SPYWARE.IEMONSTER.B

Fermé
PassePartout - 5 avril 2008 à 17:17
 Utilisateur anonyme - 6 avril 2008 à 20:47
Bonjour les pros,
J'ai un spyware dont je ne parviens pas à me débarraser.
Voici le log de Hijackthis.
Merci pour vos conseils pour les actions à mener


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:14:16, on 05/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DNA\btdna.exe
e:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\Program Files\Eset\nod32krn.exe
e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\winver.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\winupdate.exe
e:\Program Files\a-squared Anti-Malware\a2service.exe
E:\Program Files\Mozilla Firefox\firefox.exe
E:\Program Files\WinTV\WinTV2K.EXE
D:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: run="C:\WINDOWS\system32\winupdate.exe"
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - E:\Program Files\BitComet\tools\BitCometBHO_1.2.1.2.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nTrayFw] e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKLM\..\Policies\Explorer\Run: [CA1Y7wQcRl] C:\WINDOWS\system32\winver.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://E:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://E:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://E:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Add to AMV Converter... - E:\Program Files\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - E:\Program Files\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://E:\Program Files\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: cbxvvsqn - C:\WINDOWS\SYSTEM32\cbxvvsqn.dll
O20 - Winlogon Notify: winjgf32 - C:\WINDOWS\SYSTEM32\winjgf32.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - e:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - e:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

10 réponses

Utilisateur anonyme
5 avril 2008 à 17:21

Bonjour/Bonsoir
• Ne pas surfer ailleurs que sur le site
• Couper MSN ou tout autre connexion hormis celle sur le site
• Appliquer exactement et dans l'ordre les procédures indiquées.
Au cas ou plusieurs intervenants se manifestent, en choisir un et un seul.

• Rester devant la machine en rafraichissant souvent le forum pour voir les nouvelles réponses.
• Répondre sans attendre à toutes les questions posées dans l'ordre ou elles ont étés posées
• Etre précis dans les réponses. Ne s'en tenir qu'au sujet et rien qu'au sujet.
A proscrire : le language SMS.

Ne pas quitter tant qu'il n'est pas dit explicitement que le problème est résolu ou qu'il dépasse les compétences de celui ou ceux qui vous aident.
• Ne pas ouvrir plusieurs discussions sur le même sujet sauf si on vous le demande (Problème non résolu. Ca arrive)

• Ne pas s'impatienter. L'analyse d'un rapport et la recherche de solutions appropriées prends un certain temps. Inutile donc de reposter le même message. Nous ne vous oublions pas, nous vous cherchons une solution

• Ne pas oublier : nous sommes bénévoles. Nous mangeons, nous dormons, nous travaillons, nous avons une vie de famille aussi.

• Les procédures qui vont suivre, bien que largement éprouvées, sont mises en oeuvre aux risques et périls du possesseur de la machine.


Préparation de la machine
• Vider la corbeille
• Fermer toutes les applications

================ PareFeu XP - Vista ===================
• Si un autre pare-feu que celui de windows est installé, vérifier qu'il est actif et passer à l'étape CCleaner

• Sinon

pour activer/désactiver le Pare-feu Vista
pour activer/désactiver le Pare-feu Xp le Pare-feu Vista

• Activer le pare-Feu si ce n'est déjà fait

===================== CCLEANER ========================
Pour le petit coup de polish.
• Appliquer la procédure ci-dessous.
• l'outil pourra être conservé pour faire le ménage de temps en temps en appliquant la même procédure.

• Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.
• Fermer toutes les applications
• Lancer CCLeaner
S'il n'est pas en Français cliquer sur Options, Setting, Language et sélectionner Français
• cocher dans le menu Nettoyeur - onglet Windows :
Internet Explorer: Fichiers Internet Temporaires, Cookies
• Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
• Avancé: Vieilles données du Prefetch
• Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
• Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
• Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
Firefox/Mozilla: Cache Internet, Cookies
• Click sur Analyse
• Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.
• Click sur Registre
• Sélectionner tout
• Click sur Chercher des erreurs (En bas)

Une fois le scan terminé sélectionner tout
• Click sur Réparer les erreurs sélectionnées


==================== HIJACKTHIS ======================

HijackThis

Supprimer HiJackThis actuel mal installé puis

• Télécharger HijackThis
• Installer HijackThis en se laissant guider (Accepter le répertoire proposé sans rien changer)
• Fermer HijackThis
• Télécharger sur le bureau HJTNew (Si le Pare-Feu ou l'Anti-virus se manifeste, Ignorer)
• Fermer toutes les applications
• Se débrancher d'Internet (Enlever le cable, c'est encore la meilleure solution)
• Lancer HJTNew.exe (Si le Pare-Feu ou l'Anti-virus se manifeste, Ignorer)
Ne pas s'étonner pour HJTNew, rien ne s'affiche, juste une fenêtre qui s'ouvre et se ferme aussitôt. C'est normal.
• Fermer HiJackThis
• Supprimer HJTNew.exe (sinon l'Anti-virus risque de se manifester souvent) puis

======================== SDFIX ========================

• Télécharger SDFix sur le bureau
• Double-Click sur le fichier SDFix.EXE et se laisser guider pour l'installation
• Le programme s'installe dans le répertoire C:\SDFix

Il est indispensable d'effectuer le nettoyage avec SDFix en mode sans échec.
------
• Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
• Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes.

• Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
• Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
• Une fois en mode sans échec, cliquer sur le menu Démarrer puis Exécuter et coller la commande suivant : C:\SDFix\RunThis.bat
• Taper Y puis appuyer sur la touche Entrée du clavier, afin de lancer le nettoyage !
SDFix va procéder au nettoyage, patience...cela peut durer une trentaine de minutes
• Une fenêtre indique que SDFix doit redémarrer l'ordinateur afin de terminer le nettoyage.
-------
• Appuyer sur une touche du clavier pour redémarrer le PC.
• Au redémarrage du PC, SDFix indique que le nettoyage est terminé.
• Appuyer sur une touche du clavier afin d'ouvrir le rapport créé par SDFix.
• Il peut être enregistré si besoin, par exemple si on demande de le poster sur un forum (menu Edition / Enregistrer sous).
• Sans quoi le rapport sera quand même sauvegardé dans le fichier suivant : Report.txt
dans le dossier SDFix (ex : C:\SDFix\Report.txt). + Rapport HiJackThis
3
Voici les rapports Hijackthis & SDFIX après la mise en oeuvre des actions détaillées.
Je n'ai, à priori, plus de signe de spyware.

______________________________________________________

SDFIX
_______________________________________________________


[b]SDFix: Version 1.166 [/b]

Run by La maison du Bonheur on 05/04/2008 at 17:59

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\system32\WINJGF32.dll - Deleted
C:\Documents and Settings\La maison du Bonheur\Bureau\BDSM galleries.URL - Deleted
C:\Documents and Settings\La maison du Bonheur\Bureau\Uncensored porn.URL - Deleted
C:\WINDOWS\system32\sex1.ico.tmp - Deleted
C:\WINDOWS\system32\sex2.ico.tmp - Deleted
C:\WINDOWS\system32\update32.exe.tmp - Deleted
C:\WINDOWS\system32\winupdate.exe - Deleted
C:\WINDOWS\system32\wscmp.dll.tmp - Deleted





Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-05 18:03:40
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="e:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:ad,dd,37,85,d2,c9,9b,02,d2,c8,93,26,5b,b7,47,28,3a,b4,b9,e2,a2,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="e:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:ad,dd,37,85,d2,c9,9b,02,d2,c8,93,26,5b,b7,47,28,3a,b4,b9,e2,a2,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"E:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"="E:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe:*:Enabled:Apache HTTP Server"
"E:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="E:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"E:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="E:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"E:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="E:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"
"E:\\Program Files\\Pro Evolution Soccer 2008\\PES2008.exe"="E:\\Program Files\\Pro Evolution Soccer 2008\\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Program Files\\DNA\\btdna.exe"="C:\\Program Files\\DNA\\btdna.exe:*:Enabled:DNA"
"e:\\Program Files\\BitTorrent\\bittorrent.exe"="e:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"C:\\DOCUME~1\\LAMAIS~1\\LOCALS~1\\Temp\\win55E.exe"="C:\\DOCUME~1\\LAMAIS~1\\LOCALS~1\\Temp\\win55E.exe:*:Enabled:win55E"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Thu 19 Aug 2004 93,184 A.SH. --- "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"
Thu 19 Aug 2004 60,416 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"
Sun 15 Jul 2007 1,287,040 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f092643004fe50cceed65d55dd41fd7d\BIT4A.tmp"

[b]Finished![/b]



______________________________________________________

Hijacktihis
_______________________________________________________


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:13:18, on 05/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
e:\Program Files\a-squared Anti-Malware\a2service.exe
e:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\Program Files\Eset\nod32krn.exe
e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DNA\btdna.exe
E:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\MonJack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {0259B871-9302-43D6-AE1A-3EED206FF3A3} - C:\WINDOWS\system32\cbxvvssq.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1C72F7D4-A286-4B60-BDAD-438982FBB771} - C:\WINDOWS\system32\cbxvvsqn.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - E:\Program Files\BitComet\tools\BitCometBHO_1.2.1.2.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nTrayFw] e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://E:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://E:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://E:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Add to AMV Converter... - E:\Program Files\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - E:\Program Files\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://E:\Program Files\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: cbxvvsqn - C:\WINDOWS\SYSTEM32\cbxvvsqn.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - e:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - e:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
0
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
5 avril 2008 à 17:24
salut,

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

+ nouveau hijack this

@+
1
Utilisateur anonyme
6 avril 2008 à 20:47
;)
1
Utilisateur anonyme
5 avril 2008 à 18:19
+CCl
+HJT
+SDFix
IE7
MalwaresBytes
---------------------- Ne pas tenir compte des lignes ci-dessus


=========== MISE A JOUR INTERNET EXPLORER ===============
• Installer IE7

================== MalwareBytes =====================

Telecharger MalwareBytes

Le Tutorial

Attention à ce que l'option Perform Full Scan soit cochée

Ne pas oublier de supprimer tout ce que MalwaresByte trouve. Bouton Remove Selected après avoir tout sélectionné

Poster le rapport et un nouveau rapport HiJackThis
0
Booddha,
Je ne veux pas d'IE7. J'utilise Mozilla.

Je vais directement charger MalwareBytes. Mais je ferai cela demain merci.
Et je posterai le nouveau rapport HiJackThis

A demain
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
5 avril 2008 à 18:28
passe partout,

passe combofix comme je te l´ai dis au post 3

@+
0
Utilisateur anonyme
5 avril 2008 à 18:40
Salut

Tu peux me laisser aller au bout de ma procédure STP ?
L'infection Combo à bien été identifiée dès le départ

Merci à toi.
0
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
5 avril 2008 à 18:44
oups, faut pas se facher !!!
je te laisse finir...
@+
0
Utilisateur anonyme
5 avril 2008 à 18:44
Je ne me fâche pas ;)
0
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
5 avril 2008 à 19:00
^^
0
Utilisateur anonyme
5 avril 2008 à 21:11
PassePartout, la question n'est pas d'utiliser IE7

IE7 tu en as besoin dans certains cas très précis ou Mozilla ne peut rien pour toi. Windows Update par exemple.

Il corrige des failles de sécurité sur IE6.

Donc le mettre à jour ne t'empêchera pas de continuer à utiliser Firefox (c'est ce que je fais) mais t'éviteras des ennuis dans les rares cas ou tu auras besoin d'IE7.

Pour le reste, j'attends les rapports

A demain.
0
Booddha,
J'ai donc suivi tes instruction:
Installation IE7 ....

Voici les deux rapports:

A ta dispo pour la suite si il y a


___________________________________

Hijackthis
___________________________________


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:06:44, on 06/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DNA\btdna.exe
e:\Program Files\a-squared Anti-Malware\a2service.exe
e:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\Program Files\Eset\nod32krn.exe
e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\MonJack.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - E:\Program Files\BitComet\tools\BitCometBHO_1.2.1.2.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nTrayFw] e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://E:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://E:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://E:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Add to AMV Converter... - E:\Program Files\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - E:\Program Files\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://E:\Program Files\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - e:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - e:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - e:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
0
Utilisateur anonyme
6 avril 2008 à 14:18
Bon, je ne vois plus rien. On termine

----------------------- Fixer des lignes HitjackThis -------------------

Relancer Hitjackthis

• Fixer cette/ces lignes


O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://E:\Program Files\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)


• Pour fixer cette/ces lignes.
• Cliquer sur la petite case à gauche de chaque ligne à fixer.

• Une fois cette/ces lignes cochées,
• fermer toutes tes fenêtres y compris internet
• click sur le bouton en bas FIX CHECKED
• Fermer HitJackThis

================= TOOLSCLEANER2 ===================
Pour enlever les outils que l'on a utilisé.
• Télécharger ToolsCleaner2
• Double-clic dessus à l'endroit où il a été téléchargé :
• clic sur Recherche
• patienter un moment le temps qu'il travaille...
• Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés,
• clic sur Suppression afin de les supprimer.
• Fermer le programme en cliquant sur Quitter.
• Poster le rapport qui se trouve ici >>> C:\TCleaner.txt

Supprimer TOOLSCLEANER et tous les rapports ayant pu être sauvegardé.

==========================

Mettre à jour les bases virales de NOD32 et A-Squared et faire un scan avec chacun de la machine en mode sans echec

Si rapport, les poster ici

===================== CCLEANER ========================
Pour le petit coup de polish.
• Appliquer la procédure ci-dessous.
• l'outil pourra être conservé pour faire le ménage de temps en temps en appliquant la même procédure.

• Fermer toutes les applications
• Lancer CCLeaner
• cocher dans le menu Nettoyeur - onglet Windows :
Internet Explorer: Fichiers Internet Temporaires, Cookies
• Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
• Avancé: Vieilles données du Prefetch
• Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
• Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
• Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
Firefox/Mozilla: Cache Internet, Cookies
• Click sur Analyse
• Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.
• Click sur Registre
• Sélectionner tout
• Click sur Chercher des erreurs (En bas)

Une fois le scan terminé sélectionner tout
• Click sur Réparer les erreurs sélectionnées

=========== POINT DE RESTAURATION SYSTEME =============

* Désactivation :
Clic droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
• Appliquer
• patienter jusqu’a ce que cela soit marqué "désactivé" puis Ok.

* Activation :
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
• Appliquer
• patienter que cela soit à nouveau sur "surveillance" puis Ok.
• Redémarrer l'ordinateur..

Et voilà terminé.

Su tu le désires, inscrit toi sur ce site qui le mérite bien. Cela permettra une prochaine fois de mettre ton topic en résolu

Bonne continuation ............ ;)
-
0
Booddha,
Les scan des NOD32 & de A-Squared ont été très long
Nod 32 a alerté sur 4 fichiers exécutable.
Voici les rapports de scan

Je me suis arrêté avant CCleaner. JE poursuis en attendant ta réponse.


______________

NOD32
______________


Analyse exécutée le: 06/04/2008 17:20:28
Date: 6.4.2008 Heure: 17:31:00
La technologie Anti-furtif est activée.
Disques, répertoires et fichiers analysés: C:; D:; E:; F:; I:; J:
C:\pagefile.sys - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\Documents and Settings\La maison du Bonheur\NTUSER.DAT - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\Documents and Settings\La maison du Bonheur\ntuser.dat.LOG - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\Documents and Settings\La maison du Bonheur\Application Data\Mozilla\Firefox\Profiles\loar25uz.default\parent.lock - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\Documents and Settings\La maison du Bonheur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\Documents and Settings\La maison du Bonheur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\Documents and Settings\La maison du Bonheur\Local Settings\Temp\AcrE43D.tmp - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\Documents and Settings\La maison du Bonheur\Local Settings\Temp\~PST6884.tmp - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\Documents and Settings\LocalService\NTUSER.DAT - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\Documents and Settings\LocalService\ntuser.dat.LOG - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\Documents and Settings\NetworkService\ntuser.dat.LOG - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\System Volume Information\MountPointManagerRemoteDatabase - erreur à l'ouverture (accès refusé) [4]
C:\WINDOWS\system32\config\default - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\WINDOWS\system32\config\default.LOG - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\WINDOWS\system32\config\SAM - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\WINDOWS\system32\config\SAM.LOG - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\WINDOWS\system32\config\SECURITY - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\WINDOWS\system32\config\SECURITY.LOG - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\WINDOWS\system32\config\software - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\WINDOWS\system32\config\software.LOG - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\WINDOWS\system32\config\system - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\WINDOWS\system32\config\system.LOG - erreur à l'ouverture (le fichier est verrouillé) [4]
C:\WINDOWS\system32\drivers\sptd.sys - erreur à l'ouverture (le fichier est verrouillé) [4]
D:\System Volume Information\MountPointManagerRemoteDatabase - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Help\ofp_en.chm - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Help\ofp_fr.chm - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\html\cache.ini - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\html\op1.tmp - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\html\op4.tmp - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Kernel\adblock.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Kernel\arp.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Kernel\content.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Kernel\dnscache.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Kernel\filt95.vxd - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Kernel\filtnt.sys - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Kernel\ftpfilt.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Kernel\htmlfilt.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Kernel\httpfilt.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Kernel\imapfilt.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Kernel\mailfilt.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Kernel\nntpfilt.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Kernel\pop3filt.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Kernel\protect.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Kernel\SandBox.sys - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Kernel\secret.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Kernel\sockfilt.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\log\e.1005.590.20070324_1359.mdmp - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\log\FeedBack\feedback.zip - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\Ads\ad_int.fr - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\Ads\ad_int.ofp - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\AntiSpyware\spy5_main.sdb - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\AntiSpyware\spy6_inc.sdb - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\AntiSpyware\spy6_main.sdb - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\AntiSpyware\sp_cure.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\AntiSpyware\sp_db.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\AntiSpyware\sp_mon.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\AntiSpyware\sp_scan.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\AntiSpyware\sp_scan.fr - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\AntiSpyware\sp_ui.fr - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\AntiSpyware\sp_ui.ofp - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\AntiSpyware\~spy6_main.sdb - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\AntiSpyware\quarantine\quarantine.stg - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.fr - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\op_hdlr.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\xpbar.dll - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\Content\cnt_int.fr - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\Content\cnt_int.ofp - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\DNS\dns.log - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\DNS\dns_int.fr - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\DNS\dns_int.ofp - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\File\file_int.fr - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\File\file_int.ofp - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\Protect\prot_int.fr - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\Protect\prot_int.ofp - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\Web\web_int.fr - erreur à l'ouverture (accès refusé) [4]
E:\Program Files\Agnitum\Outpost Firewall\Plugins\Web\web_int.ofp - erreur à l'ouverture (accès refusé) [4]
E:\System Volume Information\MountPointManagerRemoteDatabase - erreur à l'ouverture (accès refusé) [4]
F:\System Volume Information\MountPointManagerRemoteDatabase - erreur à l'ouverture (accès refusé) [4]
I:\System Volume Information\MountPointManagerRemoteDatabase - erreur à l'ouverture (accès refusé) [4]
J:\System Volume Information\MountPointManagerRemoteDatabase - erreur à l'ouverture (accès refusé) [4]
Nombre de fichiers analysés: 108474
Nombre de menaces détectées: 0
Heure d'achèvement: 18:09:13 Temps total d'analyse : 2293 sec (00:38:13)

Notes:
[4] Ouverture du fichier impossible. Il est utilisé exclusivement par une autre application ou le système d'exploitation.



_____________________________________________

A_Squared
______________________________________________

Version - a-squared Anti-Malware 3.5
Dernière mise à jour : 06/04/2008 15:22:07

Paramètres du Scan :

Éléments : Mémoire, Traces, Cookies, C:\, D:\, E:\, F:\, I:\, J:\
Analyse les archives : Marche
Heuristiques : Marche
Analyse ADS : Marche

Début de l'analyse : 06/04/2008 15:22:33

C:\System Volume Information\_restore{73DED312-A4F9-49EC-9379-01DD06BB3990}\RP208\A0054282.exe/patch.exe Objets détectés : Dialer
C:\System Volume Information\_restore{73DED312-A4F9-49EC-9379-01DD06BB3990}\RP208\A0054282.exe/patch.exe Objets détectés : Dialer
C:\System Volume Information\_restore{73DED312-A4F9-49EC-9379-01DD06BB3990}\RP208\A0054898.exe Objets détectés : Riskware.RiskTool.Win32.PsKill.k
C:\System Volume Information\_restore{73DED312-A4F9-49EC-9379-01DD06BB3990}\RP214\A0055311.exe/Process.exe Objets détectés : Riskware.RiskTool.Win32.Processor.20
C:\System Volume Information\_restore{73DED312-A4F9-49EC-9379-01DD06BB3990}\RP214\A0055348.exe Objets détectés : Riskware.RiskTool.Win32.Processor.20
C:\System Volume Information\_restore{73DED312-A4F9-49EC-9379-01DD06BB3990}\RP214\A0055377.exe Objets détectés : Riskware.RiskTool.Win32.Processor.20
C:\System Volume Information\_restore{73DED312-A4F9-49EC-9379-01DD06BB3990}\RP214\A0055378.exe Objets détectés : Riskware.RiskTool.Win32.Reboot.f
C:\WINDOWS\system32\Process.exe Objets détectés : Riskware.RiskTool.Win32.Processor.20
D:\Everest Poker.exe Objets détectés : Adware.Win32.Casino.af
D:\SmitfraudFix.exe Objets détectés : Riskware.RiskTool.Win32.Reboot.f
D:\winrar_winrar_3.62_anglais_9632.exe Objets détectés : Trojan.Win32.Agent.hms
E:\Program Files\Mozilla Firefox\SmitfraudFix\Process.exe Objets détectés : Riskware.RiskTool.Win32.Processor.20
E:\Program Files\Mozilla Firefox\SmitfraudFix\Reboot.exe Objets détectés : Riskware.RiskTool.Win32.Reboot.f
E:\System Volume Information\_restore{483E6DA7-D5EA-4AFE-BF10-3C3A437B36A0}\RP8\A0005004.exe Objets détectés : Riskware.RiskTool.Win32.Processor.20
E:\System Volume Information\_restore{483E6DA7-D5EA-4AFE-BF10-3C3A437B36A0}\RP8\A0005005.exe Objets détectés : Riskware.RiskTool.Win32.Reboot.f
F:\Mes documents\Ordinateur\fichiers téléchargés\morpheus\Morph20.exe Objets détectés : Adware.WurldMedia.a

Analysé

Fichiers: 190154
Traces: 396208
Cookies : 36
Processus: 30

Objets trouvés

Fichiers: 16
Traces: 0
Cookies : 0
Processus: 0
Clés du Registre : 0

Fin de l'analyse : 06/04/2008 16:38:28
Temps de l'analyse : 1:15:55

F:\Mes documents\Ordinateur\fichiers téléchargés\morpheus\Morph20.exe Objets Supprimés Adware.WurldMedia.a
D:\winrar_winrar_3.62_anglais_9632.exe Objets Supprimés Trojan.Win32.Agent.hms
D:\Everest Poker.exe Objets Supprimés Adware.Win32.Casino.af
C:\System Volume Information\_restore{73DED312-A4F9-49EC-9379-01DD06BB3990}\RP214\A0055378.exe Objets Supprimés Riskware.RiskTool.Win32.Reboot.f
D:\SmitfraudFix.exe Objets Supprimés Riskware.RiskTool.Win32.Reboot.f
E:\Program Files\Mozilla Firefox\SmitfraudFix\Reboot.exe Objets Supprimés Riskware.RiskTool.Win32.Reboot.f
E:\System Volume Information\_restore{483E6DA7-D5EA-4AFE-BF10-3C3A437B36A0}\RP8\A0005005.exe Objets Supprimés Riskware.RiskTool.Win32.Reboot.f
C:\System Volume Information\_restore{73DED312-A4F9-49EC-9379-01DD06BB3990}\RP214\A0055311.exe/Process.exe Objets Supprimés Riskware.RiskTool.Win32.Processor.20
C:\System Volume Information\_restore{73DED312-A4F9-49EC-9379-01DD06BB3990}\RP214\A0055348.exe Objets Supprimés Riskware.RiskTool.Win32.Processor.20
C:\System Volume Information\_restore{73DED312-A4F9-49EC-9379-01DD06BB3990}\RP214\A0055377.exe Objets Supprimés Riskware.RiskTool.Win32.Processor.20
C:\WINDOWS\system32\Process.exe Objets Supprimés Riskware.RiskTool.Win32.Processor.20
E:\Program Files\Mozilla Firefox\SmitfraudFix\Process.exe Objets Supprimés Riskware.RiskTool.Win32.Processor.20
E:\System Volume Information\_restore{483E6DA7-D5EA-4AFE-BF10-3C3A437B36A0}\RP8\A0005004.exe Objets Supprimés Riskware.RiskTool.Win32.Processor.20
C:\System Volume Information\_restore{73DED312-A4F9-49EC-9379-01DD06BB3990}\RP208\A0054898.exe Objets Supprimés Riskware.RiskTool.Win32.PsKill.k
C:\System Volume Information\_restore{73DED312-A4F9-49EC-9379-01DD06BB3990}\RP208\A0054282.exe/patch.exe Objets Supprimés Dialer
C:\System Volume Information\_restore{73DED312-A4F9-49EC-9379-01DD06BB3990}\RP208\A0054282.exe/patch.exe Objets Supprimés Dialer

Objets Supprimés

Fichiers: 16
Traces: 0
Cookies : 0
0
Utilisateur anonyme
6 avril 2008 à 19:40
Continue la procédure.

Ce que A_Squarred a trouvé dans restore sera effacé par la dernière manip de la procédure.
0
Booddha,
J'ai terminé les opérations.
Merci pour ton aide.
PassePartout

NB: J'ai créé un compte.
0