du bien de redécouvrir un peu le sens du mot "solidarité". Je dirais même fraternité (parce que la liberté et l'égalité toutes seules, c'est bien, mais c'est froid ...)


Je vous remercie très sincèrement ... 


La danse sur le bureau c'est pour bientôt, ...je vais balancer ça sur dailymotruc ... lol ;)

afideg · Answer

Bonjour TLM,

Euh!
À cette durée, il faut ajouter 7 heures, je crois:  ==> Pétage de plomb depuis 7 h
Bonne chance.
Al.

afideg · Answer

Salut DllD,

Oui, j'avais vu depuis le début.
Mais encore une fois, je laisse faire la désinfection.

Je ne parviens pas à comprendre pourquoi certains internautes "laissent portes et fenêtres ouvertes à des inconnus" !!

D'autres viennent crier à l'aide, mais ne lisent pas d'abord la très riche documentation dans "La Base des Connaissances de CCM".

Chacun fait comme il le sent (selon son sens des valeurs).

Dernièrement, je me suis fait remettre à ma place pour avoir conseillé un pare-feu ==> le mec se croyait couvert par son routeur !
Et si tu leur conseilles par exemple KERIO, ANTIVIR, SPYWARE TERMINATOR; ils te font chi.. en rétorquant « et pourquoi pas ça ou ça ? ». En plus, tu leur donnes trois tutoriels, et ils ne savent pas (ou ne veulent pas) les lire et les relire !
D'autre part, si l'internaute "visite" d'autres forums de sécurité, ils recevra d'autres versions prétendues "meilleures".

Donc, notre rôle est d'abord la "Désinfection".
Et selon les rapports avec l'internaute (si le courant passe bien), on peut suggérer l'aspect "Prévention".

Bonne journée
Al.

ahlalalala · Answer

tranquilles les gars faites comme si on était pas là ....:D

Je vais quand même ramener ma sauce ... 

Pour le pare feu je l'ai viré ... perso kerio je le trouve hyper chiant, il refusait absolument tout ce que je voulais "exécuter" ... alors à moins qu'on m'explique comment le régler pour qu'il me gave pas à la moindre navigation ... je veux bien le récup.

Mes "ptits chatons" (surnom débile que j'adore), j'ai spybot et avast ... le "trojan" qui m'a infecté est récent apparemment, donc pas encore reconnu. Avast n'apparait pas dans le HJack parce que par excès de zèle je l'avais désactivé pour faire le rapport. Voili voilo

Sinon, ben rien .. j'avais juste envie d'intervenir ... c'est mon post hein... :D
J'aime bien vos deux messages, ça fait "on discute entre nous mais tout le monde entend" lol .... (je vous taquine hé!!) Sinon, rlisez mon post 152 je remercie même avant la fin :)

Heureusement hallalallalalal nous offrera une danse sur son bureau....;-))),
 ... je verrais ça avec Moe ;) ok?

Apluch' :)

jorginho67 · Answer

Salut !
perso kerio je le trouve hyper chiant, il refusait absolument tout ce que je voulais "exécuter" ... alors à moins qu'on m'explique comment le régler pour qu'il me gave pas à la moindre navigation ... je veux bien le récup.

Pour en revenir à ce que disait Al', ( je ne te critique aucunement ;o))  )
" En plus, tu leur donnes trois tutoriels, et ils ne savent pas (ou ne veulent pas) les lire et les relire ! 

Voilà ...    ;-/     on en lit pas les tutos..... 
tout pare feu digne de se nom, DOIT ETRE PARAMETRE en céant des REGLES....... au début, je te l'accorde, c'est ch...t, mais au fur et à mesure que tu autorise l'accès d'un site, tu auras de moins en moin d'alertes.
J'usqu'a tu n'en ai plus.

https://kerio.probb.fr/t1-tuto-pour-kerio-4-2  lis ceci attentivement, et si tu le sens, re éssaye-le ! C'est un des 2/3 meilleurs parefeux du moment.

Sinon, ill y en a d'autres, mais en attendant, mets  celui de Windows ;o))

@+ 

ps) Heureusement hallalallalalal nous offrera une danse sur son bureau....;-))),
... je verrais ça avec Moe ;) ok? 

pouquoi que avec MOE ? on aimerais voir ça aussi ;o))

ahlalalala · Answer

bon ... sinon à part les leçons de moral ... Racontez des blagues ..à la limite ça me fera patienter :)   (je lis les tutos ... quand on les donne ...oui j'suis une feignasse et alors ?) :D


Moe ... sauves moi ... ils font que chouiner contre moaaa !

(euh pour les blagues , pas de trucs sur les blondes, je suis brune mais solidaire ;)

Bonne soirée

ahlalalala · Answer

lol

moe · Answer

Salut Ahlalalala et salut à toutes celles et ceux qui suivent et participent à ce post :-)

Moe ... sauves moi ... ils font que chouiner contre moaaa ! 
Arff, trop tard pour les blagues et éviter le p'tit côté moraliste, dit t'il le sourire en coin lol..J'ai déjà rédigé et je suis lent...(moi aussi chui solidaire :-P )

Ahlalalala, très sincèrement je pense pas que ton post ait été sur-géré (je déteste ce mot lol), pour ma part en tout cas je n'ai pas eu le sentiment d'en rajouter par rapport à d'habitude et de devoir le faire par rapport à la situation.
Je pense juste qu'à un moment donné quelques personnes ont essayés de se mettre à ta place, la même qu'ils ont occupé peut-être il n'y a pas si longtemps de çà :-) et ont vraiment pris du plaisir à essayer de te dépanner en te voyant continuer malgré tout réagir avec humour et autodérision, çà va pas chercher plus loin que çà lol.
Alors si en plus en bonus il s'avèrait qu'au bout de ces 150 et quelque messages ont ait pu te faire passer en filigrane un p'tit bout (Bah décidément...lol) de notre "passion", te donner l'envie de creuser un peu plus le sujet sécu ou de vouloir en comprendre mieux certains aspects ...Bah, que demande le peuple ?! (des sous, ouais je sais llo, mais c'est pas gagné...).

Sinon comme tu l'auras remarqué la question de la nécessité d'une bonne protection de ton pc, sans tomber dans la parano non 
plus, va se poser vu qu'on arrive au bout de la désinfection, et se pose déjà par certains membresz  et peut-être par toi aussi, donc en prévison ce serait bien si tu pouvais d'abord jeter un oeil ici et prendre le temps de lire ces articles:
http://securite-facile.ovh.org/index.php rubriques "Bases de la sécurité". 
Je trouve que les bases y sont très bien expliquées et à la porté de tout le monde, j'espère surtout qu'ensuite ça permette que tu ne rentre pas dans la catégorie des internautes qui une fois "la peur du virus" passée, désinstallent (cf l'ami Kério) au bout d'une semaine leur protection sous prétexte que ça fait ramer la mule, qu'elle est chiante ou qui ne comprennent pas à quoi elle sert réellement... :-)

Ceci dit on retourne les mains dans le cambouis ? :-)

Exact Ahlalalala le virus est encore dans un point de restauration système, donc inoffensif et inactif, mais le reste du rapport Kaspersky est totalement clean.

Mais avant de t'y attaquer tu vas d'abord désinstaller les scanners en ligne Kaspersky et Bitdefender, car tu n'en a plus besoin.

&#9632; Ouvre le Panneau de configuration et selectionne Ajout/Suppression de programmes.

Dans la liste des programmes installés, recherche :
Kasperky Online scanner
Et lance la désinstallation.

Pour Bitdefender la procédure n'est pas tout à fait pareille mais reste simple:
Ouvre Internet Explorer et vas dans le menu "Outils"
Clic ensuite sur "Uninstall BitDefender Online Scanner v8" pour lancer la désinstallation.

Désinstalles aussi Combofix à y être en allant dans :

Menu démarrer > Exécuter puis copie et colle ceci :
Combofix.exe /u 
Et valide en appuyant sur Ok.
Combofix va se désinstaller et t'avertir du succès de l'opération une fois terminé.

&#9632; Lance Hijackthis et clic sur [Do a system scan only]
Coche la case devant les lignes suivantes:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab 

Valide en cliquant sur le bouton [Fix checked], puis referme hijackthis.

&#9632; La restauration systeme...
Là aussi tu verras, la manip reste très simple pour supprimer les points de sauvegarde infectés :-)
Le fait de désactiver et réactiver la restauration système va détruire tous les points de restauration existant, et donc par la meme occasion, ceux infectés.  

Pour désactiver la restauration systéme. 
Clic droit sur poste de travail > propriétés > onglet Restauration système 
puis coche la case devant "Désactiver la restauration système" ou "Désactiver la restauration système sur tous les lecteurs"
Puis valide ton choix.

Redémarre ton pc et réactive là en faisant l'opération inverse c'est à dire en décochant la case devant "Désactiver la restauration système" ou "Désactiver la restauration système sur tous les lecteurs"
Puis valide à nouveau, et voilà l'affaire est dans le sac :-)

Le système crée à intervalles réguliers des points de sauvegardes mais tu peux en créer toi même un nouveau dès maintenant, ca te permettras d'être sure en cas de besoin de pouvoir utiliser des sauvegardes saines.
 
Demarrer >> executer tape msconfig
et valide.
Clic sur "Executer la restauration systeme"
Puis clic sur "créer un point de restauration".
et laisse toi guider.

Voilà pour ce soir Ahlalalala, ça devrait rouler sans trops de difficultés, je ne te fais pas refaire de scan antivirus de contrôle ou avec AVG antispyware (déjà fait) car sincèrement je ne pense pas que ce soit bien utile de te mobiliser le pc pendant des heures pour quelques points de restauration système.
 
Bah...reste plus qu'à faire péter les watts et faire danser le chat !!, non ? :-)

Pour ma part je ne pourrais pas repasser sur ton post avant deux jours surement et il te reste encore malgré tout des points importants à voir (ou revoir) au niveau des protections de ton pc (je pense surtout au tandem pare-feu/antivirus qui est un minimum) et donc se serait bien si tu pouvais continuer de suivre les conseils du Sioux et/ou Afideg pour la suite, je les en remercie d'ailleurs par avance s'ils acceptent de continuer.

Donc voilà...Si je n'ai pas l'occasion de te recroiser d'ici là, bonne continuation Gwenaelle et merci à toi aussi pour avoir gardé tout au long de ton post humour et autodérision, c'était très agréable et à beaucoup facilité les choses :-)

@++

ps:
Il parait que Dailymotion sature en ce moment, tu es cerné jorginho67 , z'ont ton ip :-)
C'est le chat qui auras le mot de la fin :-P

psbis:
Je viens de m'aperçevoir que j'ai lu ton post 152 en diagonale, zut...désolé !!

jimbob · Answer

salut!: un conseil pour l’avenir
Pour ne attraper de virus pas il ne faut jamais  utiliser XP en mode Administrateur
Windows XP crée un compte Administrateur pendant la procédure d'installation. La plupart des utilisateurs se simplifient la vie, croient-ils, en conservant ce compte pour exploiter leur machine. Un virus, un cheval de Troie ou  une fausse manipulation peut donner le contrôle à un attaquant extérieur qui en tant qu'Administrateur aura alors tous pouvoirs pour supprimer des comptes, changer les mots de passe, installer des logiciels, supprimer les fichiers, etc...
En revanche, si vous utilisez votre machine avec des droits réduits, Utilisateur ou Utilisateur avec pouvoir, les dégâts possibles seront très limités. Je vous conseille donc de créer un utilisateur et d'utiliser ce mode pour travailler. Il suffira de repasser en mode Administrateur le temps nécessaire pour installer de nouveaux logiciels ou pour faire des opérations sur le système. Pour ceux qui ont besoin de repasser souvent en mode Administrateur, il existe une commande Exécuter comme... (en faisant clic droit) qui permet d'exécuter un programme en mode administrateur sans changer de session.

Plus de précision ici :
https://www.figer.com/Publications/xpgroupes.htm

ahlalalala · Answer

Pom pom pom !!!!

Dernières manoeuvres réalisées avec succès ... j'en suis toute émue
Pour finaliser les choses, je me suis mise à Antivir et pour le pare feu, j'ai celui de windows qui fonctionne a priori. Vous me confirmerez si c'est suffisant ou pas. J'ai plus envie de toucher à mon Pc, il m'énerve ... il va nous falloir quelques jours pour nous réconcilier :)

Merci à tous ceux qui de près ou de loin ont contribué à la désinfection de mes fichiers (j'ai jamais dit ça à personne lol)
Merci à tous ...très sincèrement merci !!!
Bon, si j'écris encore que je vous remercie ça fait répétition mais c'est pas grave, on va dire que c'est moi qui beug maintenant :D
J'ai bien lu tous vos conseils sur la sécurité et j'en ai même retenu, que je vais appliquer. 

Portez vous bien 


Gwen

Ps : pour la danse sur le bureau, il faudrait que je le range avant, pis en fait, c'était une carotte hein ... (mdr) vous croyez tout de même pas que je vais me donner en pestacle !! (ouuuuuuuhhhh!! la michante !!)

Plein de bisous à Moe (ouais bon de là où je suis tu vas pas sentir grand chose, mais je les fais super bien ;)     )

ahlalalala · Answer

récapituler ?? 


Mon nouveau pseudo : oulalalala !!!

Utilisateur anonyme · Answer

Coucou, pétage de plomb ?
Bin toi alors....:-)
pour le pare feu, j'ai celui de windows qui fonctionne a priori, encore heureux qu'il fonctionne..
Seul problème il scanne que les données entrantes et puis il vaut rien (presque)...
Essaye : ZA  http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm plus simple d'utilisation. En cas de problème
- Installe le nouveau pare-feu, puis désactive le pare-feu windows.

pour la danse sur le bureau, il faudrait que je le range avant, pis en fait, c'était une carotte hein ... (mdr) vous croyez tout de même pas que je vais me donner en pestacle !! (ouuuuuuuhhhh!! la michante !!) , encore heureux que ça ne marche pas...c'est un forum d'informatique...ici ça interesse personne...;;-))

A+
Dl:-D))

lerevolteur83 · Answer

SLt, oui antivir, et le parfeu windows sont suffisant, c'est ce que j'ai sur mon pc, aucun problème, seulement si tu dois un jour aller en mod sans echec avec prise en charge réseau met en route ton antivir parke moi j'y ai été et en fait j'avais bit defender et me suis pris un trojan (no coment) j'ai dû formatter le dd et reinstaller...

afideg · Answer

Euh!
Encore un qui confond "pare-feu" et antivirus" !
Je me couche.
à+..

ahlalalala · Answer

le sioux mon chou !!!! :D
tu crois que si j'arrête le surf, je résilie mon abonnement adsl 8 méga et que je revends mon ordi je serai protégée de façon sûre ????
 lol 

rrrhha je taquine ... 
en vrai j'ai copié collé ton message et je lis ça petit à petit ... 
C'est vrai que j'ai  bien aimé "mettre les doigts" dans tout ça , mais j'ai pas accès à l'univers informatique (un peu comme les maths) 

mais bon, comme dit Arnold Drumond (philosophe du XXe siècle), "faut de tout pour faire un monde"
 Pis que deviendriez vous, vous" bêtes-de-la-touche"(oui je viens de l'inventer)  si on savait tous se démerder ... :D (rire)

Plein de mercis et de sourires dedans !!!!

lerevolteur83 · Answer

Euh non pas du tout afideg, je sais parfaitement ce qu'est un antivirus et un parfeu, pour ma part j'ai essayé zone alarm mais j'arrivais plus à me co sur msn et pourtant j'avais autorisé le programme, je l'ai desinstallé et j'ai pu me co à msn donc...

Bon voilà dsl pour le hs...

afideg · Answer

Re,
Je te taquinais un peu  ;)
Moi aussi j'ai foutu ZA Pro par la fenêtre.
J'ai Kis7. ==> licence annuelle payante.
Bonne nuit
Al.

lerevolteur83 · Answer

Oki, dac euh dsl si je m'emportais... Mon parfeu windows est très efficace (ya plus efficace mais bon) et je ne souhaite pas le changer...

sur ce bonne nuit à tous..

ahlalalala · Answer

Oh my god !!
j'avais oublié les sourires et les mercis pour Afideg !!!! 
:)

portez vous bien tous !

Pétage de plomb depuis 7 h

132 réponses

Discussions similaires

Newsletters