SVP rapport hijackthis

magma23 Messages postés 35 Statut Membre -  
Le sioux Messages postés 4907 Statut Contributeur sécurité -
Bonjour,
hier un memebre m'a dit d'installer IE7, ce que j'ai fais et je n'avais plus de problème mais depuis ce matin cela re commence, j'ai des fenêtre qui me dise que mon ordinateur ets infecté, des pages web s'ouvrent pour analyser mon pc mais je refuse. Crela fait 3 jours que j'ai ça et je n'arrive pas à m'en débaraser avec spybot,adware, avast 4.

Pouvez vous m'aider car j'en est marre et je dois faire un mémoire et je n'ai pas envie que mon ordinateur plante

Merci

Voici le rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:36:02, on 02/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\lclock.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\108Mbps Wireless LAN Adapter\WLANPRO.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [PD0630 STISvc] RunDLL32.exe P0630Pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AudioHQ] "C:\WINDOWS\system32\audiohq.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [bm] "C:\Program Files\Fichiers communs\MenacesProtection\bm.exe" dm=http://menacesprotection.com ad=http://menacesprotection.com sd=http://ykeeper.menacesprotection.com
O4 - HKLM\..\Run: [ptask] C:\Program Files\MenacesProtection\ptask.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Exstora] "C:\Program Files\Exstora\Exstora.exe"
O4 - HKCU\..\Run: [ucookw] "C:\PROGRA~1\REPARA~1\ucookw.exe" -start
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: 108Mbps Wireless LAN Adapter Configuration Utility.lnk = ?
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Reg.lnk = ?
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Creative PD0630 RunApp Service (PD0630Srv) - Creative Technology Ltd. - C:\WINDOWS\system32\P0630Srv.exe
O23 - Service: Security Service (YFWE) - Unknown owner - C:\WINDOWS\system32\svcd\svchost.exe (file missing)

End of file - 7363 bytes
Configuration: Windows XP
Internet Explorer 7.0
Configuration: Windows XP
Internet Explorer 7.0

38 réponses

  • 1
  • 2
  1. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonjour Magma23

    Probable infection SmitFraud avec plusieurs rogues ... besoin d'un autre rapport avant de passer au nettoyage :

    Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31

    http://siri.urz.free.fr/Fix/SmitfraudFix.zip

    Dézippe le puis

    * Installe le à la racine de C

    Tu crées un nouveau dossier, via clic droit "créer /nouveau dossier que tu nommes SmitfraudFix --> C:\SmitfraudFix

    Regarde un exemple a E ) « Faire un répertoire dédié » https://forum.pcastuces.com/sujet.asp?f=25&s=3902

    Utilisation ----- option 1 - Recherche :
    * Double clique sur smitfraudfix.cmd
    * Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
    * Poste le rapport ici


    process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
    .

    @ suivre.
    0
  2. magma23 Messages postés 35 Statut Membre
     
    Merci énormement de m'aider voici le rapport SmitfraudFix
    SmitFraudFix v2.278

    Rapport fait à 11:33:34,54, 02/02/2008
    Executé à partir de C:\Smitfraudfix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\acs.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\WINDOWS\ATKKBService.exe
    C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
    C:\WINDOWS\system32\RunDLL32.exe
    C:\Program Files\Real\RealPlayer\RealPlay.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\lclock.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\108Mbps Wireless LAN Adapter\WLANPRO.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\MSN Messenger\livecall.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\explorer.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jerome

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jerome\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\jerome\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix.exe by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: 108Mbps High Speed Wireless Network Adapter - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.0.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{94C4437E-25E5-432E-9116-3CA7F942A836}: DhcpNameServer=192.168.0.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{94C4437E-25E5-432E-9116-3CA7F942A836}: DhcpNameServer=192.168.0.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{94C4437E-25E5-432E-9116-3CA7F942A836}: DhcpNameServer=192.168.0.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Merci beaucoup le sioux

    maintenant je fais quoi
    0
  3. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re Hello Magma

    -----------------------------------------------------------------------------------------------------------------------------

    Je vois que tu as crée un doublon http://www.commentcamarche.net/forum/affich 4877887 pb warning spyware rapport hijackthis
    pas bien ...

    Rappel a lire https://www.commentcamarche.net/list 9142 procedure de demande d aide et desinfection nettoyage

    ----------------------------------------------------------------------------------------------------------------------------

    Je suis étonné SmitFraudFix ne les prends pas en compte

    Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
    Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
    Si un élément te paraît obscure, demande des explications avant de commencer la désinfection


    Désactive le résident de Spybot via clic droit dans la barre des taches , décoche Protection d résident et clique sur quitter résident de SpyBot S&D

    1) Désinstallation programmes Néfastes

    * MenacesProtection
    Démarrer / Paramètres /Panneau de config et dans Ajout/Suppression de programme , clique sur la ligne du programme a désinstaller MenacesProtection puis clique sur supprimer et suis les demandes de la boite de dialogue qui s'ouvrira afin d'amener la désinstallation a son terme.
    (s'il ne figure pas dans la liste des programmes va voir dans C:\Program Files\MenacesProtection et cherche un uninstall afin de lancer la désinstallation de ce programme.)

    * Réparateur de PC ou quelque chose qui s'en approche C:\PROGRA~1\REPARA~1
    Démarrer / Paramètres /Panneau de config et dans Ajout/Suppression de programme , clique sur la ligne du programme a désinstaller Réparateur de PC puis clique sur supprimer et suis les demandes de la boite de dialogue qui s'ouvrira afin d'amener la désinstallation a son terme.
    (s'il ne figure pas dans la liste des programmes va voir dans C:\Program Files\Réparateur de PCet cherche un uninstall afin de lancer la désinstallation de ce programme.)

    2) Télécharge OTMoveIt2 (de Old_Timer)

    sur ton Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

    N'y touvhe pas pour le moment.

    3) Lance HijackThis.

    Regarde ici "comment fixer/corriger des lignes via HijackThis " http://pageperso.aol.fr/balltrap34/demohijack.htm

    Ouvre le fichier texte que tu as sauvegardé sur ton Bureau pour pouvoir appliquer la procédure correctement.

    Lance Hijackthis en double cliquant sur son raccourci sur le Bureau.
    Clique sur Scan Only et coche les lignes suivantes :

    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [bm] "C:\Program Files\Fichiers communs\MenacesProtection\bm.exe" dm=http://menacesprotection.com ad=http://menacesprotection.com sd=http://ykeeper.menacesprotection.com
    O4 - HKLM\..\Run: [ptask] C:\Program Files\MenacesProtection\ptask.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
    O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
    O4 - HKCU\..\Run: [ucookw] "C:\PROGRA~1\REPARA~1\ucookw.exe" -start
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
    O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe


    Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.

    Clique sur Fix Checked puis clique sur OK
    Puis ferme HijackThis.

    Si certaines lignes sont absentes, signale les en fin de procédure

    4) OTMoveIt (de Old_Timer)

    Double clique sur OTMoveIt.exe pour le lancer.
    Copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche (de couleur bleu) de OTMoveIt :
    Paste standard List of Files/Folders to be moved.

    C:\Program Files\Fichiers communs\MenacesProtection\bm.exe
    C:\Program Files\Fichiers communs\MenacesProtection
    C:\Program Files\MenacesProtection\ptask.exe
    C:\Program Files\MenacesProtection
    C:\PROGRA~1\REPARA~1\ucookw.exe
    C:\PROGRA~1\REPARA~1

    Clique sur MoveIt! pour lancer la suppression.
    Le résultat apparaîtra dans le cadre Results.
    Clique sur Exit pour fermer.

    Il te sera peut-être demander de faire redémarrer le PC pour achever la suppression.
    si c'est le cas accepte par Yes.


    5) Rapports

    Fais redémarrer ton PC et poste

    * Un nouveau rapport HijackThis

    * Le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)
    @ suivre
    0
  4. magma23 Messages postés 35 Statut Membre
     
    merci beaucoup j'essaie cela tout de suite

    atout à l'heure merci beaucoup le sioux
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    Avec plaisir Magma. Bon courage. Ce n'est qu'un début, on aura du boulot encore par la suite.

    A toute
    0
  7. magma23 Messages postés 35 Statut Membre
     
    slut
    je n'ai pas réussi à désinstaller menaces protection et reparateur je ne les est pas trouver
    Deplus avecotmovelt2 il ne pas trouver les fichiers

    merci beaucoup de m'iader

    voici le rapport de hijackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:44:00, on 02/02/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0013)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\acs.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\WINDOWS\ATKKBService.exe
    C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
    C:\WINDOWS\system32\RunDLL32.exe
    C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\lclock.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
    R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
    O4 - HKLM\..\Run: [PD0630 STISvc] RunDLL32.exe P0630Pin.dll,RunDLL32EP 513
    O4 - HKLM\..\Run: [AudioHQ] "C:\WINDOWS\system32\audiohq.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [LClock] lclock.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
    O4 - Global Startup: 108Mbps Wireless LAN Adapter Configuration Utility.lnk = ?
    O4 - Global Startup: Reg.lnk = ?
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Creative PD0630 RunApp Service (PD0630Srv) - Creative Technology Ltd. - C:\WINDOWS\system32\P0630Srv.exe
    O23 - Service: Security Service (YFWE) - Unknown owner - C:\WINDOWS\system32\svcd\svchost.exe (file missing)
    0
  8. magma23 Messages postés 35 Statut Membre
     
    aider moi s'il vous plait

    merci beaucoup
    0
  9. magma23 Messages postés 35 Statut Membre
     
    est ce que quelqu'un peut m'aider s'il vouzs plait

    merci
    0
  10. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    Magma, j'ai commencé a t'aider, tu n'as pas besoin d'appeler au secours, comme tout les helpers français, je suis bénévole mais je ne suis pas toujours devant mon PC.
    Je ne te lâcherai pas avant la fin, et j'espère que toi non plus.

    Je regarde ton rapport et dis pour la suite. Mais il manque :

    Le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)

    @ suivre.
    0
  11. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
    Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
    Si un élément te paraît obscure, demande des explications avant de commencer la désinfection


    (Note: tu n'auras pas accès à Internet à partir du moment ou te redémarreras en mode sans échec)

    Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
    Si un élément te paraît obscur, demande des explications avant de commencer la désinfection</gras>

    1) Redémarre en mode sans échec

    Regarde ici si besoin avant ici : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm
    Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
    Sélectionner "Mode sans échec" et appuie sur [Entrée]
    Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

    Ouvre le fichier HTLM sauvegardé sur le Bureau afin de suivre les instructions comme il faut.

    2) Suppression service néfaste

    Lance HijackThis.

    Ferme toutes les autres fenêtres, tous les autres programmes.

    Clique surOpen the Misc Tools section puis clique sur Delete an NT service colle YFWE dans la fenêtre qui vient de s'ouvrir confirme la suppression par OK, a la question posée "are you sure .." confirme a nouveau.
    Ferme HijackThis..

    3) Re-lance HijackThis.

    Lance Hijackthis en double cliquant sur son raccourci sur le Bureau.
    Clique sur Scan Only et coche les lignes suivantes :

    O4 - HKLM\..\Run: [AudioHQ] "C:\WINDOWS\system32\audiohq.exe

    Ferme toutes les autres fenêtres, tous les autres programmes.
    Clique sur Fix Checked puis clique sur OK
    Puis ferme hijackthis.

    Si la ligne est absente, signale le en fin de procédure

    4) OTMoveIt (de Old_Timer)

    Double clique sur OTMoveIt.exe sur ton Bureau pour le lancer.
    Copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche (de couleur bleu) de OTMoveIt :
    Paste standard List of Files/Folders to be moved.

    C:\WINDOWS\system32\svcd\svchost.exe
    C:\WINDOWS\system32\audiohq.exe

    Clique sur MoveIt! pour lancer la suppression.
    Le résultat apparaîtra dans le cadre Results.
    Clique sur Exit pour fermer.

    Il te sera peut-être demander de faire redémarrer le PC pour achever la suppression.
    si c'est le cas accepte par Yes.


    5) Rapports

    Fais redémarrer ton PC en mode normal puis poste en réponse :

    * Le rapport d’OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)
    * Un nouveau rapport HijackThis.

    Dis moi si tu constates des améliorations.

    @ suivre
    0
  12. magma23 Messages postés 35 Statut Membre
     
    excuse moi le sioux je ne sais pas trop comment ça fonctionne se site et je pensais que tu m'avais lâcher. Je suis content que tu m'aide et que tu ne vas pas me lacher cela me rassure beaucoup. Je te remercie énormement .

    J'ai quelques questions avnt de commencer :

    1 Je n'arrive pas à trouver le rapport malgrés ton chemin C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log
    je n'ai que le point exe sur mon bureau et rien dans C:

    2 je n'arrive pas à memmettre en mode sans échec quand je le selectionne aprés avoir fait F8 il redemarre et si je recommence idem
    Faut -il que desactive la restauration système si je veux redemarrer en mode sans echec

    Merci beaucoup pour tes conseils

    Atout à l'heure désormais je serais patient encore merci

    J'attends ta réponse pour commencer ce que tu m'a mis dans le post précédent
    0
  13. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    Tu n'as pas de dossier C:\_OTMoveIt\MovedFiles ? as tu eu un message d'OTMoveIt quand tu t'en ai servi et si oui lequel ? qu'as tu vu marqué dans le cadre de gauche, après avoir cliqué sur MoveIt ?
    Pour le mode sans échec , essaye avec F5 ...

    @ suivre
    0
  14. magma23 Messages postés 35 Statut Membre
     
    oui j'ai eu un message me disant que les fichiers n'étaient pas trouver
    avec F cela me fait la meme chose je n'arrive pas à demarrer en mode sans échec

    encore merci

    a tout de suite
    0
  15. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    Essaye de faire la manip en mode normal.

    Vérifie ensuite que

    C:\Program Files\Fichiers communs\MenacesProtection
    C:\Program Files\MenacesProtection
    C:\PROGRA~1\REPARA~1

    est bien été supprimés, de même pour C:\WINDOWS\system32\svcd\svchost.exe et
    C:\WINDOWS\system32\audiohq.exe

    Pour ces deux derniers tu dois avoir accés aux fichiers et dossiers cachés
    Aide toi de B ) ici https://forum.pcastuces.com/sujet.asp?f=25&s=3902 si besoin

    @ suivre.
    0
  16. magma23 Messages postés 35 Statut Membre
     
    Voilà la réponse que j'aia avec OTMoveIt\

    File/Folder C:\Program Files\Fichiers communs\MenacesProtection not found.
    File/Folder C:\Program Files\MenacesProtection not found.
    File/Folder C:\PROGRA~1\REPARA~1 not found.
    File/Folder not found.
    OTMoveIt2 v1.0.17 log created on 02022008_155100

    il n'ya que le dossier svcd mais aucun fichier à l'interieur

    je n'est pas de fichier audihq;exe mais un fichier auditusr.exe

    merci encore

    je fais quoi maintenant merci pour ta patience
    0
  17. magma23 Messages postés 35 Statut Membre
     
    apparement je n'ai plus les fichiers je viens de vérifier

    merci beaucoup

    je fais quoi maintenant je continue ce que tu m'a demandé au post de 14h45

    de toute manière je ne fais sans ta réponse

    a tout à l'heure merci encore
    0
  18. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    Yes, tu fais cela http://www.commentcamarche.net/forum/affich 4878863 svp rapport hijackthis#10 post 10

    Mais essaye cela avant pour réparer le mode sans échec :

    Télécharge ce fichier (clic droit et Enregistrer sous) : Safeboot.reg http://www.malekal.com/download/SafeBoot.reg

    Met le sur ton Bureau et double clique dessus. Accepte l'inscription des données.

    Normalement tu devrais pouvoir accéder au mode sans échec. En ce cas fait la manip en mode sans échec, sinon, fais la en mode normal.

    @ suivre
    0
  19. magma23 Messages postés 35 Statut Membre
     
    bonjour,

    désolé de revenir que maintenant mais je n'étais pas chez moi.
    J'ai réussi à redemarrer en mode sans echec
    mais j'ai un problème pour réaliser cette tâche :
    Clique surOpen the Misc Tools section puis clique sur Delete an NT service colle YFWE dans la fenêtre qui vient de s'ouvrir confirme la suppression par OK, a la question posée "are you sure .." confirme a nouveau.
    Ferme HijackThis..

    Quand je fais OK j'ai ce message d'erreur " the service YFWE is enabled and/or runny disable first using hijacthis itself from the scan.......

    donc je ne peux continuer la procédue
    quel est le problème

    Je te remercie beaucoup de ta patience mon cher sioux

    a tout à l'heure

    merci
    0
  20. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonjour Magma

    Erreur de ma part, le service n'a pas été arrêté avant suppression , je pensais qu'il ne serait pas en activé en mode sans échec donc

    * Lance Hijackthis en double cliquant sur son raccourci sur le Bureau.
    Clique sur Scan Only et coche les lignes suivantes :


    O23 - Service: Security Service (YFWE) - Unknown owner - C:\WINDOWS\system32\svcd\svchost.exe (file missing)


    Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.

    Clique sur Fix Checked puis clique sur OK
    Puis ferme HijackThis

    puis après

    * Relance HijackThis

    Clique surOpen the Misc Tools section puis clique sur Delete an NT service colle YFWE dans la fenêtre qui vient de s'ouvrir confirme la suppression par OK, a la question posée "are you sure .." confirme a nouveau.
    Ferme HijackThis..

    Dis moi ce que cela donne

    @ suivre
    0
  21. magma23 Messages postés 35 Statut Membre
     
    excuse moi mais je fais ça en mode sans echec ou non

    merci pour ton soutient
    0
  • 1
  • 2