Sujet Précédent Sujet Suivant

Message security alert dans barre outil

Résolu/Fermé
debutant59 - 23 févr. 2008 à 14:23
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 - 10 janv. 2009 à 19:24
Bonjour,
j ai un message security alert spyware foundq ui saffiche sur la barre doutil. celui ci me dirige vers un site de téléchargement anti virus , parfois il me bloque le micro ou affiche des pubs. je débute sur le web
Merci a tous pour votre aide
A voir également:

18 réponses

Réponse 1 / 18
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
23 févr. 2008 à 19:19
salut debutant59,

Bienvenue dans la communauté CCM,

Pour vous faciliter la tache, l'inscription sur le forum est gratuite (voir le lien tout en haut à droite).

On va commencer doucement:
Télécharger SmitfraudFix - S!Ri -> http://siri.urz.free.fr/Fix/SmitfraudFix.php
Dézipper la totalité de l'archive smitfraudfix.zip.
Option 1 - Recherche :
Double cliquer sur smitfraudfix.cmd
Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.
Sélectionner le rapport au complet (touches Ctrl+A), puis le copier (Ctrl+C).
Poster le rapport dans ton prochain message Ctrl+V.

A+

Denis
0
Réponse 2 / 18
debutant59
23 févr. 2008 à 23:36
merci pour l aide voici le rapport
SmitFraudFix v2.294

Rapport fait à 23:31:15,23, 23/02/2008
Executé à partir de C:\Documents and Settings\LOIRS 1\Mes documents\Herv‚ LOIRS\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\NetProject\scit.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\documents and settings\loirs 1\local settings\application data\evfvf.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Program Files\NetProject\scm.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\eeioq.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\LOIRS


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\LOIRS 1\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\LOIRS1~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Helper\ PRESENT !
C:\Program Files\NetProject\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{917f93bf-6714-4e11-8982-59db2e0f88fc}"="epistylar"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 81.253.149.1
DNS Server Search Order: 80.10.246.3

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C7294E38-9861-47D0-9EB9-575B5EA72EB1}: NameServer=81.253.149.1 80.10.246.3
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C7294E38-9861-47D0-9EB9-575B5EA72EB1}: NameServer=81.253.149.1 80.10.246.3


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 3 / 18
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
24 févr. 2008 à 02:32
Re debutant59,


Pour commencer:

- Cliquer sur HiJackThis pour le télécharger sur votre bureau :
- Le tutoriel ici : https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

- Installer le sur un répertoire dédié (pas un dossier temporaire).
- Renommer Hijackthis, pour contrer une éventuelle infection de Vundo.
- Renommer le fichier HiJackThis.exe par exemple en CCM (à chercher dans le répertoire d’installation par exemple C:\Program Files\).
- Pour cela, faire un clic droit sur le fichier HiJackThis.exe et choisir renommer dans la liste.
- Taper CCM et Appuyer sur la touche Entrée.
- Générer un rapport en suivant ces indications :
- Double-clic sur CCM.exe.
- Exécuter le et cliquer sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Copier (Ctrl+C) et Coller (Ctrl+V) le rapport dans le prochain message.
Aide : N'hésite pas à consulter l'aide HiJackThis –


-------------------
Smitfraudfix a détecté en particulier:
C:\Program Files\Helper\ PRESENT !
C:\Program Files\NetProject\ PRESENT !

Option 2 - Nettoyage :
Redémarrer l'ordinateur en mode sans échec, pour de l’aide clic sur Tutoriel Symantec.
Double cliquer sur smitfraudfix.cmd
Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? Répondre O (oui) pour remplacer le fichier corrompu.
Redémarrer en mode normal et poster le rapport dans ton prochain message avec un autre log HJthis.
N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention que l'option 2 de l'outil supprime le fond d'écran !


Pour faciliter l’archivage des messages, tu peux t’identifier avec mot de passe.

A+

Denis
0
debutant59
24 févr. 2008 à 16:57
pour l option 2 j ai bien execute la procedure mais je n arrive pas a copier la reponse dans le message suite au redemmarage du micro. mon copier coller ne marche pas ... quand je disais que j etais un debutant!!!
0
Réponse 4 / 18
debutant59 Messages postés 13 Date d'inscription samedi 23 février 2008 Statut Membre Dernière intervention 6 septembre 2010
24 févr. 2008 à 15:21
merci encore voici le deuxieme rapport mais j ai oublie de renommer c est grave?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:13:17, on 24/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.myownstartpage.net/?cm=041351<=2&it=2008-02-17%2004%3A38%3A47&dt=2008-02-23%2013%3A29%3A35&q=http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: e404 helper - {8BD4438C-2511-4B93-AD34-2BDCD0FF78D2} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\NetProject\scit.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
24 févr. 2008 à 18:11
salut debutant,

-Avez vous bien exécuté la procédure en mode sans échec, comme indiqué sur le lien Symantec?
(Après le bip et avant le logo windows tapoter sur F8 (ou F5), un menu va apparaitre, choisir Mode sans échec à l'aide des flèches du clavier et valider).

Le rapport enregistré de Smitfraudfix (rapport.txt) doit être sur votre bureau (sinon il est sur : Poste de Travail / Disque C / rapport.txt)
Si vous avez copié le rapport et redémarrer l'ordinateur avant de coller la réponse, la mémoire de la copie s'est effacé avec le redémarrage.

Tout sélectionner ctrl+A, copier ctrl+C et coller le contenu ici ctr+V

A+
0
debutant59
24 févr. 2008 à 20:51
SmitFraudFix v2.294

Rapport fait à 16:41:41,68, 24/02/2008
Executé à partir de C:\Documents and Settings\LOIRS 1\Mes documents\Herv‚ LOIRS\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C7294E38-9861-47D0-9EB9-575B5EA72EB1}: NameServer=80.10.246.1 81.253.149.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C7294E38-9861-47D0-9EB9-575B5EA72EB1}: NameServer=80.10.246.1 81.253.149.2


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

mais qu est ce que je ferai sans vous !!
a plus
0
Réponse 6 / 18
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
24 févr. 2008 à 21:07
salut,


j ai un message security alert spyware found
ou en sont les symptômes?


Pour continuer le nettoyage

Exécuter et Télécharger Spybot, Spywareblaster et CCleaner
------------------------
1- Cliquer sur Spybot pour télécharger la dernière version 1.5 (septembre 2007)
Après installation cliquer sur Rechercher les Mises à Jour, cocher les MàJ , télécharger les MàJ, Vérifier tout, Purger les éléments sélectionner, puis ***Vacciner***
Le tutorial très complet http://www.tutoriaux-excalibur.com/spybot.htm (merci excalibur)

1a- Cliquer sur Spywareblaster pour le télécharger
Après l’installation et la configuration, il suffit de faire les mises à jour il s’occupe du reste (Incompatible Vista).
Le tutorial très complet ICI (merci à 01net.com)
------------------------
2- Cliquer CCleaner (en français) pour nettoyer les fichiers temporaires, cookies... ainsi que les clefs de la base de registre inutile.

Pendant l'installation si vous avez déjà une barre de recherche, alors décocher l'ajout de la barre yahoo.
Son tutorial ICI
Une fois installé, aller dans Options/Propriétés/ Effacement sécurisé du fichier (lent) Type NSA (7 Passages).
Ensuite dans Options/Avancés, décocher : effacer uniquement les fichiers du répertoires temp de Windows de plus vieux que 48h.
Bouton Nettoyer, cliquer sur Analyse laisser travailler cela peut être très long ensuite cliquer sur Lancer le nettoyage.
Ensuite sur le bouton Registre répéter 2 fois les étapes suivantes:
Chercher les erreurs- Réparer les erreurs sélectionnées
Ne pas oublier de sauvegarder au cas où il supprimerait une mauvaise clef (peu probable).
À effacer ensuite s’il n’y a pas de problème par la suite.


------------------
Également, je vous conseillerais Firefox, plus sure, plus rapide et plus souple que IExplorer : http://www.mozilla-europe.org/fr/products/firefox/

* Pour les cookies s'assurer de tout est correctement configurer, Outils / Options / Vie privée >
* Cookies / Les conserver jusqu'à : la fermeture de firefox.
* Vie privée cocher : Toujours effacer mes informations personnelles à la fermeture de Firefox.

Voici un lien pour encore mieux optimiser la vitesse de navigation:
http://www.commentcamarche.net/faq/sujet 852 firefox optimisation ameliorer les performances
ou automatiquement regarder ici:
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/31802.html


A+

Denis
0
debutant59
27 févr. 2008 à 21:44
bonjour, désolé d avoir tardé à répondre mais j ai eu un probleme d alimentation du micro. j ai execute toute les taches preconisees et des virus ont ete elimines pour l instant tout va bien. toutefois je me suis rendu compte que j avais oublie de remettre la base de registre apres avoir utilise hijackthis . est ce grave et comment puis reparer
encore une fois merci beaucoup
a plus
0
Réponse 7 / 18
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
28 févr. 2008 à 00:18
Bonjour,

Vous n'avez pas a être désolé, on a tout notre temps.
Certains mettent 1 mois à répondre ;-)

je me suis rendu compte que j avais oublie de remettre la base de registre apres avoir utilise hijackthis .
Qu'entendez vous par remettre la base de registre?


**********
Svp où en sont les symptômes?
j ai un message security alert spyware found



**********
3- Faire un scan en ligne (sous IE uniquement, cliquer sur la barre qui s'affiche un peu en dessous de la barre d'adresse et accepter le module activeX) :
Bitdefender http://www.bitdefender.fr/scan_fr/scan8/ie.html
Coller le rapport si il y a détection d'une infection autre que des cookies.


**********
4- De nombreuses infections utilisent les ordinateurs infectés comme serveurs distant ou autre gentillesse du genre, usurpation d'identité. Pour contrer ce genre d'attaque il faut un parefeu.
Comme pare feu je conseillerais Sunbelt (ex Kerio), mais il y en a bien d'autre.
Dans les premiers jours, il y aura une période d’apprentissage (à chaque alerte d'un programme connu cocher la case : créer une règle pour cette communication et ne plus me demander)

Bien regarder le tutoriel ICI
Et pour la version la plus récente ICI


A+
0
debutant59 Messages postés 13 Date d'inscription samedi 23 février 2008 Statut Membre Dernière intervention 6 septembre 2010
4 mars 2008 à 21:28
bonjour je crois que mon dernier message n est pas passé . j ai effectué toutes les manipulations , le message sécurity alert a disparu . spy bot a bien travaillé mais il reste virtumonde qui ne peut pas être supprimé car il est en mémoire j ai relancé l application rien à faire .
pour la base de registre en fait le tutoriel conseillais une sauvegarde par regedit :importer mais faillait il faire exporter après hijackthis
merci encore pour l'aide
a plus
débutant 59
0
Réponse 8 / 18
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
5 mars 2008 à 03:08
salut debutant,

mais faillait il faire exporter après hijackthis
non, c'était juste votre assurance en cas de problème.
les différents fix ont pu changer la base registre maintenant donc il ne faudrait pas revenir à la version antérieur.

spy bot a bien travaillé mais il reste virtumonde qui ne peut pas être supprimé
As tu bien utilisé la vaccination? Exécutes Spybot en mode sans échec après avoir bien fait la mise à jour.


Sinon suivre la procédure suivante:
----------------------
Téléchargez VundoFix -> http://vundofix.atribune.org/

Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.

Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez OK.
Coller le rapport qui se trouve sur C:\vundofix.txt

Ensuite télécharger Virtumondebegone

Et

puis Symantec Vundo Remove Tool

Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec (pour Vista suivre la même procédure que pour XP).

ensuite

Exécutez VirtumundoBeGone.exe téléchargé au préalable
le rapport VBG.TXT sera crée sur le bureau

puis Exécutez Symantec Vundo Remove Tool

Renvoyez un log en cas de détection d’un infection Vundo et un log HJThis également


a+

Denis
0
debutant59 Messages postés 13 Date d'inscription samedi 23 février 2008 Statut Membre Dernière intervention 6 septembre 2010
6 mars 2008 à 14:50
bonjour

je viens d exécuter vundofix voici le rapport apparemment il ne trouve rien

VundoFix V7.0.1

Scan started at 14:27:21 06/03/2008

Listing files found while scanning....

No infected files were found.

par contre j ai relancé spybot comme indiqué et il me donne le résultat suivant

sb1$7100e4a1reglages
hkeylocalmachine/systeme/controlset002/ser..
"""""""""""""""""""""""""""""/controlset003/ser

lorsque je corrige les problèmes spybot me dit que virtumonde ne peut être corrigé car en mémoire mais place aussi les dossiers en sauvegarde

sauf ce problème le reste est impeccable plus de message d alerte et plus de publicités
merci encore
a plus
0
Réponse 9 / 18
DeNisCoOl
6 mars 2008 à 20:16
salut debutant,

Il faut quand même en finir avec virtumonde.

As tu passé les 2 autres fix également en mode sans échec: Virtumondebegone et Symantec Vundo Remove Tool ?

Je vais t'envoyer une autre procédure plus tard.

A+
0
Réponse 10 / 18
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
7 mars 2008 à 01:43
Re,


Pour commencer
Exécuter un scan en ligne avec Bitdefender puis copier et coller le rapport (sous IE uniquement, cliquer sur la barre qui apparait un peu en dessous de la barre d'adresse et accepter le module activeX) :
Le tutoriel ici : http://bibou0007.com/tutos-et-lexique-f45/tutorial-bitdefender-online-t390.htm

Bitdefender http://www.bitdefender.fr/scan_fr/scan8/ie.html


-----------------------
Ensuite renvoyer un rapport HJThis.


A+

Denis
0
debutant59 Messages postés 13 Date d'inscription samedi 23 février 2008 Statut Membre Dernière intervention 6 septembre 2010
7 mars 2008 à 22:47
salut
j ai lancé symantec et virtumondobegone ,rien a signaler dans les rapprts .

je te joins les rapports bitdefebder et hjthis

BitDefender Online Scanner



Rapport d'analyse généré à: Fri, Mar 07, 2008 - 22:00:46





Voie d'analyse: C:\;D:\;







Statistiques

Temps
00:13:24

Fichiers
21663

Directoires
2419

Secteurs de boot
2

Archives
402

Paquets programmes
908




Résultats

Virus identifiés
2

Fichiers infectés
2

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
2




Info sur les moteurs

Définition virus
986124

Version des moteurs
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
16

Archive des plugins
41

Unpack des plugins
7

E-mail plugins
6

Système plugins
5




Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions


Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui




Fichier analysé
Statut

C:\Documents and Settings\LOIRS 1\Mes documents\Hervé LOIRS\VundoFix.exe
Infecté par: DeepScan:Generic.Virtumod.A39D278C

C:\Documents and Settings\LOIRS 1\Mes documents\Hervé LOIRS\VundoFix.exe
Echec de la désinfection

C:\Documents and Settings\LOIRS 1\Mes documents\Hervé LOIRS\VundoFix.exe
Supprimé

C:\System Volume Information\_restore{59720061-2D36-4611-8AA5-E0157422433F}\RP7\A0000680.dll
Infecté par: Trojan.Downloader.Agent.BJI

C:\System Volume Information\_restore{59720061-2D36-4611-8AA5-E0157422433F}\RP7\A0000680.dll
Supprimé



ci dessous hjthis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:36:21, on 07/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.myownstartpage.net/?cm=041351<=2&it=2008-02-17%2004%3A38%3A47&dt=2008-02-23%2013%3A29%3A35&q=http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7294E38-9861-47D0-9EB9-575B5EA72EB1}: NameServer = 81.253.149.9 80.10.246.132
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
0
Réponse 11 / 18
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
8 mars 2008 à 02:40
Salut,

Il reste 6 lignes dans ton log qui ne devrait plus y être.
Télécharges et exécutes ce programmes ensuite tu pourras le désinstaller : https://download.cnet.com/IE7-Runonce-Remover/3000-8022_4-10683012.html

Renvoyer un autre rapport HJThis.

--------------------
Spybot détecte t-il toujours virtumonde?

Si oui alors :
Télécharger Combofix.exe (par sUBs) sur le Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

La traduction du tutorial officiel en français : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Double clique combofix.exe et suivre les invites.
Lorsque le scan sera complété, un rapport apparaîtra.
Sélectionner tout le rapport (Ctrl+A), puis Copier (Ctrl+C)/ Coller (Ctrl+V) ce rapport dans la prochaine réponse

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait faire figer l'ordinateur.


A+
0
debutant59 Messages postés 13 Date d'inscription samedi 23 février 2008 Statut Membre Dernière intervention 6 septembre 2010
9 mars 2008 à 20:06
salut
toujours virtumonde
rapport hjthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:02:55, on 09/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.myownstartpage.net/?cm=041351<=2&it=2008-02-17%2004%3A38%3A47&dt=2008-02-23%2013%3A29%3A35&q=http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7294E38-9861-47D0-9EB9-575B5EA72EB1}: NameServer = 81.253.149.9 80.10.246.132
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
0
Réponse 12 / 18
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
9 mars 2008 à 20:41
debutant,

Les lignes runonce sont toujours là.
As tu exécuté Runonce Remover?

Relancer HiJackthis cliquer sur Do a scan only et cocher les lignes en gras:


O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')


Comment fixer une ligne: (Merci a Balltrap34 pour cette réalisation vidéo)
-> http://pageperso.aol.fr/balltrap34/demohijack.htm
Fermer toutes tes applications et ton navigateur puis fix checked.

A+
0
debutant59 Messages postés 13 Date d'inscription samedi 23 février 2008 Statut Membre Dernière intervention 6 septembre 2010
9 mars 2008 à 22:02
re
j avaisbien lancé runonce ; mais j ai supprimé les 6 lignes comme demandé
ci dessous le rapport combofix


ComboFix 08-03-09.1 - LOIRS 1 2008-03-09 21:51:55.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.232 [GMT 1:00]
Endroit: C:\Documents and Settings\LOIRS 1\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\LOIRS 1\Application Data\ShoppingReport
C:\Documents and Settings\LOIRS 1\Application Data\ShoppingReport\cs\Config.xml
C:\Documents and Settings\LOIRS 1\Application Data\ShoppingReport\cs\db\Aliases.dbs
C:\Documents and Settings\LOIRS 1\Application Data\ShoppingReport\cs\db\Sites.dbs
C:\Documents and Settings\LOIRS 1\Application Data\ShoppingReport\cs\dwld\WhiteList.xip
C:\Documents and Settings\LOIRS 1\Application Data\ShoppingReport\cs\report\aggr_storage.xml
C:\Documents and Settings\LOIRS 1\Application Data\ShoppingReport\cs\report\send_storage.xml
C:\Documents and Settings\LOIRS 1\Application Data\ShoppingReport\cs\res1\WhiteList.dbs
C:\Documents and Settings\LOIRS 1\Local Settings\Application Data\evfvf.dat
C:\Documents and Settings\LOIRS 1\Local Settings\Application Data\evfvf_nav.dat
C:\Documents and Settings\LOIRS 1\Local Settings\Application Data\evfvf_navps.dat
C:\Documents and Settings\LOIRS 1\Local Settings\Application Data\yitsfuwlqs.dat
C:\Documents and Settings\LOIRS 1\Local Settings\Application Data\yitsfuwlqs_nav.dat
C:\Documents and Settings\LOIRS 1\Local Settings\Application Data\yitsfuwlqs_navps.dat
C:\Program Files\ShoppingReport

.
((((((((((((((((((((((((((((( Fichiers créés 2008-02-09 to 2008-03-09 ))))))))))))))))))))))))))))))))))))
.

2008-03-08 00:24 . 2008-03-08 00:24 <REP> d-------- C:\Documents and Settings\LOIRS 1\Application Data\dvdcss
2008-03-08 00:21 . 2008-03-08 00:21 <REP> d-------- C:\Documents and Settings\LOIRS 1\Application Data\vlc
2008-03-08 00:20 . 2008-03-08 00:20 <REP> d-------- C:\Program Files\VideoLAN
2008-03-07 23:40 . 2008-03-07 23:43 <REP> d-------- C:\Documents and Settings\LOIRS 1\Application Data\Media Player Classic
2008-03-07 23:12 . 2008-03-07 23:12 <REP> d-------- C:\DECCHECK
2008-03-07 21:44 . 2008-03-07 22:03 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-03-06 14:27 . 2008-03-06 14:27 <REP> d-------- C:\VundoFix Backups
2008-03-05 20:43 . 1980-01-04 01:34 <REP> d--h----- C:\Documents and Settings\Invité\Voisinage réseau
2008-03-05 20:43 . 1980-01-04 01:34 <REP> d--h----- C:\Documents and Settings\Invité\Voisinage réseau
2008-03-05 20:43 . 1980-01-04 01:34 <REP> d--h----- C:\Documents and Settings\Invité\Voisinage d'impression
2008-03-05 20:43 . 1980-01-04 01:34 <REP> d--h----- C:\Documents and Settings\Invité\Voisinage d'impression
2008-03-05 20:43 . 1980-01-04 00:42 <REP> d--h----- C:\Documents and Settings\Invité\Modèles
2008-03-05 20:43 . 1980-01-04 00:42 <REP> d--h----- C:\Documents and Settings\Invité\Modèles
2008-03-05 20:43 . 2008-03-05 20:45 <REP> dr------- C:\Documents and Settings\Invité\Mes documents
2008-03-05 20:43 . 2008-03-05 20:45 <REP> dr------- C:\Documents and Settings\Invité\Mes documents
2008-03-05 20:43 . 1980-01-04 01:34 <REP> dr------- C:\Documents and Settings\Invité\Menu Démarrer
2008-03-05 20:43 . 1980-01-04 01:34 <REP> dr------- C:\Documents and Settings\Invité\Menu Démarrer
2008-03-05 20:43 . 2008-03-05 20:44 <REP> dr------- C:\Documents and Settings\Invité\Favoris
2008-03-05 20:43 . 2008-03-05 20:44 <REP> dr------- C:\Documents and Settings\Invité\Favoris
2008-03-05 20:43 . 1980-01-04 01:34 <REP> d-------- C:\Documents and Settings\Invité\Bureau
2008-03-05 20:43 . 1980-01-04 01:34 <REP> d-------- C:\Documents and Settings\Invité\Bureau
2008-03-05 02:53 . 2008-03-05 02:55 <REP> d-------- C:\Program Files\RogueRemover FREE
2008-03-05 01:55 . 2008-03-05 02:00 <REP> d-------- C:\Program Files\Lopxp
2008-03-05 01:12 . 2008-03-05 01:42 <REP> d-------- C:\Program Files\Trojan Remover
2008-03-05 01:12 . 2003-02-02 19:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2008-03-05 01:12 . 2002-03-06 00:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2008-03-05 01:05 . 2008-03-05 01:05 <REP> d-------- C:\Documents and Settings\LOIRS 1\DoctorWeb
2008-03-05 00:11 . 2008-03-05 00:48 <REP> d-------- C:\Program Files\a-squared Free
2008-03-04 19:49 . 1996-08-20 20:37 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe
2008-03-04 19:49 . 2005-09-25 16:37 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
2008-03-04 19:49 . 2008-03-04 19:49 3,120 --a------ C:\WINDOWS\system32\118290.54
2008-03-04 19:49 . 2008-03-04 19:49 3,120 --a------ C:\WINDOWS\118294.78
2008-03-04 19:49 . 2003-08-13 00:27 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys
2008-03-04 19:13 . 2008-03-05 21:01 <REP> d-------- C:\Program Files\SpywareBlaster
2008-03-03 15:34 . 2008-03-04 18:51 <REP> d-------- C:\Program Files\SPYWAREfighter
2008-03-03 14:56 . 2008-03-03 14:56 <REP> d-------- C:\Program Files\Enigma Software Group
2008-03-03 11:55 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-03-03 11:55 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-03-03 00:56 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-03-03 00:56 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-03-03 00:56 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-03-03 00:56 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-03-03 00:56 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-03-03 00:56 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-03-03 00:56 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-03-03 00:56 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-03-02 23:11 . 2008-03-03 00:51 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Trend Micro
2008-03-01 10:49 . 2008-03-01 10:49 281 --a------ C:\WINDOWS\wininit.ini
2008-03-01 01:37 . 2008-03-01 10:49 <REP> d-------- C:\Program Files\NetProject
2008-02-29 22:40 . 2008-02-29 22:40 1,158 --a------ C:\WINDOWS\mozver.dat
2008-02-29 21:44 . 2008-02-29 21:51 <REP> d-------- C:\Program Files\Opera
2008-02-27 21:55 . 2008-02-27 21:55 <REP> d-------- C:\Program Files\CCleaner
2008-02-24 22:58 . 2008-02-24 22:58 465,130 --a------ C:\WINDOWS\system32\perfh040.dat
2008-02-24 22:58 . 2008-02-24 22:58 73,458 --a------ C:\WINDOWS\system32\perfc040.dat
2008-02-24 15:57 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-02-24 15:57 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-02-24 15:57 . 2008-02-22 18:44 86,016 --a------ C:\WINDOWS\system32\VACFix.exe
2008-02-24 15:57 . 2008-02-08 10:37 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-02-24 15:57 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-02-24 14:43 . 2008-03-03 00:52 <REP> d-------- C:\Program Files\Trend Micro
2008-02-23 23:31 . 2008-02-24 16:41 1,040 --a------ C:\WINDOWS\system32\tmp.reg
2008-02-17 18:55 . 2008-02-17 18:55 <REP> d-------- C:\Documents and Settings\LOIRS 1\Application Data\winpcdoctor
2008-02-17 18:50 . 2008-02-17 18:58 <REP> d-------- C:\Program Files\WinPCDoctor
2008-02-17 18:50 . 2008-02-17 21:09 <REP> d-------- C:\Program Files\Fichiers communs\WinPCDoctor
2008-02-17 18:50 . 2008-02-17 18:50 <REP> dr------- C:\Documents and Settings\All Users.WINDOWS\Application Data\winpcdoctor
2008-02-17 18:50 . 2008-02-17 18:50 <REP> dr------- C:\Documents and Settings\All Users.WINDOWS\Application Data\SalesMon
2008-02-17 03:46 . 2006-10-04 15:06 1,197,294 -----c--- C:\WINDOWS\system32\dllcache\sysmain.sdb
2008-02-17 03:44 . 2004-08-19 16:09 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-02-17 03:43 . 2008-02-17 03:43 <REP> d-------- C:\Program Files\Windows Media Connect 2
2008-02-17 03:37 . 2008-02-17 03:37 <REP> d-------- C:\WINDOWS\system32\drivers\umdf
2008-02-17 00:51 . 2005-08-25 18:18 118,784 --a------ C:\WINDOWS\system32\MSSTDFMT.DLL
2008-02-17 00:51 . 2005-08-25 18:19 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-02-16 22:47 . 2004-08-19 16:08 97,280 --a------ C:\WINDOWS\system32\dpcdll.dll.wga
2008-02-16 22:47 . 2004-08-19 16:08 24,064 --a------ C:\WINDOWS\system32\pidgen.dll.wga
2008-02-16 22:47 . 2008-02-16 22:47 13,588 --a------ C:\WINDOWS\system32\wpa.bak
2008-02-14 23:31 . 2008-02-24 21:44 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-02-14 23:31 . 2008-02-24 22:42 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2008-02-14 23:10 . 2008-03-02 22:58 <REP> d-------- C:\Program Files\Yahoo!
2008-02-10 14:32 . 2008-02-10 14:32 168 --a------ C:\WINDOWS\adidsl.ini
2008-02-10 14:32 . 2008-02-10 14:32 21 --a------ C:\WINDOWS\Fast800.ini
2008-02-10 14:31 . 2008-02-10 14:31 <REP> d-------- C:\Program Files\SAGEM
2008-02-10 14:30 . 2008-02-10 14:30 <REP> d-------- C:\WINDOWS\system32\AlertModule
2008-02-10 14:30 . 2004-08-23 14:49 40,960 --a------ C:\WINDOWS\system32\FTRTSVC.exe
2008-02-09 14:08 . 2008-02-09 14:08 <REP> d-------- C:\Program Files\Panicware
2008-02-09 09:11 . 2008-02-17 00:57 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Lavasoft
2008-02-09 01:35 . 2008-02-09 08:51 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-02-09 01:34 . 2008-02-09 01:34 <REP> d-------- C:\WINDOWS\system32\bits
2008-02-09 01:34 . 2007-03-29 13:58 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx4.dll
2008-02-09 01:34 . 2007-03-29 13:58 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-09 20:46 --------- d---a-w C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP
2008-03-09 20:38 --------- d-----w C:\Program Files\Wanadoo
2008-03-04 19:13 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-03-04 19:13 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-02-17 03:46 --------- d-----w C:\Program Files\Hot-TV
2008-02-13 20:18 --------- d-----w C:\Program Files\OpenOffice.org 2.3
2008-02-10 13:32 31 ----a-w C:\WINDOWS\system32\drivers\adidsl.cfg
2008-02-02 23:08 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-02-02 22:58 --------- d-----w C:\Documents and Settings\LOIRS 1\Application Data\AdobeUM
2008-01-24 22:19 --------- d-----w C:\Program Files\JeffProd
2008-01-21 23:56 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Arovax
2008-01-21 23:20 --------- d-----w C:\Program Files\Spyware Doctor
2008-01-19 01:52 --------- d-----w C:\Program Files\CyberDefender
2008-01-16 23:44 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Grisoft
2008-01-13 01:01 --------- d-----w C:\Documents and Settings\LOIRS 1\Application Data\OpenOffice.org2
2008-01-13 00:52 --------- d-----w C:\Program Files\Java
2008-01-13 00:51 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-01-13 00:38 --------- d-----w C:\Program Files\olibul
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55 32768]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"ccleaner"="C:\Program Files\CCleaner\CCleaner.exe" [2008-02-20 15:15 816368]
"PopUpStopperFreeEdition"="C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" [2005-03-17 11:10 536576]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-07 21:05 344064]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49 20480]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55 32768]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="cmd.exe" [2004-08-19 16:09 400896 C:\WINDOWS\system32\cmd.exe]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 15:52 44544]

C:\Documents and Settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoInstrumentation"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"DisablePagingExecutive"=dword:00000001
"SecondLevelDataCache"=dword:00000200

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R3 e4usbaw;USB ADSL2 WAN Adapter;C:\WINDOWS\system32\DRIVERS\e4usbaw.sys [2006-05-04 18:50]
S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);C:\WINDOWS\system32\Drivers\e4ldr.sys [2006-03-02 19:25]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-09 21:53:24
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-03-09 21:54:29
ComboFix-quarantined-files.txt 2008-03-09 20:53:58
.
2008-02-20 22:43:01 --- E O F ---




voila a plus
0
Réponse 13 / 18
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
9 mars 2008 à 23:52
Re,

Combofix a bien travaillé, le bout du tunnel est proche.

------------------------------
1- Créer un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et y coller les lignes suivantes :


File::
C:\WINDOWS\system32\118290.54
C:\WINDOWS\118294.78


Enregistre ce fichier sous le nom CFScript

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme montré sur ce lien :
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
* Une fenêtre bleue va apparaitre: au message qui apparaît (Type 1 to continue, or 2 to abort) ,taper 1 puis valider.
* Patienter le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
* Ne toucher à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poster son contenu, en précisant où en sont les soucis.

* Si le fichier ne s'ouvre pas, il se trouve ici ==> C:\ComboFix.txt


------------------------------
2- Repasser Spybot pour voir ou en est Virtumonde.



Très important
------------------------------
3- De nombreuses infections utilisent les ordinateurs infectés comme serveurs distant ou autre gentillesse du genre, usurpation d'identité. Pour contrer ce genre d'attaque il faut un parefeu.
Comme pare feu je conseillerais Sunbelt (ex Kerio), mais il y en a bien d'autre.
Dans les premiers jours, il y aura une période d’apprentissage (à chaque alerte d'un programme connu cocher la case : créer une règle pour cette communication et ne plus me demander)

Bien regarder le tutoriel ICI
Et pour la version la plus récente ICI


Si tout est bon
------------------------
4- ToolsCleaner de A.Rothstein
Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques

Télécharge le http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe sur ton Bureau.
* Double-clique sur ToolsCleaner2.bat et laisse le travailler
* Clique sur Recherche et laisse le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)


------------------------
5- Ensuite désactiver la restauration système attendre qu'il travail puis l’activer de nouveau.
Pour cela suivre les instructions du lien ICI


A+

Denis
0
debutant59 Messages postés 13 Date d'inscription samedi 23 février 2008 Statut Membre Dernière intervention 6 septembre 2010
10 mars 2008 à 22:24
salut
voici le rapport combofix , seul soucis restant virtumonde (sale bête) sinon tout le reste est impeccable plus de message security alert plus de pubs.
merci denis (vraiment tres tres cool!!!)


ComboFix 08-03-09.1 - LOIRS 1 2008-03-10 20:59:00.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.259 [GMT 1:00]
Endroit: C:\Documents and Settings\LOIRS 1\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\LOIRS 1\Bureau\CFScript
* Création d'un nouveau point de restauration

FILE ::
C:\WINDOWS\118294.78
C:\WINDOWS\system32\118290.54
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\118294.78
C:\WINDOWS\system32\118290.54

.
((((((((((((((((((((((((((((( Fichiers créés 2008-02-10 to 2008-03-10 ))))))))))))))))))))))))))))))))))))
.

2008-03-08 00:24 . 2008-03-08 00:24 <REP> d-------- C:\Documents and Settings\LOIRS 1\Application Data\dvdcss
2008-03-08 00:21 . 2008-03-08 00:21 <REP> d-------- C:\Documents and Settings\LOIRS 1\Application Data\vlc
2008-03-08 00:20 . 2008-03-08 00:20 <REP> d-------- C:\Program Files\VideoLAN
2008-03-07 23:40 . 2008-03-07 23:43 <REP> d-------- C:\Documents and Settings\LOIRS 1\Application Data\Media Player Classic
2008-03-07 23:12 . 2008-03-07 23:12 <REP> d-------- C:\DECCHECK
2008-03-07 21:44 . 2008-03-07 22:03 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-03-06 14:27 . 2008-03-06 14:27 <REP> d-------- C:\VundoFix Backups
2008-03-05 20:43 . 1980-01-04 01:34 <REP> d--h----- C:\Documents and Settings\Invité\Voisinage réseau
2008-03-05 20:43 . 1980-01-04 01:34 <REP> d--h----- C:\Documents and Settings\Invité\Voisinage réseau
2008-03-05 20:43 . 1980-01-04 01:34 <REP> d--h----- C:\Documents and Settings\Invité\Voisinage d'impression
2008-03-05 20:43 . 1980-01-04 01:34 <REP> d--h----- C:\Documents and Settings\Invité\Voisinage d'impression
2008-03-05 20:43 . 1980-01-04 00:42 <REP> d--h----- C:\Documents and Settings\Invité\Modèles
2008-03-05 20:43 . 1980-01-04 00:42 <REP> d--h----- C:\Documents and Settings\Invité\Modèles
2008-03-05 20:43 . 2008-03-05 20:45 <REP> dr------- C:\Documents and Settings\Invité\Mes documents
2008-03-05 20:43 . 2008-03-05 20:45 <REP> dr------- C:\Documents and Settings\Invité\Mes documents
2008-03-05 20:43 . 1980-01-04 01:34 <REP> dr------- C:\Documents and Settings\Invité\Menu Démarrer
2008-03-05 20:43 . 1980-01-04 01:34 <REP> dr------- C:\Documents and Settings\Invité\Menu Démarrer
2008-03-05 20:43 . 2008-03-05 20:44 <REP> dr------- C:\Documents and Settings\Invité\Favoris
2008-03-05 20:43 . 2008-03-05 20:44 <REP> dr------- C:\Documents and Settings\Invité\Favoris
2008-03-05 20:43 . 1980-01-04 01:34 <REP> d-------- C:\Documents and Settings\Invité\Bureau
2008-03-05 20:43 . 1980-01-04 01:34 <REP> d-------- C:\Documents and Settings\Invité\Bureau
2008-03-05 02:53 . 2008-03-05 02:55 <REP> d-------- C:\Program Files\RogueRemover FREE
2008-03-05 01:55 . 2008-03-05 02:00 <REP> d-------- C:\Program Files\Lopxp
2008-03-05 01:12 . 2008-03-05 01:42 <REP> d-------- C:\Program Files\Trojan Remover
2008-03-05 01:12 . 2003-02-02 19:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2008-03-05 01:12 . 2002-03-06 00:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2008-03-05 01:05 . 2008-03-05 01:05 <REP> d-------- C:\Documents and Settings\LOIRS 1\DoctorWeb
2008-03-05 00:11 . 2008-03-09 22:05 <REP> d-------- C:\Program Files\a-squared Free
2008-03-04 19:49 . 1996-08-20 20:37 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe
2008-03-04 19:49 . 2005-09-25 16:37 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
2008-03-04 19:49 . 2003-08-13 00:27 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys
2008-03-04 19:13 . 2008-03-09 22:04 <REP> d-------- C:\Program Files\SpywareBlaster
2008-03-03 15:34 . 2008-03-04 18:51 <REP> d-------- C:\Program Files\SPYWAREfighter
2008-03-03 14:56 . 2008-03-03 14:56 <REP> d-------- C:\Program Files\Enigma Software Group
2008-03-03 11:55 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-03-03 11:55 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-03-03 00:56 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-03-03 00:56 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-03-03 00:56 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-03-03 00:56 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-03-03 00:56 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-03-03 00:56 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-03-03 00:56 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-03-03 00:56 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-03-02 23:11 . 2008-03-03 00:51 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Trend Micro
2008-03-01 10:49 . 2008-03-01 10:49 281 --a------ C:\WINDOWS\wininit.ini
2008-03-01 01:37 . 2008-03-01 10:49 <REP> d-------- C:\Program Files\NetProject
2008-02-29 22:40 . 2008-02-29 22:40 1,158 --a------ C:\WINDOWS\mozver.dat
2008-02-29 21:44 . 2008-02-29 21:51 <REP> d-------- C:\Program Files\Opera
2008-02-27 21:55 . 2008-02-27 21:55 <REP> d-------- C:\Program Files\CCleaner
2008-02-24 22:58 . 2008-02-24 22:58 465,130 --a------ C:\WINDOWS\system32\perfh040.dat
2008-02-24 22:58 . 2008-02-24 22:58 73,458 --a------ C:\WINDOWS\system32\perfc040.dat
2008-02-24 15:57 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-02-24 15:57 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-02-24 15:57 . 2008-02-22 18:44 86,016 --a------ C:\WINDOWS\system32\VACFix.exe
2008-02-24 15:57 . 2008-02-08 10:37 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-02-24 15:57 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-02-24 14:43 . 2008-03-03 00:52 <REP> d-------- C:\Program Files\Trend Micro
2008-02-23 23:31 . 2008-02-24 16:41 1,040 --a------ C:\WINDOWS\system32\tmp.reg
2008-02-17 18:55 . 2008-02-17 18:55 <REP> d-------- C:\Documents and Settings\LOIRS 1\Application Data\winpcdoctor
2008-02-17 18:50 . 2008-02-17 18:58 <REP> d-------- C:\Program Files\WinPCDoctor
2008-02-17 18:50 . 2008-02-17 21:09 <REP> d-------- C:\Program Files\Fichiers communs\WinPCDoctor
2008-02-17 18:50 . 2008-02-17 18:50 <REP> dr------- C:\Documents and Settings\All Users.WINDOWS\Application Data\winpcdoctor
2008-02-17 18:50 . 2008-02-17 18:50 <REP> dr------- C:\Documents and Settings\All Users.WINDOWS\Application Data\SalesMon
2008-02-17 03:46 . 2006-10-04 15:06 1,197,294 -----c--- C:\WINDOWS\system32\dllcache\sysmain.sdb
2008-02-17 03:44 . 2004-08-19 16:09 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-02-17 03:43 . 2008-02-17 03:43 <REP> d-------- C:\Program Files\Windows Media Connect 2
2008-02-17 03:37 . 2008-02-17 03:37 <REP> d-------- C:\WINDOWS\system32\drivers\umdf
2008-02-17 00:51 . 2005-08-25 18:18 118,784 --a------ C:\WINDOWS\system32\MSSTDFMT.DLL
2008-02-17 00:51 . 2005-08-25 18:19 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-02-16 22:47 . 2004-08-19 16:08 97,280 --a------ C:\WINDOWS\system32\dpcdll.dll.wga
2008-02-16 22:47 . 2004-08-19 16:08 24,064 --a------ C:\WINDOWS\system32\pidgen.dll.wga
2008-02-16 22:47 . 2008-02-16 22:47 13,588 --a------ C:\WINDOWS\system32\wpa.bak
2008-02-14 23:31 . 2008-02-24 21:44 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-02-14 23:31 . 2008-02-24 22:42 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2008-02-14 23:10 . 2008-03-02 22:58 <REP> d-------- C:\Program Files\Yahoo!
2008-02-10 14:32 . 2008-02-10 14:32 168 --a------ C:\WINDOWS\adidsl.ini
2008-02-10 14:32 . 2008-02-10 14:32 21 --a------ C:\WINDOWS\Fast800.ini
2008-02-10 14:31 . 2008-02-10 14:31 <REP> d-------- C:\Program Files\SAGEM
2008-02-10 14:30 . 2008-02-10 14:30 <REP> d-------- C:\WINDOWS\system32\AlertModule
2008-02-10 14:30 . 2004-08-23 14:49 40,960 --a------ C:\WINDOWS\system32\FTRTSVC.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-10 19:58 --------- d-----w C:\Program Files\Wanadoo
2008-03-09 21:04 --------- d---a-w C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP
2008-03-04 19:13 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-03-04 19:13 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-02-17 03:46 --------- d-----w C:\Program Files\Hot-TV
2008-02-16 23:57 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Lavasoft
2008-02-13 20:18 --------- d-----w C:\Program Files\OpenOffice.org 2.3
2008-02-10 13:32 31 ----a-w C:\WINDOWS\system32\drivers\adidsl.cfg
2008-02-09 13:08 --------- d-----w C:\Program Files\Panicware
2008-02-02 23:08 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-02-02 22:58 --------- d-----w C:\Documents and Settings\LOIRS 1\Application Data\AdobeUM
2008-01-24 22:19 --------- d-----w C:\Program Files\JeffProd
2008-01-21 23:56 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Arovax
2008-01-21 23:20 --------- d-----w C:\Program Files\Spyware Doctor
2008-01-19 01:52 --------- d-----w C:\Program Files\CyberDefender
2008-01-16 23:44 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Grisoft
2008-01-13 01:01 --------- d-----w C:\Documents and Settings\LOIRS 1\Application Data\OpenOffice.org2
2008-01-13 00:52 --------- d-----w C:\Program Files\Java
2008-01-13 00:51 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-01-13 00:38 --------- d-----w C:\Program Files\olibul
.

((((((((((((((((((((((((((((( snapshot@2008-03-09_21.53.42,12 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-03-10 17:18:37 16,384 ------w C:\WINDOWS\Temp\Perflib_Perfdata_5ec.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55 32768]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"ccleaner"="C:\Program Files\CCleaner\CCleaner.exe" [2008-02-20 15:15 816368]
"PopUpStopperFreeEdition"="C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" [2005-03-17 11:10 536576]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-07 21:05 344064]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49 20480]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55 32768]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="cmd.exe" [2004-08-19 16:09 400896 C:\WINDOWS\system32\cmd.exe]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 15:52 44544]

C:\Documents and Settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoInstrumentation"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"DisablePagingExecutive"=dword:00000001
"SecondLevelDataCache"=dword:00000200

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R3 e4usbaw;USB ADSL2 WAN Adapter;C:\WINDOWS\system32\DRIVERS\e4usbaw.sys [2006-05-04 18:50]
S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);C:\WINDOWS\system32\Drivers\e4ldr.sys [2006-03-02 19:25]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-10 21:00:23
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-03-10 21:01:19
ComboFix-quarantined-files.txt 2008-03-10 20:00:57
ComboFix2.txt 2008-03-09 20:54:29
.
2008-02-20 22:43:01 --- E O F ---
0
Réponse 14 / 18
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
11 mars 2008 à 05:07
debutant59,


seul soucis restant virtumonde (sale bête)
J'ai l'impression que ceci n'est rien d'important.

Virtumonde ne serait il pas détecté dans vundofix.exe ?

C:\Documents and Settings\LOIRS 1\Mes documents\Hervé LOIRS\VundoFix.exe
Infecté par: DeepScan:Generic.Virtumod.A39D278C


=faux positif


sinon, copier et coller le chemin du fichier.

A+
0
debutant59 Messages postés 13 Date d'inscription samedi 23 février 2008 Statut Membre Dernière intervention 6 septembre 2010
11 mars 2008 à 21:38
salut voila ce que j ai trouvé

C:\Documents and Settings\LOIRS 1\Mes documents\Hervé LOIRS\VundoFix.exe
Infecté par: DeepScan:Generic.Virtumod.A39D278C

C:\Documents and Settings\LOIRS 1\Mes documents\Hervé LOIRS\VundoFix.exe
Echec de la désinfection

C:\Documents and Settings\LOIRS 1\Mes documents\Hervé LOIRS\VundoFix.exe
Supprimé


ca a l air bien ?
a plus
0
Réponse 15 / 18
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
12 mars 2008 à 01:49
debutant,

C'est ce que je pensais tout est bon ;-)

Vundofix.exe est le fix qui permet de supprimer l'infection Virtumonde ou aussi nommé Vundo....
Ce qui explique que Spybot a trouvé la signature Virtumod.

Mais avais tu bien exécuté toutes les opérations du message 21, étapes 3, 4 et 5?
http://www.commentcamarche.net/forum/affich 5150875 message security alert dans barre outil#21

Surtout l'étape 4, pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques, comme Vundofix justement ;-)

Sinon enlèves le manuellement il est dans ton dossier Mes Documents.

A+
0
debutant59
12 mars 2008 à 21:43
bonjour , j aime bien la premiere ligne qui me dit que tout est bon!!!!
voila j ai effectué les dernieres opérations tous les logiciels ont été supprimés , cette fois j crois que s est le dernier message que je t envoies .
Je te remercie encore pour tous les conseils ,pour le temps passé , et pour le résultat.
Je vais bien faire attention ou je navigue .
merci encore
a plus dans le forum pour apprendre de nouvelles choses ou alors je t enverrai d autres débutants comme moi.
0
Réponse 16 / 18
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
12 mars 2008 à 23:42
salut debutant,

As tu bien installé le parefeu également? Il faut bien regarder le tutoriel pour ne pas avoir trop de message d'alerte.

Pour le reste sur internet la curiosité est un vilain défaut, et dans le doute abstiens toi ;-)

Tu pourras cocher le problème comme résolu au début de ton premier message.

Bye bye et bon surf.

Denis
0
Réponse 17 / 18
zoriezpas10cts Messages postés 1 Date d'inscription samedi 10 janvier 2009 Statut Membre Dernière intervention 10 janvier 2009
10 janv. 2009 à 18:38
SmitFraudFix v2.388

Rapport fait à 18:35:19,46, 10/01/2009
Executé à partir de C:\Documents and Settings\Rom1\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Synaptics\SynTP\Toshiba.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\WINDOWS\system32\TDispVol.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\DOCUME~1\Rom1\LOCALS~1\Temp\a.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\TOSHIBA\ConfigFree\CFXFER.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\Rom1\LOCALS~1\Temp\~tmpa.exe
C:\Documents and Settings\Rom1\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Rom1


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Rom1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Rom1\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Rom1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/100 VE Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{91851A88-DCEF-4BB3-B35B-B8A2A764878D}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{91851A88-DCEF-4BB3-B35B-B8A2A764878D}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{91851A88-DCEF-4BB3-B35B-B8A2A764878D}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 18 / 18
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
10 janv. 2009 à 19:24
salut zoriezpas10cts,

Il existe une charte vous devriez la suivre pour avoir une chance que l'on vous réponde :
http://www.commentcamarche.net/contents/ccmguide/ccmcharte ecriture.php3
http://www.commentcamarche.net/contents/ccmguide/ccmcharte respect autrui.php3

Mais environ 25% des messages ne reçoivent pas de réponse.

Bye bye
0

Discussions similaires

qu'est-ce que diff message ?
zebulonmarie -
mumu -

18 réponses
ALERT en php
snoopy -
appkech -

14 réponses
Boîte mail piratée ?
mike the llama -
mike the llama -

4 réponses
Code de réinitialisation mdp facebook sans le demander
Colonel_El_Moustachat -
Colonel_El_Moustachat -

4 réponses
Security boot fail lors du démarrage
Steu -
NBK -

4 réponses