sos, cheval de troie win32

Question

Bonjour, 
mon ordinateur a détecté 2 "cheval de troie"; j'ai découvert leur emplacement, mais seulement, je ne peux les supprimer car il y a un autre utilisateur de ce programme . J'ai trouvé aussi ce que je crois être "la carte d'identité du virus,que je vous envoie ci-dessous :

[*WMC Logging begun at 2007/12/24 - 19:18:04.  Logging at level: '4'.  OS is NT.  OSVer is 5.1.2600.0.3119. System Lang is 1036. Prev version system is 10.0.0.3646. Setup version 11.0.5721.5146.]
Setup commandlines are C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\IXP000.TMP\setup_wm.exe /NoMutex /Q /R:N.
  Validation completed.
Setup beginning.
=====Building Install list.
Finished building install list.  Result: '0x0'.
Previous setup was incomplete: this setup will run in Reinstall All mode.
=====Updating Install list for UI.
Finished updating install list.
Stopping service 'umwdf'.
Stopping service 'umwdf' succeeded.
Deletion of service : 'umwdf' succeeded.
=====Installing Install list.  Last result: 0x0.
Installer: Preparing to set system restore point...
System restore point set.
Querying service 'WMPNetworkSvc'.
Querying service 'WMPNetworkSvc' failed.

======Installing component 'UMDF'.
Starting process 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\IXP000.TMP\umdf.exe /quiet /norestart /er'.
  Package install complete.  Last result 0x0.
SUCCESS: Package 'Infrastructure du pilote en mode Utilisateur'.  Result: 0x0.

======Installing component 'WMFDist11Setup'.
Starting process 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\IXP000.TMP\wmfdist11.exe /quiet /norestart /er'.
File replacement for 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\setb0.tmp' queued in non-admin file cache.
  Reboot requested due to 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\setb0.tmp' file clean-up.
Reboot fix succeeded for file 'c:\windows\system32\wmadmod.dll'.
File replacement for 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\setb1.tmp' queued in non-admin file cache.
  Reboot requested due to 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\setb1.tmp' file clean-up.
Reboot fix succeeded for file 'c:\windows\system32\wmasf.dll'.
File replacement for 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\setb2.tmp' queued in non-admin file cache.
  Reboot requested due to 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\setb2.tmp' file clean-up.
Reboot fix succeeded for file 'c:\windows\system32\wmnetmgr.dll'.
File replacement for 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\setb3.tmp' queued in non-admin file cache.
  Reboot requested due to 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\setb3.tmp' file clean-up.
Reboot fix succeeded for file 'c:\windows\system32\wmvcore.dll'.
 Registering DLL: 'c:\windows\system32\wmadmod.dll'.
    Dll Registration: Succeeded for file 'c:\windows\system32\wmadmod.dll'.
 Registering DLL: 'c:\windows\system32\wmnetmgr.dll'.
    Dll Registration: Succeeded for file 'c:\windows\system32\wmnetmgr.dll'.
 Registering DLL: 'c:\windows\system32\wmvcore.dll'.
    Dll Registration: Succeeded for file 'c:\windows\system32\wmvcore.dll'.
Starting process 'C:\WINDOWS\system32\drmupgds.exe'.
  Package install complete.  Last result 0x0.
SUCCESS: Package 'Module d'exécution de format Windows Media'.  Result: 0x0.

======Installing component 'DefaultPlaylist'.
  InfParser: Set source directory 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\IXP000.TMP'.
INF: Found section 'DEFAULTINSTALL.NT'.
 Parsing CustomDestination INFSection:'WMP.Destination'
INF: Found section 'ProgramFilesDir'.
 Assigned destination: 'C:\Program Files' for section 'WMP.Destination'
 Added CustomDestination '49000' as 'C:\PROGRA~1'.
 Added CustomDestination '49001' as 'C:\Program Files'.
 Added CustomDestination '49002' as 'C:\PROGRA~1'.
INF: Found section 'WMPDirectory'.
 Assigned destination: 'C:\Program Files\Windows Media Player' for section 'WMP.Destination'
 Added CustomDestination '49300' as 'C:\PROGRA~1\WINDOW~2'.
 Added CustomDestination '49301' as 'C:\Program Files\Windows Media Player'.
 Added CustomDestination '49302' as 'C:\PROGRA~1\WINDOW~2'.
INF: Found section 'Win9xDocsDir'.
 Assigned destination: 'C:\Program Files\Wanadoo\imaginelapaix' for section 'WMP.Destination'
 Added CustomDestination '49400' as 'C:\PROGRA~1\Wanadoo\IMAGIN~1'.
 Added CustomDestination '49401' as 'C:\Program Files\Wanadoo\imaginelapaix'.
 Added CustomDestination '49402' as 'C:\PROGRA~1\Wanadoo\IMAGIN~1'.
INF: Found section 'DocsDir'.
 Assigned destination: 'C:\Documents and Settings\All Users\Documents' for section 'WMP.Destination'
 Added CustomDestination '49500' as 'C:\DOCUME~1\ALLUSE~1\DOCUME~1'.
 Added CustomDestination '49501' as 'C:\Documents and Settings\All Users\Documents'.
 Added CustomDestination '49502' as 'C:\DOCUME~1\ALLUSE~1\DOCUME~1'.
INF: Found section 'CommonMusicDir'.
 Assigned destination: 'C:\Documents and Settings\All Users\Documents\Ma musique' for section 'WMP.Destination'
 Added CustomDestination '49600' as 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1'.
 Added CustomDestination '49601' as 'C:\Documents and Settings\All Users\Documents\Ma musique'.
 Added CustomDestination '49602' as 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1'.
INF: Found section 'MyPlaylistsDirectory'.
 Assigned destination: 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sample Playlists' for section 'WMP.Destination'
 Added CustomDestination '49650' as 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sample Playlists'.
 Added CustomDestination '49651' as 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sample Playlists'.
 Added CustomDestination '49652' as 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sample Playlists'.
INF: Found section 'MySyncPlaylistsDirectory'.
 Assigned destination: 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists' for section 'WMP.Destination'
 Added CustomDestination '49750' as 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists'.
 Added CustomDestination '49751' as 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists'.
 Added CustomDestination '49752' as 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists'.
INF: Found section 'DEFAULTINSTALL.NT'.
 Source location is:'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\IXP000.TMP'.
 Parsing 'COPYFILES' INFSection:'Copy.Playlists'
INF: Found section 'DESTINATIONDIRS'.
Resolving destination: 49650.
 Assigned destination: 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sample Playlists\' to 'Copy.Playlists'.
 Parsing 'COPYFILES' INFSection:'Copy.SyncPlaylists'
INF: Found section 'DESTINATIONDIRS'.
Resolving destination: 49750.
 Assigned destination: 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\' to 'Copy.SyncPlaylists'.
  WMC_CopyFile: Could not find file version for 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\01_Music_auto_rated_at_5_stars.wpl'.  This file will be overwritten.
 Copied file '01_Music_auto_rated_at_5_stars.wpl' to 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\'.
  Package 'MYMUSIC' is version '0.0.0.7'.  This is 'newer' than the version currently installed.
  WMC_CopyFile: Could not find file version for 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\02_Music_added_in_the_last_month.wpl'.  This file will be overwritten.
 Copied file '02_Music_added_in_the_last_month.wpl' to 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\'.
  WMC_CopyFile: Could not find file version for 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\03_Music_rated_at_4_or_5_stars.wpl'.  This file will be overwritten.
 Copied file '03_Music_rated_at_4_or_5_stars.wpl' to 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\'.
  WMC_CopyFile: Could not find file version for 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\04_Music_played_in_the_last_month.wpl'.  This file will be overwritten.
 Copied file '04_Music_played_in_the_last_month.wpl' to 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\'.
  WMC_CopyFile: Could not find file version for 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\05_Pictures_taken_in_the_last_month.wpl'.  This file will be overwritten.
 Copied file '05_Pictures_taken_in_the_last_month.wpl' to 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\'.
  WMC_CopyFile: Could not find file version for 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\06_Pictures_rated_4_or_5_stars.wpl'.  This file will be overwritten.
 Copied file '06_Pictures_rated_4_or_5_stars.wpl' to 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\'.
  WMC_CopyFile: Could not find file version for 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\07_TV_recorded_in_the_last_week.wpl'.  This file will be overwritten.
 Copied file '07_TV_recorded_in_the_last_week.wpl' to 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\'.
  WMC_CopyFile: Could not find file version for 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\08_Video_rated_at_4_or_5_stars.wpl'.  This file will be overwritten.
 Copied file '08_Video_rated_at_4_or_5_stars.wpl' to 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\'.
  WMC_CopyFile: Could not find file version for 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\09_Music_played_the_most.wpl'.  This file will be overwritten.
 Copied file '09_Music_played_the_most.wpl' to 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\'.
  WMC_CopyFile: Could not find file version for 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\10_All_Music.wpl'.  This file will be overwritten.
 Copied file '10_All_Music.wpl' to 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\'.
  WMC_CopyFile: Could not find file version for 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\11_All_Pictures.wpl'.  This file will be overwritten.
 Copied file '11_All_Pictures.wpl' to 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\'.
  WMC_CopyFile: Could not find file version for 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\12_All_Video.wpl'.  This file will be overwritten.
 Copied file '12_All_Video.wpl' to 'C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists\'.
INF: Found section 'DEFAULTINSTALL.NT'.
 Parsing Reg section:'SetRegKeys'.
 Processed ADDREG line: 'HKLM,SOFTWARE\Microsoft\MediaPlayer\Preferences,MyPlayLists,,C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sample Playlists', result 0x0.
 Processed ADDREG line: 'HKLM,SOFTWARE\Microsoft\MediaPlayer\Preferences,MySyncPlayLists,,C:\DOCUME~1\ALLUSE~1\DOCUME~1\MAMUSI~1\Sync Playlists', result 0x0.
 Processed ADDREG line: 'HKLM,SOFTWARE\Microsoft\MediaPlayer\Preferences,FirstTime,0x00010001,1', result 0x0.
 Processed ADDREG line: 'HKLM,SOFTWARE\Microsoft\MediaPlayer\Setup,PlaylistsVersion,,0.0.0.6', result 0x0.
  Package install complete.  Last result 0xd2af8.
  Package 'MYMUSIC' is version '0.0.0.7'.  This is 'newer' than the version currently installed.
Adding dependency type 'Definition' to registry.
SUCCESS: Package 'Sélection Windows Media par défaut'.  Result: 0xd2af8.

======Installing component 'WMP11Setup'.
Starting process 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\IXP000.TMP\wmp11.exe /quiet /norestart /er'.
File replacement for 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\setb4.tmp' queued in non-admin file cache.
  Reboot requested due to 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\setb4.tmp' file clean-up.
Reboot fix succeeded for file 'c:\windows\system32\wmploc.dll'.
  Package install complete.  Last result 0x0.
SUCCESS: Package 'Lecteur Windows Media'.  Result: 0x0.

======Installing component 'mymusic10'.
Starting process 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\IXP000.TMP\wmdbexport.exe '.
  Package install complete.  Last result 0x0.
SUCCESS: Package 'Migration de la bibliothèque multimédia'.  Result: 0x0.

======Installing component 'MSDelta'.
Starting process 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\IXP000.TMP\WindowsXP-MSCompPackV1-x86.exe /quiet /norestart /er'.
  Package install complete.  Last result 0x0.
SUCCESS: Package 'MSDelta'.  Result: 0x0.

======Installing component 'Appcompat Shim'.
Starting process 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\IXP000.TMP\wmpappcompat.exe /quiet /norestart /er'.
  Package install complete.  Last result 0xd2af8.
SUCCESS: Package 'Appcompat Shim pour WMP10'.  Result: 0xd2af8.

======Installing component 'skins'.
  InfParser: Set source directory 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\IXP000.TMP'.
INF: Found section 'DEFAULTINSTALL.NT5.1'.
 Parsing CustomDestination INFSection:'WMP.Destination'
INF: Found section 'ProgramFilesDir'.
 Assigned destination: 'C:\Program Files' for section 'WMP.Destination'
 Added CustomDestination '49000' as 'C:\PROGRA~1'.
 Added CustomDestination '49001' as 'C:\Program Files'.
 Added CustomDestination '49002' as 'C:\PROGRA~1'.
INF: Found section 'WMPDirectory'.
 Assigned destination: 'C:\Program Files\Windows Media Player' for section 'WMP.Destination'
 Added CustomDestination '49300' as 'C:\PROGRA~1\WINDOW~2'.
 Added CustomDestination '49301' as 'C:\Program Files\Windows Media Player'.
 Added CustomDestination '49302' as 'C:\PROGRA~1\WINDOW~2'.
INF: Found section 'SkinDirectory'.
 Assigned destination: 'C:\Program Files\Windows Media Player\Skins' for section 'WMP.Destination'
 Added CustomDestination '49400' as 'C:\PROGRA~1\WINDOW~2\Skins'.
 Added CustomDestination '49401' as 'C:\Program Files\Windows Media Player\Skins'.
 Added CustomDestination '49402' as 'C:\PROGRA~1\WINDOW~2\Skins'.
INF: Found section 'DEFAULTINSTALL.NT5.1'.
 Source location is:'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\IXP000.TMP'.
 Parsing 'COPYFILES' INFSection:'Copy.Skin'
INF: Found section 'DESTINATIONDIRS'.
Resolving destination: 49400.
 Assigned destination: 'C:\PROGRA~1\WINDOW~2\Skins\' to 'Copy.Skin'.
  WMC_CopyFile: File 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\IXP000.TMP\Revert.wmz' is newer than the installed version.  This file will be installed.
 Copied file 'Revert.wmz' to 'C:\PROGRA~1\WINDOW~2\Skins\'.
 Parsing 'COPYFILES' INFSection:'Copy.INF'
INF: Found section 'DESTINATIONDIRS'.
 Assigned destination: 'C:\WINDOWS\INF\' to 'Copy.INF'.
  WMC_CopyFile: File 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\IXP000.TMP\skins.inf' is newer than the installed version.  This file will be installed.
 Copied file 'skins.inf' to 'C:\WINDOWS\INF\'.
INF: Found section 'DEFAULTINSTALL.NT5.1'.
 Parsing Reg section:'setskindir'.
 Processed ADDREG line: 'HKLM,SOFTWARE\Microsoft\MediaPlayer,SkinsDir,,C:\Program Files\Windows Media Player\Skins', result 0x0.
 Parsing Reg section:'AddReg.Rename'.
 Parsing Reg section:'AddReg.Uninst'.
 Processed ADDREG line: 'HKCR,Software\Microsoft\Multimedia\Components\Installed\playback_skins\Uninstall,InstallFile,2,C:\WINDOWS\INF\skins.inf', result 0x0.
 Processed ADDREG line: 'HKCR,Software\Microsoft\Multimedia\Components\Installed\playback_skins\Uninstall,InstallType,,advinf', result 0x0.
  Package install complete.  Last result 0xd2af8.
SUCCESS: Package 'Apparences du Lecteur Windows Media'.  Result: 0xd2af8.

Setup complete.  Result: '0xd2af8'.
System restore end point set.
Setup requires a reboot, but the parent application delayed this reboot.
Starting process 'C:\WINDOWS\inf\unregmp2.exe'.
Starting process 'C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\wpd_ci.dll,DoCmd remove rescan'.
Package clean-up: Cleaning up files at 'C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\WMC0002.tmp\Rollup3.exe'.

merci de bien vouloir me venir en aide, car avast bien que les repérant, ne les suprime pas.

booddha · Answer

Bonjour/Bonsoir
	•	Ne pas surfer ailleurs que sur le site
	•	Couper MSN ou tout autre connexion hormis celle sur le site
	•	Appliquer exactement les procédures indiquées.
	•	Au cas ou plusieurs intervenants se manifestent, en choisir un et un seul.

	•	Rester devant la machine en rafraichissant souvent le forum pour voir les nouvelles réponses.
	•	Répondre sans attendre à toutes les questions posées dans l'ordre ou elles ont étés posées
	•	Soyez précis dans vos réponses. Tenez vous en au sujet et rien qu'au sujet.
	•	A proscrire : le language SMS.

	•	Ne pas quitter tant qu'il n'est pas dit explicitement que le problème est résolu ou qu'il
dépasse les compétences de celui ou ceux qui vous aident.
	•	N'ouvrez pas plusieurs discussions sur le même sujet sauf si on vous le demande
(Problème non résolu. Ca arrive)

	•	Ne pas s'impatienter. L'analyse d'un rapport et la recherche de solutions
appropriées prends un certain temps.
Inutile donc de reposter le même message. Nous ne vous oublions pas, 
nous vous cherchons une solution

	•	Ne pas oublier : nous sommes bénévoles.
Nous mangeons, nous dormons, nous travaillons, nous avons une vie de famille aussi.


Préalable
	•	Vider la corbeille
	•	Fermer toutes les applications

===================== CCLEANER ========================

Nettoyage avec CCleaner
On va commencer par faire un peu le ménage

	•	Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.
	        http://download.piriform.com/ccsetup205.exe
	•	Fermer toutes les applications
	•	Lancer CCLeaner
	        S'il n'est pas en Français cliquer sur Options, Setting, Language 
          et sélectionner Français
	•	cocher dans le menu Nettoyeur - onglet Windows :
	        Internet Explorer: Fichiers Internet Temporaires, Cookies
	•	Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
	•	Avancé: Vieilles données du Prefetch
	•	Décocher dans le menu Options - sous-menu Avancé :
	        Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
	•	Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
	•	Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
	        Firefox/Mozilla: Cache Internet, Cookies 
	•	Click sur Analyse
	•	Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur. 
	•	Click sur Registre
	•	Sélectionner tout
	•	Click sur Chercher des erreurs (En bas)

	Une fois le scan terminé sélectionner tout  
	•	Click sur Réparer les erreurs sélectionnées

==================== HITJACKTHIS ======================

HijackThis

	•	Télécharger HijackThis ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
	•	Installer HijackThis dans un répertoire dédié NON Temporaire 
    (afin de conserver les sauvegardes qu'il fait) et en le renommant Monjack
	•	Fermer toutes les applications
	•	Lancer hitjackthis
	•	Click sur Do a system scan and save a logfile
	•	Copier/Coller le rapport sur le prochain message

lou · Answer

s'il vous plait aidé moi, je sais vraiment plus quoi faire, j'ai aisayé tout ce que me conseillé tout le monde mais ils sont encore la ! j'ai un fichier qui s'apelle winlogon.exe, il a été créé quand les virus sont apparus alors je suppose qu'il s'agit du virus lui même, ai-je tort ?

booddha · Answer

Tu n'as pas lu mon préambule?
Soit patient et ne tente rien surtout sur un fichier winlogon, sinon a pu windows.

booddha · Answer

MSNFix.zip

Télécharger MSNFix.zip (de !aur3n7 et Regis59) sur le bureau :

http://sosvirus.changelog.fr/MSNFix.zip

Conseil : Toujours télécharger avant utilisation pour profiter des dernières mises à jour.
Remarque: Il est possible que l'antivirus détécte un virus au téléchargement, 
il s'agit de Process.exe qui est un faux positif.

	•	Décompresser (clic droit : Extraire ici).
	•	A la racine du système, déplace le dossier décompressé, comme suit : C:\MSNFix.
	•	L'ouvrir et double click sur le fichier MSNFix.bat
	•	Exécutez l'option R.
	•	Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage.
	•	Sauvegarder ce rapport puis en faire un copier/coller sur le forum.
	•	Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt
	•	Ce n'est pas la fin du déverminage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations.
Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

booddha · Answer

on avance 

Désactiver les points de restauration du système
Pour cela
	•	Click-droit sur l'icône Poste de travail
	•	Click sur Propriétés
	•	Click sur l'onglet Restauration du système.
	•	Sélectionner Désactiver la Restauration du système 
	        ou Désactiver la Restauration du système sur tous les lecteurs
	•	Click sur Appliquer. 
  Tout les points de restauration seront supprimé. 
	•	Click sur Oui.
	•	Click sur OK.
	•	Relancer la machine

Remet un rapport hitjackthis,

lou · Answer

le fichier winlogo n'est plus là et avast ne détécte plus de virus, mai si vous dites que la dévermination n'est pas terminée, que dois-je faire maintenent pour m'en débarasser totalement ?

booddha · Answer

Comme demandé au-dessus, remet un rapport hitjackthis. On avance

booddha · Answer

•	Démarrer > executer > services.msc
	•	Click-droit sur le service cité - Boonty Games
	•	propriétés
	•	et dans type de démarrage sélectionner désactivé
	•	Ensuite si le Status du service est sur Démarré faire : arrêté
	•	Ouvrir Hijackthis puis:
	•	Open the Misc Tools Section
	•	Delete a NT Service
	•	Taper BOONTY puis valider. 

Prevenir quand fini

booddha · Answer

Essaye ça et dis moi tout 

• Ouvrir Hijackthis puis:
• Open the Misc Tools Section
• Delete a NT Service
• Taper Boonty Games puis valider.

lou · Answer

bon voila, j'ai mis "oui", que dois-je faire parès ?

booddha · Answer

Relance la machine et remet un rapport hitjackthis

booddha · Answer

----------------------- Fixer des lignes  HitjackThis -------------------

Relancer Hitjackthis

	•	Fixer ces lignes


O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab


	•	Pour fixer les lignes.
	•	Cliquer sur la petite case à gauche de la ligne à fixer.

	•	Une fois toutes les lignes cochées, cliquer sur le bouton en bas FIX CHECKED
	•	Fermer et relancer HitJackThis
	•	Copier/Coller le nouveau rapport sur le forum.

lou · Answer

sa me met : "Please help us improve Hijack This by reporting this error
Click 'Yes' to submit
Error Details:
An unexpected error has occurred at procedure: modMD5_GetFileFromAutostar("C:\ProgramFiles\TOSHIBA\PadTouch\PadExe.exe)
Error #5 - Argument ou appel de procédure incorrect
Windows version: Windows NT 5.01.2600
MSIE version: 7.0.5730.11
HijackThis version: 2.0.2
oui     non "
que dois-je faire ?

booddha · Answer

Réponds non et fait un nouvel essai.

lou · Answer

c'est bon ça a marcher, voici le raport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:01:51, on 02/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ACS.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'Default user')
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\ACS.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

lou · Answer

que dois-je faire à present ?

booddha · Answer

Relance ta machine et remet moi un rapport Hitjackthis

booddha · Answer

Ton pc fonctionne comment ?

lou · Answer

bien pour l'instant, cela voudrait dire que le virus a été vaincu ? mais est ce normal que avast n'apparaisse plus dans ma barre d'outil ?

booddha · Answer

Ben non justement, visiblement le crash d'HitjackThis nous a supprimé les entrées à quelques programmes.

Au pire il suffira de réinstaller dans les mêmes repertoires

Ne fait rien pour l'instant je reviens vers toi dès que j'ai quelque chose.

booddha · Answer

Visiblement le virus y en a plus.

Je te tiens au courant dans 5 - 10 minutes

booddha · Answer

Relance Hitjackthis

cliquez sur le bouton Config, 
et ensuite sur le bouton Backup (Sauvegarde), 
Il y a une liste de tous les éléments que précédemment supprimés

Dis moi ce qu'il y a dedans (ceux les plus en haut).

booddha · Answer

Tu avais bien cochés qu'une seule ligne précédemment ?

lou · Answer

dsl, si je pose beaucoup de question, mais dois-je réactiver la restauration du systeme si il n'y a plus de danger ?

lou · Answer

est ce que ça veut dire que tout ce qu'on a fait, cétait pas bon, est que le virus est encore là, je sais pas si je dois me rejouire d'avoir tué le virus ou non, alors s'il vous plait, dites moi, si il a des chance de réaparaitre ou pas !

booddha · Answer

Bon on ne c'est pas compris mais c'est de ma faute. Mais c'est moins grave finalement.

Patiente 5 minutes je te dis quoi.

booddha · Answer

Relance HijackThis, 
puis clique sur le bouton Config, et ensuite sur le bouton Backup (Sauvegarde), 

Sélectionne chaque ligne et appuie sur le bouton restore à droite

Sauf pour cette ligne.

O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab

Quand tu auras fini, tu relance la machine et tu me met un nouveau rapport hitjackthis

booddha · Answer

La machine tourne, les données sont sauvegardées c'est l'essentiel.

Je regarde le rapport et je te dis quoi.

booddha · Answer

Pour moi c'est bon.

Fais ceci

Nettoyage avec CCleaner
On va finir par un peu le ménage

• Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.
http://download.piriform.com/ccsetup205.exe
• Fermer toutes les applications
• Lancer CCLeaner
S'il n'est pas en Français cliquer sur Options, Setting, Language
et sélectionner Français
• cocher dans le menu Nettoyeur - onglet Windows :
Internet Explorer: Fichiers Internet Temporaires, Cookies
• Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
• Avancé: Vieilles données du Prefetch
• Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
• Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
• Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
Firefox/Mozilla: Cache Internet, Cookies
• Click sur Analyse
• Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.
• Click sur Registre
• Sélectionner tout
• Click sur Chercher des erreurs (En bas)

Une fois le scan terminé sélectionner tout
• Click sur Réparer les erreurs sélectionnées 

----------------------------------------------------------

Relance la machine

	•	Click avec le bouton droit sur Poste de travail 
	•	Click sur Propriétés.
	•	Click sur l'onglet Restauration du système.
	•	Désélectionner Désactiver la Restauration du système 
	        ou Désactiver la Restauration du système sur tous les lecteurs.
	•	Click sur Appliquer
	•	Click Ok

      La restauration du système créera régulièrement des sauvegardes 
      de fichiers système et fichiers de programme sélectionnés.

------------------------------------------------

Si tu ne l'as pas fait active le pare-feu Windows

pour activer/désactiver le Pare-feu Xp http://www.libellules.ch/firewall_xpsp2.php


-----------------------------------------------

Je te conseille de désinstaller avast qui n'est plus dans le coup et d'installer

Antivir et AVG Anti-spyware qui sont gratuits


Télécharger ANTIVIR qui est un antivirus gratuit
https://download.cnet.com/Avira-Free-Security-with-Antivirus/3000-18510_4-10322935.html?part=dl-AviraAnti&subj=dl&tag=button&cdlpid=10322935


Suivre cette procédure jusqu'au bout. En cas de doute demander
https://www.astucesinternet.com/modules/news/article.php?storyid=253

========================= AVG ANTI-SPYWARE ===============================

Merci à ep44 pour ce mode explicatif
Télécharger:
AVG-AntiSpyware http://download.grisoft.cz/filedir/inst/avgas-setup-7.5.1.43-3339.exe
	•	Installer
	•	Le lancer
	•	Click : Mise à jour
------
	•	Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
	•	Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

	•	Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
	•	Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
	•	Dans ANALYSE ( en forme de loupe )
	•	Paramètres ==> sous COMMENT REAGIR==>click sur Actions recommandées ==>Quarantaine
	•	Click : Analyse complète du système

En fin de scan ( qui est assez long)
	•	Clic Appliquer toutes les actions <== ceci Très important
	•	Clic Sauvegarder rapport puis Enregistrer sous et choisir bureau
-------
	•	Relancer la machine en mode normal
	•	Coller le rapport sur le prochain message

Voili, Voilou

booddha · Answer

Si tu me dérangeai, je ne t'aurais pas répondu depuis le début.

Mode sans echec

Tu relance la machine et avant que windows ne se lance tu tapotes la touche F8

Tu sélectionnes mode sans échec

Ne t'affoles pas, cela peut demander un certain temps avec un écran noir.

Quand windows va démarrer il n'aura pas la même tête, c'est normal

Applique la procédure.

Je vais diner là. Environ 1 heure

Le sioux · Answer

Bonsoir Bouddha

Tu as deja fait désactiver la restauration auparavant sans la réactiver. http://www.commentcamarche.net/forum/affich 5272793 sos cheval de troie win32#8

Il faut faire réactiver la restauration !!

La restauration ne doit être désactivé / réactivée qu'en fin de nettoyage quand le PC est sain et qu'il fonctionne comme il faut et pas avant :

Il vaut mieux avoir une restauration infectée que pas du tout, en cas de probleme, aucune possibilité de revenir en arrière .

@ méditer et à appliquer.

Le sioux · Answer

Bonsoir Bouddha

Ouaips, mal formulé, mais quelque soit la formulation, garder a l'esprit que ce n'est pas à faire en début de désinfection

=> 

* Désactivation :
Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer patiente jusqu’a ce que cela soit marqué "désactivé" puis Ok.

* Activation :
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer attends que cela soit à nouveau sur "surveillance" puis Ok. Redémarrer l'ordinateur..

Salut.

Le sioux · Answer

Re

Oui, ça me plait mieux. Je garde avec ta permission (je suis sur que oui) ;-)  --> oui, tu peux le garder

Bonsoir.

booddha · Answer

bon, je vais me coucher, je reviendrais demain, merci beaucoup de bien vouloir m'aider, je sais pas ce que j'aurais fait sans ton aide, merci d'avoir sacrifier ta journée pour m'aider, je t'en suis vraiment reconnaissante, merci !!

Bonne nuit

Tu vois, il nous en a encore trouvé un.
HKU\S-1-5-21-3111323951-607621660-2114891350-1009\Software\Pvm -> Adware.Hotsurprise : Nettoyé et sauvegardé (mise en quarantaine).

Tu double cliques sur le petit carré à quatre couleur avec un S au milieu qui est dans la barre de tâches en bas à droite.
Tu vas dans Infections.

Tu sélectionnes ce qu'il y a dedans et tu cliques sur le bouton en bas à gauche Supprimer définitivement.

Si tu n'as pas installé ANTIVIR je te rappelles la procédure

Télécharger ANTIVIR qui est un antivirus gratuit
https://download.cnet.com/


Suivre cette procédure jusqu'au bout. En cas de doute demander
https://www.astucesinternet.com/modules/news/article.php?storyid=253 

A la fin une fenêtre avec un bouton report

Cliques dessus et copie colle le rapport ici

Ensuite 
=========== POINT DE RESTAURATION SYSTEME =============

* Désactivation :
Clic droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
	•	Appliquer patienter jusqu’a ce que cela soit marqué "désactivé" puis Ok.

* Activation :
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
	•	Appliquer patienter que cela soit à nouveau sur "surveillance" puis Ok. 
	•	Redémarrer l'ordinateur..   

Remet un rapport hitjackthis pour contrôle.

lou · Answer

voici le rapport hitjackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:14:18, on 03/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ACS.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
C:\PROGRA~1\MESSAG~1\Demon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Toshiba\Toshiba Applet	hotkey.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSServ.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\Wanadoo	askbaricon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\LEROY ISABELLE\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Philips ToUcam Camera\GameCam SE\Program\RFTray.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr7/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\winlogon.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet	hotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo	askbaricon.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnumanLive] C:\Documents and Settings\LEROY ISABELLE\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
O4 - HKCU\..\Run: [swg] C:\WINDOWS\system32egsvr32.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'Default user')
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O4 - Global Startup: Reality Fusion GameCam SE.lnk = ?
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\ACS.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

booddha · Answer

Bonjour
=========== POINT DE RESTAURATION SYSTEME =============

* Désactivation :
Clic droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
	•	Appliquer 
	•	patienter jusqu’a ce que cela soit marqué "désactivé" puis Ok.

* Activation :
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
	•	Appliquer 
	•	patienter que cela soit à nouveau sur "surveillance" puis Ok. 
	•	Redémarrer l'ordinateur..   

Met un dernier rapport Hitjacthis pour contrôle et attends les instructions.

booddha · Answer

Tu peux supprimer MSNFix et HitJackThis.

Garde CCleaner pour nettoyer de temps en temps

Pour moi c'est OK DONKEY ;-)

A+

booddha · Answer

Je vais chercher.

Il n'y a pas une autre fenêtre qui s'ouvre avant ou après?

Cela se produit-il depuis que nous avons commencé les manipulations ou cela existait avant ?

Le problème viendrais d'une dll manquante.

Mais laquelle ? C'est cela qu'il faut trouver.

booddha · Answer

Je suis pas très doué en Anglais mais ça ressemble plus à un message d'info

Un rapport viral d'antivir ça ressemble à ça

=================
AVPACK32.DLL : 7.6.0.3      360488 Bytes  16/01/2008 04:14:22
AVREG.DLL    : 7.0.1.6       30760 Bytes  18/07/2007 07:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18/07/2007 07:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  08/03/2007 11:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07/08/2007 12:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  21/08/2007 12:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: ShlExt
Configuration file...............: C:\DOCUME~1\SWISSL~1\LOCALS~1\Temp\9cca4930.avp
Logging..........................: low
Primary action...................: repair
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: D:, 
Scan memory......................: on
Process scan.....................: off
Scan registry....................: off
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 
Macro heuristic..................: on
File heuristic...................: high
Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Start of the scan: lundi 3 mars 2008  11:44

Starting the file scan:

Begin scan in 'D:\' <DATA>
D:\Documents\Bureau\Navilog1.exe
      [DETECTION] Contains detection pattern of the dropper DR/Tool.Reboot.F.50
      [INFO]      A backup was created as '4841d6e7.qua'  ( QUARANTINE )


End of the scan: lundi 3 mars 2008  11:49
Used time: 04:44 min

The scan has been done completely.

   1574 Scanning directories
  13507 Files were scanned
      1 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      1 files were moved to quarantine
      0 files were renamed
      0 Files cannot be scanned
  13506 Files not concerned
     25 Archives were scanned
      0 Warnings
      1 Notes


Si tu n'as pas de proposition pour mettre en quarantaine ou pour supprimer, tu peux fermer la fenêtre.

Antivir est gratuit mais il y a des versions plus élaborées payante.
Vu la qualité du produit, on peut le laisser faire un peu de pub, il ne sera pas trop génént la-dessus

david · Answer

Bonjour,
J'ai également ce virus, et j'ai lu attentivemernt tout ce qui est demandé, mais lorsque je veux télécharger hitjackthis, c'est automatiquement contré, idem pour un antivirus ou adware!!!!!! comment faire?

booddha · Answer

Recharge hijackthis

============================= HITJACKTHIS ===============================

HijackThis

	•	Télécharger HijackThis ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
	•	Installer HijackThis en acceptant les paramètres par défaut.
    (afin de conserver les sauvegardes qu'il fait) et en le renommant Monjack
	•	Fermer toutes les applications
	•	Lancer hitjackthis

----------------------- Fixer des lignes  HitjackThis -------------------

Relancer Hitjackthis

	•	Fixer cette/ces lignes


F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\LEROYI~1\LOCALS~1\Temp\win logon.exe

O4 - HKCU\..\Run: [swg] C:\WINDOWS\system32\regsvr32.exe


	•	Pour fixer cette/ces lignes.
	•	Cliquer sur la petite case à gauche de chaque ligne à fixer.

	•	Une fois cette/ces lignes cochées, cliquer sur le bouton en bas FIX CHECKED
	•	Fermer et relancer HitJackThis
	•	Copier/Coller le nouveau rapport sur le forum.

booddha · Answer

De rien ;-)

==============
Ce problème 

Je reprend le relais de ma fille Lou ( bien plus douée que moi en informatique) pour continuer à t'embêter un p'tit peu .
Il y a une fenêtre qui s'ouvre systématiquement lors de la mise en route de l'ordi sur la page d'acceuil et qui ressemble à ça :

Aucun nom de DLL spécifié
Utilisation : regsvr32(/u)(/s)(/n)(/i)
(commande)) nom de DLL
/u- Désinscrit le serveur
/s- Mode silencieux
/i- Appelle DLL Install et transmet commande facultative . Utilisé avec /u
/n- Ne pas appeler DLL Register Serveur .
Utiliser cette option avec /i

Que dois-je faire avec ça ?
Peux-tu m'aider, s'il te plaît .

Terminé ? (je pense que oui)

_

booddha · Answer

Je m'absente. De retour fin d'AM

Mais si tu n'as plus le message, nous aurons terminé.

_

Sos, cheval de troie win32

43 réponses

Votre réponse

Discussions similaires

Newsletters