Sujet Précédent Sujet Suivant

Message

Fermé
thugjohn21 Messages postés 18 Date d'inscription dimanche 10 février 2008 Statut Membre Dernière intervention 16 février 2008 - 10 févr. 2008 à 23:22
 quecg2 - 18 févr. 2008 à 14:22
Bonjour,
j'ai un message "alerte system" sur mon pc, sur la barre des tâches. j'ai fait un scan online sur le site bitdefender.com; j'ai aussi fait des analyses antivirus ainsi un scan avec avg spyware, idem. ensuite j'ai tenté de supprimer des programmes malveillants avec ccleaner, cela n'a rien changé. en me balladant sur les forums, j'ai vu qu'il était possible de remédier au souci en passant par un rapport de hijackthis. merci de me filer un coup de main.

le rapport du scan est le suivant:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:37:31, on 10/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Acer\Empowering Technology\eLock\LockServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\NetProject\sbmntr.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\NetProject\sbsm.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Documents and Settings\Emilie Sonnet\Bureau\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://resultsmaster.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} - C:\Program Files\NetProject\sbmdl.dll
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-ABCD-7DD20B862223} - C:\Program Files\Helper\1202611260.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Web Application - {81705D67-3F73-4983-859B-97D0922E5ABE} - C:\Program Files\NetProject\wamdl.dll (file missing)
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Le Petit Robert Hyperappel] C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [online poll] C:\DOCUME~1\EMILIE~1\APPLIC~1\SOAPSH~1\MoreSoftType.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/25.23/uploader2.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FE20F16-A518-43DD-A1E3-A42681516425}: NameServer = 193.252.19.3,193.252.19.4
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O22 - SharedTaskScheduler: didact - {747e1fbe-b70f-441d-bbca-6e536c04924a} - C:\WINDOWS\system32\wuuawkz.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LockServ - Unknown owner - C:\Acer\Empowering Technology\eLock\LockServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
End of file - 9930 bytes
A voir également:

18 réponses

Réponse 1 / 18
Utilisateur anonyme
10 févr. 2008 à 23:33
donne + de précision sur le message "alerte system" STP
0
Réponse 2 / 18
thugjohn21 Messages postés 18 Date d'inscription dimanche 10 février 2008 Statut Membre Dernière intervention 16 février 2008
10 févr. 2008 à 23:48
le message s'affiche dans une bulle sur la barre des tâches avec un triangle jaune: " sytem has detected a number of acive spyware applications that may impact the performance of your computer. click to this icone to get rid of unwanted spyware by downloading an up-to-date antispyware solution. merci
0
Réponse 3 / 18
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
11 févr. 2008 à 00:17
Evite de créer plusieurs messages comme celui ci:
http://www.commentcamarche.net/forum/affich 4982695 message intempestif alert system#dernier

Tu n'es pas le seul....et si on désinfecte 30 fois la même chose, c'est une perte de temps considérable.

Merci de ta compréhension.
0
Réponse 4 / 18
thugjohn21 Messages postés 18 Date d'inscription dimanche 10 février 2008 Statut Membre Dernière intervention 16 février 2008
11 févr. 2008 à 00:24
dsolé, je pensais que j'étais sur le même message. ok j'attends alors. merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
11 févr. 2008 à 10:44
Pas grave.

Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Exécute le Smitfraudfix.exe et choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

A+
0
Réponse 6 / 18
thugjohn21 Messages postés 18 Date d'inscription dimanche 10 février 2008 Statut Membre Dernière intervention 16 février 2008
11 févr. 2008 à 17:29
bonjour, tu trouveras ci-dessus le rapport de scan smitfraud. merci

SmitFraudFix v2.287

Rapport fait à 17:26:17,70, 11/02/2008
Executé à partir de C:\Documents and Settings\Emilie Sonnet\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Acer\Empowering Technology\eLock\LockServ.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\wuuawkz.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Emilie Sonnet


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Emilie Sonnet\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\EMILIE~1\FAVORIS

C:\DOCUME~1\EMILIE~1\FAVORIS\Online Security Test.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{747e1fbe-b70f-441d-bbca-6e536c04924a}"="didact"

[HKEY_CLASSES_ROOT\CLSID\{747e1fbe-b70f-441d-bbca-6e536c04924a}\InProcServer32]
@="C:\WINDOWS\system32\wuuawkz.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{747e1fbe-b70f-441d-bbca-6e536c04924a}\InProcServer32]
@="C:\WINDOWS\system32\wuuawkz.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 193.252.19.3
DNS Server Search Order: 193.252.19.4

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0FE20F16-A518-43DD-A1E3-A42681516425}: NameServer=193.252.19.3,193.252.19.4
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0FE20F16-A518-43DD-A1E3-A42681516425}: NameServer=193.252.19.3,193.252.19.4
HKLM\SYSTEM\CS2\Services\Tcpip\..\{0FE20F16-A518-43DD-A1E3-A42681516425}: NameServer=193.252.19.3,193.252.19.4


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 7 / 18
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
11 févr. 2008 à 18:47
Re,

Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

A+
0
Réponse 8 / 18
thugjohn21 Messages postés 18 Date d'inscription dimanche 10 février 2008 Statut Membre Dernière intervention 16 février 2008
12 févr. 2008 à 14:26
bonjour,
j'ai suivi tes dernières instructions et le problème est résolu: je n'ai plus le message d'alerte. je te remercie pour ton aide. je te fais un copier / coller du rapport comme convenu.

SmitFraudFix v2.287

Rapport fait à 14:14:00,92, 12/02/2008
Executé à partir de C:\Documents and Settings\Emilie Sonnet\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{747e1fbe-b70f-441d-bbca-6e536c04924a}"="didact"

[HKEY_CLASSES_ROOT\CLSID\{747e1fbe-b70f-441d-bbca-6e536c04924a}\InProcServer32]
@="C:\WINDOWS\system32\wuuawkz.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{747e1fbe-b70f-441d-bbca-6e536c04924a}\InProcServer32]
@="C:\WINDOWS\system32\wuuawkz.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 bin.errorprotector.com ## added by CiD
127.0.0.1 br.errorsafe.com ## added by CiD
127.0.0.1 br.winantivirus.com ## added by CiD
127.0.0.1 br.winfixer.com ## added by CiD
127.0.0.1 cdn.drivecleaner.com ## added by CiD
127.0.0.1 cdn.errorsafe.com ## added by CiD
127.0.0.1 cdn.winsoftware.com ## added by CiD
127.0.0.1 de.errorsafe.com ## added by CiD
127.0.0.1 de.winantivirus.com ## added by CiD
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
127.0.0.1 download.cdn.errorsafe.com ## added by CiD
127.0.0.1 download.cdn.winsoftware.com ## added by CiD
127.0.0.1 download.errorsafe.com ## added by CiD
127.0.0.1 download.systemdoctor.com ## added by CiD
127.0.0.1 download.winantispyware.com ## added by CiD
127.0.0.1 download.windrivecleaner.com ## added by CiD
127.0.0.1 download.winfixer.com ## added by CiD
127.0.0.1 drivecleaner.com ## added by CiD
127.0.0.1 dynamique.drivecleaner.com ## added by CiD
127.0.0.1 errorprotector.com ## added by CiD
127.0.0.1 errorsafe.com ## added by CiD
127.0.0.1 es.winantivirus.com ## added by CiD
127.0.0.1 fr.winantivirus.com ## added by CiD
127.0.0.1 fr.winfixer.com ## added by CiD
127.0.0.1 go.drivecleaner.com ## added by CiD
127.0.0.1 go.errorsafe.com ## added by CiD
127.0.0.1 go.winantispyware.com ## added by CiD
127.0.0.1 go.winantivirus.com ## added by CiD
127.0.0.1 hk.winantivirus.com ## added by CiD
127.0.0.1 instlog.errorsafe.com ## added by CiD
127.0.0.1 instlog.winantivirus.com ## added by CiD
127.0.0.1 instlog.winfixer.com ## added by CiD
127.0.0.1 jsp.drivecleaner.com ## added by CiD
127.0.0.1 kb.errorsafe.com ## added by CiD
127.0.0.1 kb.winantivirus.com ## added by CiD
127.0.0.1 nl.errorsafe.com ## added by CiD
127.0.0.1 se.errorsafe.com ## added by CiD
127.0.0.1 secure.drivecleaner.com ## added by CiD
127.0.0.1 secure.errorsafe.com ## added by CiD
127.0.0.1 secure.winantispam.com ## added by CiD
127.0.0.1 secure.winantispy.com ## added by CiD
127.0.0.1 secure.winantivirus.com ## added by CiD
127.0.0.1 support.winantivirus.com ## added by CiD
127.0.0.1 trial.updates.winsoftware.com ## added by CiD
127.0.0.1 ulog.winantivirus.com ## added by CiD
127.0.0.1 utils.errorsafe.com ## added by CiD
127.0.0.1 utils.winantivirus.com ## added by CiD
127.0.0.1 utils.winfixer.com ## added by CiD
127.0.0.1 winantispyware.com ## added by CiD
127.0.0.1 winantivirus.com ## added by CiD
127.0.0.1 winfixer.com ## added by CiD
127.0.0.1 winfixer2006.com ## added by CiD
127.0.0.1 winsoftware.com ## added by CiD
127.0.0.1 www.drivecleaner.com ## added by CiD
127.0.0.1 www.errorprotector.com ## added by CiD
127.0.0.1 www.errorsafe.com ## added by CiD
127.0.0.1 www.systemdoctor.com ## added by CiD
127.0.0.1 www.utils.winfixer.com ## added by CiD
127.0.0.1 www.win-anti-virus-pro.com ## added by CiD
127.0.0.1 www.win-virus-pro.com ## added by CiD
127.0.0.1 www.winantispam.com ## added by CiD
127.0.0.1 www.winantispy.com ## added by CiD
127.0.0.1 www.winantispyware.com ## added by CiD
127.0.0.1 www.winantivirus.com ## added by CiD
127.0.0.1 www.winantiviruspro.com ## added by CiD
127.0.0.1 www.windrivecleaner.com ## added by CiD
127.0.0.1 www.windrivesafe.com ## added by CiD
127.0.0.1 www.winfixer.com ## added by CiD
127.0.0.1 www.winfixer2006.com ## added by CiD
127.0.0.1 www.winsoftware.com ## added by CiD

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\wuuawkz.dll -> Hoax.Win32.Renos.gen.o
C:\WINDOWS\system32\wuuawkz.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\DOCUME~1\EMILIE~1\FAVORIS\Online Security Test.url supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0FE20F16-A518-43DD-A1E3-A42681516425}: NameServer=193.252.19.3,193.252.19.4
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0FE20F16-A518-43DD-A1E3-A42681516425}: NameServer=193.252.19.3,193.252.19.4
HKLM\SYSTEM\CS2\Services\Tcpip\..\{0FE20F16-A518-43DD-A1E3-A42681516425}: NameServer=193.252.19.3,193.252.19.4


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 9 / 18
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
12 févr. 2008 à 17:22
Ok

Tout n'est pas clean.

Remet un nouvel HijackThis.

A+
0
Réponse 10 / 18
katemouse
12 févr. 2008 à 17:49
Bonjour,


J'ai effectué un scann avec spybot et j'ai maintenant un message, il a décelé qu'un élément important du registre a été modifié:

SYSTEM STARTUP GLOBAL ENTRY
MODIF VALEUR AJOUTEE
ELEMENT WEXTRACT_CLEANUP0
NOUVELLE VALEUR rundll32.exC\WINDOWS\SYSTEM32\ADVPAO

2 options : autoriser la modification ou refuser


Que faire?????

Merci d'avance

Configuration: Windows XP
Firefox 2.0.0.12
0
Réponse 11 / 18
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
12 févr. 2008 à 21:47
Reste sur ton poste et ne squatte pas ceux des autres.

A+
0
Réponse 12 / 18
thugjohn21 Messages postés 18 Date d'inscription dimanche 10 février 2008 Statut Membre Dernière intervention 16 février 2008
13 févr. 2008 à 19:18
bonjour,
voici le rapport hijackthis. a+

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:16:27, on 13/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Acer\Empowering Technology\eLock\LockServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Emilie Sonnet\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Le Petit Robert Hyperappel] C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [online poll] C:\DOCUME~1\EMILIE~1\APPLIC~1\SOAPSH~1\MoreSoftType.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [EPSON Stylus Photo RX560 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBPE.EXE /FU "C:\DOCUME~1\EMILIE~1\LOCALS~1\Temp\E_SAD.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15-3.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/25.23/uploader2.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FE20F16-A518-43DD-A1E3-A42681516425}: NameServer = 193.252.19.3,193.252.19.4
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LockServ - Unknown owner - C:\Acer\Empowering Technology\eLock\LockServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 13 / 18
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
13 févr. 2008 à 20:42
Ok, Il y a des belles bébêtes ....

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Copie/colle un nouveau rapport HiJackThis avec.
0
Réponse 14 / 18
thugjohn21 Messages postés 18 Date d'inscription dimanche 10 février 2008 Statut Membre Dernière intervention 16 février 2008
15 févr. 2008 à 01:32
bonjour,

j'ai téléchargé combofix à l'adresse que tu m'a indiqué, mais il ne me pose pas de question; il m'affiche une fenêtre dos et il ne me pose pas de question et il se plante. en gros il ne lance pas de scan. tu peux me dire ce que je peux faire? merci
0
Réponse 15 / 18
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
15 févr. 2008 à 13:47
ok

Télécharge LopxpMH sur ton Bureau.

http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.

Poste le contenu du rapport qui va s'ouvrir.

0
Réponse 16 / 18
thugjohn21 Messages postés 18 Date d'inscription dimanche 10 février 2008 Statut Membre Dernière intervention 16 février 2008
15 févr. 2008 à 22:41
bonjour,

voici le rapport:

Rapport lopxpMH2 version 2.0 fait à 22:36:53.29 le 2008-02-15
C:\Documents and Settings\Emilie Sonnet\Bureau\lopxpMH2

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 0554-E24B

Répertoire de C:\Documents and Settings\Default User\Application Data

2006-11-24 07:34 <REP> .
2006-11-24 07:34 <REP> ..
2006-12-17 04:28 <REP> Identities
2005-04-15 14:36 <REP> Microsoft
2005-04-15 14:36 62 desktop.ini
1 fichier(s) 62 octets
4 Rép(s) 36,572,987,392 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 0554-E24B

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

2006-11-24 07:34 <REP> .
2006-11-24 07:34 <REP> ..
2006-12-17 04:28 <REP> ApplicationHistory
2005-04-15 14:47 <REP> Microsoft
2006-12-17 04:28 137 fusioncache.dat
2006-12-17 04:28 35,008 GDIPFONTCACHEV1.DAT
2006-12-17 04:28 2,109,288 IconCache.db
3 fichier(s) 2,144,433 octets
4 Rép(s) 36,572,987,392 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 0554-E24B

Répertoire de C:\Documents and Settings\All Users\Application Data

2006-11-24 07:34 <REP> .
2006-11-24 07:34 <REP> ..
2006-08-30 20:41 <REP> Adobe
2007-02-08 17:32 <REP> Apple Computer
2008-01-27 01:22 <REP> AVS4YOU
2007-12-30 22:18 <REP> Cast ping base frag
2006-12-17 05:06 <REP> CyberLink
2007-10-28 22:02 <REP> EPSON
2007-09-14 18:27 <REP> Google
2008-02-10 19:48 <REP> Grisoft
2007-11-22 22:50 <REP> Messenger Plus!
2005-04-15 14:36 <REP> Microsoft
2007-11-27 16:05 <REP> nView_Profiles
2007-07-31 21:49 <REP> OFFICE One v7
2007-12-05 01:15 <REP> Otto
2007-11-05 17:52 <REP> Sony Ericsson
2006-08-30 20:50 <REP> Symantec
2007-11-05 17:51 <REP> Teleca
2007-11-30 19:34 <REP> TEMP
2006-12-17 13:08 <REP> Windows Genuine Advantage
2006-12-22 23:38 <REP> Windows Live Toolbar
2007-12-12 22:26 <REP> WLInstaller
2006-12-17 04:54 <REP> Yahoo! Companion
2005-04-15 14:36 62 desktop.ini
2007-02-09 17:50 1,755 QTSBandwidthCache
2 fichier(s) 1,817 octets
23 Rép(s) 36,572,987,392 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 0554-E24B

Répertoire de C:\Documents and Settings\NetworkService\Application Data

2006-11-24 07:35 <REP> .
2006-11-24 07:35 <REP> ..
2005-04-15 14:36 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 36,572,987,392 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 0554-E24B

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

2006-11-24 07:35 <REP> .
2006-11-24 07:35 <REP> ..
2005-04-15 14:52 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 36,572,987,392 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 0554-E24B

Répertoire de C:\Documents and Settings\LocalService\Application Data

2006-11-24 07:35 <REP> .
2006-11-24 07:35 <REP> ..
2005-04-15 14:36 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 36,572,987,392 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 0554-E24B

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

2006-11-24 07:35 <REP> .
2006-11-24 07:35 <REP> ..
2005-04-15 14:52 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 36,572,987,392 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 0554-E24B

Répertoire de C:\Documents and Settings\Administrateur\Application Data

2006-11-24 07:35 <REP> .
2006-11-24 07:35 <REP> ..
2005-04-15 14:55 <REP> Identities
2005-04-15 14:36 <REP> Microsoft
2005-04-15 14:36 62 desktop.ini
1 fichier(s) 62 octets
4 Rép(s) 36,572,987,392 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 0554-E24B

Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

2006-11-24 07:35 <REP> .
2006-11-24 07:35 <REP> ..
2006-08-30 20:46 <REP> ApplicationHistory
2005-04-15 14:47 <REP> Microsoft
2006-08-30 20:46 137 fusioncache.dat
2006-08-31 08:10 8,224 GDIPFONTCACHEV1.DAT
2006-09-06 13:26 2,109,288 IconCache.db
3 fichier(s) 2,117,649 octets
4 Rép(s) 36,572,987,392 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 0554-E24B

Répertoire de C:\Documents and Settings\Emilie Sonnet\Application Data

2006-12-17 04:29 <REP> .
2006-12-17 04:29 <REP> ..
2006-12-16 23:25 <REP> Adobe
2006-12-17 02:31 <REP> AdobeUM
2007-02-08 17:33 <REP> Apple Computer
2006-12-21 23:26 <REP> CyberLink
2007-11-15 13:14 <REP> Google
2008-02-10 19:48 <REP> Grisoft
2006-12-17 04:29 <REP> Identities
2007-11-12 19:36 <REP> LimeWire
2006-12-17 04:31 <REP> Macromedia
2006-12-17 04:29 <REP> Microsoft
2007-06-21 13:33 <REP> Mozilla
2007-11-12 20:04 <REP> MSNInstaller
2007-10-25 22:24 <REP> OpenOffice.org2
2007-12-05 01:15 <REP> Otto
2007-02-08 02:14 <REP> Skype
2007-12-30 22:18 <REP> soap shim cast
2007-11-05 17:54 <REP> Sony Ericsson
2007-11-28 17:24 <REP> Sun
2007-06-21 13:33 <REP> Talkback
2007-11-05 17:55 <REP> Teleca
2008-02-11 05:16 <REP> Uniblue
2007-03-22 23:09 <REP> vlc
2006-12-17 04:29 62 desktop.ini
1 fichier(s) 62 octets
24 Rép(s) 36,572,987,392 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 0554-E24B

Répertoire de C:\Documents and Settings\Emilie Sonnet\Local Settings\Application Data

2006-12-17 04:29 <REP> .
2006-12-17 04:29 <REP> ..
2006-12-16 23:25 <REP> Adobe
2007-02-08 17:33 <REP> Apple Computer
2006-12-17 04:29 <REP> ApplicationHistory
2007-09-14 18:27 <REP> Google
2007-01-11 22:03 <REP> Identities
2006-12-17 04:29 <REP> Microsoft
2008-01-07 19:06 <REP> Mon Livre Photo by CeWe
2007-06-21 13:33 <REP> Mozilla
2007-11-05 17:58 <REP> Sony Ericsson
2007-11-02 22:09 <REP> WMTools Downloaded Files
2006-12-27 23:29 79,360 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2006-12-17 04:29 136 fusioncache.dat
2006-12-17 04:29 8,224 GDIPFONTCACHEV1.DAT
2006-12-17 04:29 4,991,462 IconCache.db
4 fichier(s) 5,079,182 octets
12 Rép(s) 36,572,987,392 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 0554-E24B

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

2006-11-24 07:31 <REP> .
2006-11-24 07:31 <REP> ..
2006-12-17 04:28 <REP> Identities
2005-04-15 14:36 <REP> Microsoft
2006-12-17 04:28 <REP> Symantec
2005-04-15 14:36 62 desktop.ini
1 fichier(s) 62 octets
5 Rép(s) 36,572,987,392 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 0554-E24B

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

2006-11-24 07:31 <REP> .
2006-11-24 07:31 <REP> ..
2006-12-17 04:28 <REP> ApplicationHistory
2005-04-15 14:47 <REP> Microsoft
2006-12-17 04:28 137 fusioncache.dat
2006-12-17 04:28 35,008 GDIPFONTCACHEV1.DAT
2006-12-17 04:28 2,109,288 IconCache.db
3 fichier(s) 2,144,433 octets
4 Rép(s) 36,572,987,392 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks


C:\WINDOWS\Tasks\Vérifier
Vérifier inexploitable


C:\WINDOWS\Tasks\B3777FBB9184ED7F.job
 Lیק!2E£ä.Æž¬`[F è <
s  "€!Ø     8 c : \ d o c u m e ~ 1 \ e m i l i e ~ 1 \ a p p l i c ~ 1 \ s o a p s h ~ 1 \ B o d y A m e n S i z e . e x e  E m i l i e S o n n e t   0 Î   <  
******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 0554-E24B

Répertoire de C:\Program Files

2006-11-24 07:35 <REP> .
2006-11-24 07:35 <REP> ..
2006-08-30 20:40 <REP> Acer Inc
2006-08-30 20:41 <REP> Adobe
2007-11-22 22:49 <REP> Adverts
2007-11-21 22:40 <REP> Alwil Software
2008-01-27 01:20 <REP> AVS4YOU
2007-11-19 21:00 <REP> AxBx
2008-02-10 20:04 <REP> CCleaner
2007-12-30 22:18 <REP> Circle Developement
2005-04-15 14:42 <REP> ComPlus Applications
2006-08-30 20:35 <REP> CONEXANT
2006-12-17 04:31 <REP> CyberLink
2008-02-06 01:11 <REP> Dictionnaire
2006-08-30 20:30 <REP> DIFX
2007-11-05 17:56 <REP> Disc2Phone
2007-10-28 22:07 <REP> epson
2005-04-15 14:37 <REP> Fichiers communs
2006-08-31 08:23 <REP> GemMasterFrench
2007-11-30 19:34 <REP> GetData
2007-11-13 21:51 <REP> Google
2008-02-10 19:48 <REP> Grisoft
2005-04-15 14:44 <REP> Internet Explorer
2007-02-08 17:33 <REP> iPod
2007-02-08 17:33 <REP> iTunes
2007-11-12 19:35 <REP> Java
2006-12-17 04:34 <REP> Launch Manager
2008-01-26 14:45 <REP> Le Robert
2006-12-30 14:25 <REP> Logitech
2005-04-15 14:41 <REP> Messenger
2007-10-28 14:31 <REP> Messenger Plus! Live
2005-04-15 14:47 <REP> microsoft frontpage
2006-12-17 19:20 <REP> Microsoft Office
2007-12-12 22:35 <REP> Microsoft SQL Server Compact Edition
2006-12-17 19:23 <REP> Microsoft Visual Studio
2006-12-17 19:23 <REP> Microsoft Works
2006-12-17 19:20 <REP> Microsoft.NET
2005-04-15 14:41 <REP> Movie Maker
2007-06-21 13:33 <REP> Mozilla Firefox
2005-04-15 14:41 <REP> MSN
2005-04-15 14:41 <REP> MSN Gaming Zone
2006-12-22 23:05 <REP> MSN Messenger
2007-01-01 22:31 <REP> MSXML 4.0
2008-02-10 19:02 <REP> Navilog1
2005-04-15 14:44 <REP> NetMeeting
2006-08-30 20:39 <REP> NewTech Infosystems
2005-04-15 14:42 <REP> Online Services
2007-10-25 22:22 <REP> OpenOffice.org 2.0
2008-01-25 22:28 <REP> OpenOffice.org 2.3
2005-04-15 14:44 <REP> Outlook Express
2007-02-08 17:29 <REP> QuickTime
2006-08-30 20:34 <REP> Realtek
2005-04-15 14:45 <REP> Services en ligne
2007-02-08 02:14 <REP> Skype
2008-01-17 14:50 <REP> soap shim cast
2007-11-05 17:51 <REP> Sony Ericsson
2006-08-30 20:35 <REP> Synaptics
2008-02-10 20:48 <REP> Trend Micro
2007-03-22 23:09 <REP> VideoLAN
2007-11-22 22:49 <REP> Windows Live
2007-11-23 18:23 <REP> Windows Live Favorites
2007-11-23 18:27 <REP> Windows Live Safety Center
2006-12-22 23:08 <REP> Windows Live Toolbar
2006-12-17 13:13 <REP> Windows Media Connect 2
2005-04-15 14:42 <REP> Windows Media Player
2005-04-15 14:41 <REP> Windows NT
2005-04-15 14:42 <REP> Windows Plus
2007-10-25 19:04 <REP> WinRAR
2007-12-04 22:26 251 wt3d.ini
2005-04-15 14:47 <REP> xerox
2006-12-17 04:40 <REP> Yahoo!
1 fichier(s) 251 octets
70 Rép(s) 36,572,987,392 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
host-domain-lookup.com REG_SZ
www.host-domain-lookup.com REG_SZ
*.securewebinfo.com REG_BINARY
*.safetyincludes.com REG_BINARY
*.securemanaging.com REG_BINARY
PopupMgr REG_SZ yes

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\EMILIE SONNET\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\QMD0TC9V.DEFAULT\HOSTPERM.1
host popup 1 www.hi5.com
host popup 1 www.quick-restaurants.com
host popup 1 gouditown.com
host popup 1 twisto.prod.navitia.com
host popup 1 www.rockyou.com
host popup 1 www.infos-du-net.com
host popup 1 anpe.fr
host popup 1 www.cdiscount.com
host popup 1 www.campusfrance.org
host popup 1 www.lavi2rue.com
host popup 1 www.anpe.fr
host popup 1 www.myspace.com
host popup 1 www.puma.com
host popup 1 tonyblings.com

******************************************
## Registre

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
online poll REG_SZ C:\DOCUME~1\EMILIE~1\APPLIC~1\SOAPSH~1\MoreSoftType.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Base frag grid bows]
command REG_SZ C:\Documents and Settings\All Users\Application Data\Cast ping base frag\Each Bait.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\jnqhfoaep]
command REG_SZ c:\documents and settings\emilie sonnet\local settings\application data\jnqhfoaep.exe jnqhfoaep

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\online poll]
command REG_SZ C:\DOCUME~1\EMILIE~1\APPLIC~1\SOAPSH~1\MoreSoftType.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sony Ericsson PC Suite]
item REG_SZ Application Launcher
command REG_SZ "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************
0
Réponse 17 / 18
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
15 févr. 2008 à 23:24
Bonjour,

Imprime, ou enregistre la manip dans un fichier dans le bloc notes pour être sur ne rien oublier et de tout faire dans l'ordre.

1/Telecharge ceci:Ccleaner.

Déconnecte toi d'Internet et ferme tout les programmes en cours.

 Redémarre en mode sans échec
Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
(Si F8 ne marche pas, essai F5)

 Rend visible les fichiers cachés et système
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

 Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:


valider en cliquant sur le bouton [fix checked]

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

 Recherche et supprime ces dossiers:

Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"

S'ils sont présents, supprime:

C:\Documents and Settings\All Users\Application Data\Cast ping base frag
C:\Documents and Settings\Emilie Sonnet\Application Data\soap shim cast
C:\Program Files \Adverts
C:\Program Files \soap shim cast


-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite fais Démarrer > exécuter et tape cmd
puis valide avec ok

dans la fenêtre qui va s'ouvrir, copie et colle ceci:

del /a C:\WINDOWS\tasks\B3777FBB9184ED7F.job

et valide en appuyant sur entrée

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite, très important:

:: Supprimer les fichiers temporaires ::

Exécute Ccleaner.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Redémarre normalement et reposte un Hijackthis sur le poste…

Précises moi ou en sont tes soucis…

A+
0
Réponse 18 / 18
quecg2
18 févr. 2008 à 14:22
DESINSTALLE TOUT TES LOGICIELS QUI SE TROUVENT DANS C/PROGRAMME FILES/NETPROJECT !!!

C'est une société de vente de faux antispyware !!!!


bye
0

Discussions similaires

qu'est-ce que diff message ?
zebulonmarie -
mumu -

18 réponses
Facebook « Cette personne ne peut actuellement pas recevoir de message »
Cynamon -
Titia -

5 réponses
enregistrement de message sur répondeur
Alliana -
zazaazaz -

1 réponse
Comment reconnaitre si un SMS m'indiquant un message vocal est une arnaque ?
kikidefer -
brucine -

9 réponses
Message : votre iPhone a été piraté. Que faire ?
Paqi5241 -
LeRoiBerny -

12 réponses