toujours spyware secure , instant accès et p Fermé

Question

Bonjour,
depuis hier je n'ai reçu aucune reponse satisfaisante a mon problème de spyware secure , alors en suivant les problèmes resolus j'ai fais navilog donc voici le rapport:
quelqu'un aura-til la bonne volonté de m'aider ? je n'en peux plus de me casser la tete ; merci d'avance . 
Search Navipromo version 3.5.3 commencé le 11/04/2008 à 17:55:12,28

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis E:\Program Files
avilog1
Session actuelle : "TELECENTRE" 

Mise à jour le 09.04.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***


Instant Access


*** Recherche dossiers dans E:\WINDOWS ***



*** Recherche dossiers dans E:\Program Files ***

E:\Program Files\Instant Access trouvé !


*** Recherche dossiers dans E:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "E:\Documents and Settings\TELECENTRE\applic~1" *** 



*** Recherche dossiers dans "E:\Documents and Settings\TELECENTRE\locals~1\applic~1" *** 



*** Recherche dossiers dans "E:\Documents and Settings\TELECENTRE\menudm~1\progra~1" *** 


*** Recherche dossiers dans E:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

E:\WINDOWS\system32\ozsdyftee.dat
E:\WINDOWS\system32\ozsdyftee.exe
E:\WINDOWS\system32\ozsdyftee_nav.dat
E:\WINDOWS\system32\ozsdyftee_navps.dat



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans E:\WINDOWS\system32 *

* Recherche dans "E:\Documents and Settings\TELECENTRE\locals~1\applic~1" * 



*** Recherche fichiers *** 


E:\WINDOWS\pack.epk trouvé !
E:\WINDOWS	mlpcert2007 trouvé !
E:\WINDOWS\system32
vs2.inf trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 
HKEY_CURRENT_USER\Software\mc trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans E:\WINDOWS\system32 :

forkqjvm_navup.dat trouvé !
ozsdyftee.dat trouvé !

* Dans "E:\Documents and Settings\TELECENTRE\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 11/04/2008 à 18:01:17,26 ***

jfkpresident · Answer

salut,

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.

Postes le rapport içi.




Pour supprimer Navilog par la suite

1/ Désinstalle Navilog1 Via ajout/suppression des programmes --> Navilog1
Via le fichier uninstall présent dans le dossier %programfiles%
avilog1.1
Ensuite supprime également ce dossier : C:\Program Files
avilog1



Ensuite

C'est un complément de désinfection
Il supprime des fichiers appartenant à des malwares.
Il ne vise pas des infections particulières.

Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip
Tuto
http://mickael.barroux.free.fr/securite/clean.php
Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extrait tout ou extraire ici.
Cela va créer un dossier clean.
Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
Clean va travailler.
Un rapport Va etre généré, colle le contenu entier ici.

(- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )

Cet adware est installé, entre autre, par les programmes :go-astro - Instant Access - InternetGameBox - GoRecord -
HotTVPlayer - MailSkinner - Messenger Skinner - sudoplanet - Webmediaplayer

eleonore gisele · Answer

bonjour , merci infiniment pour ton aide 
j'ai suivi scrupuleusement les indics et j'ai pu tcopier le rapport du bloc notes que voici , je continues les autres manips et je tenverrai les rapportsd plutard
Clean Navipromo version 3.5.3 commencé le 11/04/2008 à 19:59:56,70

Outil exécuté depuis E:\Program Files
avilog1
Session actuelle : "TELECENTRE" 

Mise à jour le 09.04.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Système de fichiers : NTFS

Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


*** Creation backups fichiers trouvés par Catchme *** 

Copie vers "E:\Program Files
avilog1\Backupnavi"

Copie E:\WINDOWS\system32\ozsdyftee.dat réalisée avec succès ! 
Copie E:\WINDOWS\system32\ozsdyftee.exe réalisée avec succès ! 
Copie E:\WINDOWS\system32\ozsdyftee_nav.dat réalisée avec succès ! 
Copie E:\WINDOWS\system32\ozsdyftee_navps.dat réalisée avec succès ! 

*** Suppression des fichiers trouvés avec Catchme ***

E:\WINDOWS\system32\ozsdyftee.dat supprimé ! 
E:\WINDOWS\system32\ozsdyftee.exe supprimé ! 
E:\WINDOWS\system32\ozsdyftee_nav.dat supprimé ! 
E:\WINDOWS\system32\ozsdyftee_navps.dat supprimé ! 
 
** 2ème passage avec résultats Catchme ** 

* Dans E:\WINDOWS\system32 *


E:\WINDOWS\prefetch\ozsdyftee*.pf trouvé ! 
Copie E:\WINDOWS\prefetch\ozsdyftee*.pf réalisée avec succès !
E:\WINDOWS\prefetch\ozsdyftee*.pf supprimé !

* Dans "E:\Documents and Settings\TELECENTRE\locals~1\applic~1" * 


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans E:\WINDOWS\System32 *


* Suppression dans "E:\Documents and Settings\TELECENTRE\locals~1\applic~1" * 



*** Suppression dossiers dans E:\WINDOWS ***


*** Suppression dossiers dans E:\Program Files ***

E:\Program Files\Instant Access ...suppression... 
E:\Program Files\Instant Access supprimé ! 


*** Suppression dossiers dans E:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "E:\Documents and Settings\TELECENTRE\applic~1" *** 


*** Suppression dossiers dans "E:\Documents and Settings\TELECENTRE\locals~1\applic~1" *** 


*** Suppression dossiers dans "E:\Documents and Settings\TELECENTRE\menudm~1\progra~1" *** 


*** Suppression dossiers dans E:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***

E:\WINDOWS\pack.epk supprimé !
E:\WINDOWS	mlpcert2007 supprimé !
E:\WINDOWS\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu E:\WINDOWS\Temp effectué !
Nettoyage contenu E:\Documents and Settings\TELECENTRE\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans E:\WINDOWS\system32 *

forkqjvm_navup.dat trouvé !
Copie forkqjvm_navup.dat réalisée avec succès !
forkqjvm_navup.dat supprimé !


* Dans "E:\Documents and Settings\TELECENTRE\locals~1\applic~1" * 


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 11/04/2008 à 20:11:56,70 ***

enfin voici le rapport du clean. j'espère que  tout va bien , j'ai suivi integralement tout ce que tu mas dit de faire ,
 11/04/2008 a 20:30:40,15 
 
*** Recherche des fichiers dans E: 
 
*** Recherche des fichiers dans E:\WINDOWS\ 
 
*** Recherche des fichiers dans E:\WINDOWS\system32 
 
*** Recherche des fichiers dans E:\Program Files

jfkpresident · Answer

c'est tres bien maintenant poste moi un log hijack pour vérifier tout ca :

1) Clique ICI pour télécharger le fichier d'installation d'HijackThis :http://www.infos-du-net.com/telecharger/HijackThis,0301-454.html

Enregistre HJTInstall.exe sur ton bureau  

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

jfkpresident · Answer

salut eleonore, tu as une autre infection :N'aurez tu pas chopé un virus Msn ??

fait ceci :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

eleonore gisele · Answer

bonjour Ffk , j'ai mis du temps pcq les instructions etaient plus complexes  
enfin voici le rapport report.txt: je vais envoyé le log hickjacthis tt a l'heure

[b]SDFix: Version 1.171 [/b]
Run by TELECENTRE on 15/04/2008 at 17:05

Microsoft Windows XP [version 5.1.2600]
Running From: E:\DOCUME~1\TELECE~1\Bureau\SDFix

[b]Checking Services [/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found




Folder E:\Documents and Settings\All Users\Application Data\SalesMon - Removed


Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-15 17:23:01
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\ESENT]
"EventMessageFile"=str(2):"E:\WINDOWS\system32\ESENT.dll"
"CategoryMessageFile"=str(2):"E:\WINDOWS\system32\ESENT.dll"

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:



Authorized Application Key Export:

[b]Remaining Files [/b]:


File Backups: - E:\DOCUME~1\TELECE~1\Bureau\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Tue 28 Aug 2001     1,388,544 ..SHR --- "E:\msvbvm60.dll"
Tue 28 Aug 2001     1,388,544 ..SHR --- "E:\WINDOWS\system32\msvbvm60.dll"
Mon 10 Jul 2006       276,480 ...H. --- "E:\Documents and Settings\All Users\Documents\~WRL0795.tmp"
Thu  6 Jul 2006       172,544 ...H. --- "E:\Documents and Settings\All Users\Documents\~WRL1405.tmp"
Mon  9 Oct 2006        52,736 ...H. --- "E:\Documents and Settings\All Users\Documents\~WRL1454.tmp"
Mon 10 Jul 2006       288,768 ...H. --- "E:\Documents and Settings\All Users\Documents\~WRL1972.tmp"
Thu  6 Jul 2006        29,696 ...H. --- "E:\Documents and Settings\All Users\Documents\~WRL2433.tmp"
Mon 10 Jul 2006       269,824 ...H. --- "E:\Documents and Settings\All Users\Documents\~WRL2516.tmp"
Thu  6 Jul 2006        28,160 ...H. --- "E:\Documents and Settings\All Users\Documents\~WRL2817.tmp"
Thu  6 Jul 2006        20,992 ...H. --- "E:\Documents and Settings\All Users\Documents\~WRL3017.tmp"
Mon 25 Sep 2006         4,348 A.SH. --- "E:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 19 Nov 2006           400 A.SH. --- "E:\Documents and Settings\All Users\DRM\v2ks.bla.bak"
Sun 19 Nov 2006            48 A.SH. --- "E:\Documents and Settings\All Users\DRM\v2ks.sec.bak"
Tue 18 Mar 2008        26,112 ...H. --- "E:\Documents and Settings\TELECENTRE\Bureau\~WRL4021.tmp"
Mon 25 Feb 2008        24,576 ...H. --- "E:\Documents and Settings\TELECENTRE\Mes documents\~WRL0256.tmp"
Mon 25 Feb 2008        27,136 ...H. --- "E:\Documents and Settings\TELECENTRE\Mes documents\~WRL2230.tmp"
Mon 25 Feb 2008        26,624 ...H. --- "E:\Documents and Settings\TELECENTRE\Mes documents\~WRL2506.tmp"
Mon 12 Feb 2007        80,896 ...H. --- "E:\Program Files\Microsoft Office\OFFICE11\~WRL1675.tmp"
Tue 28 Aug 2001     1,388,544 ..SHR --- "E:\WINDOWS\system32\dllcache\msvbvm60.dll"
Tue 28 Aug 2001     1,388,544 ..SHR --- "E:\WINDOWS\system32\dllchache\msvbvm60.dll"
Mon 26 Mar 2007        31,744 ...H. --- "E:\Documents and Settings\TELECENTRE\Application Data\Microsoft\ModŠles\~WRL1418.tmp"
Mon  4 Sep 2006             0 ...H. --- "E:\Documents and Settings\TELECENTRE\Application Data\Microsoft\Word\~WRL0001.tmp"
Sat 19 Aug 2006        41,984 ...H. --- "E:\Documents and Settings\TELECENTRE\Application Data\Microsoft\Word\~WRL0002.tmp"
Tue  5 Sep 2006             0 ...H. --- "E:\Documents and Settings\TELECENTRE\Application Data\Microsoft\Word\~WRL0003.tmp"
Thu 18 Jan 2007             0 ...H. --- "E:\Documents and Settings\TELECENTRE\Application Data\Microsoft\Word\~WRL0004.tmp"
Sat 12 Jan 2008       987,648 ...H. --- "E:\Documents and Settings\TELECENTRE\Application Data\Microsoft\Word\~WRL1509.tmp"
Thu 10 Jan 2008        26,112 ...H. --- "E:\Documents and Settings\TELECENTRE\Application Data\Microsoft\Word\~WRL1644.tmp"
Thu 10 Jan 2008        95,744 ...H. --- "E:\Documents and Settings\TELECENTRE\Application Data\Microsoft\Word\~WRL2097.tmp"

[b]Finished![/b]

voici le rapport hictjackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:03:06, on 15/04/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
E:\Program Files\Alwil Software\Avast4\ashServ.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\System32\hinsrv.exe
E:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\Program Files\Fichiers communs\RbtProt\sgsrv.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\Program Files\Alwil Software\Avast4\ashWebSv.exe
E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
E:\WINDOWS\system32
otepad.exe
E:\Program Files\QuickTime\qttask.exe
E:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Program Files\Messenger\msmsgs.exe
E:\Program Files\Mozilla Firefox\firefox.exe
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
F2 - REG:system.ini: UserInit=E:\WINDOWS\System32\userinit.exe,userinit.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - E:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: Miniclip - {4E7BD74F-2B8D-469E-89B3-BE29F5D3E32D} - E:\PROGRA~1\MINICL~1\MINICL~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Miniclip - {4E7BD74F-2B8D-469E-89B3-BE29F5D3E32D} - E:\PROGRA~1\MINICL~1\MINICL~1.DLL
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [Blank AntiViri] E:\AUT0EXEC.BAT StartUp
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Secure64] E:\WINDOWS\System32\dllcache\Regedit32.com StartUp
O4 - HKCU\..\Run: [Secure32] E:\WINDOWS\System32\dllcache\Shell32.com StartUp
O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA850466-C29D-44A4-9ECA-53E96E287280}: NameServer = 195.24.192.33,195.24.208.2
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Hinsrv Service (Hinsrv) - Unknown owner - E:\WINDOWS\System32\hinsrv.exe
O23 - Service: SoftGuard Service (SG_Service) - Unknown owner - E:\Program Files\Fichiers communs\RbtProt\sgsrv.exe
O24 - Desktop Component 0: (no name) - file:///E:/Documents%20and%20Settings/TELECENTRE/Bureau/anglaisfacile/newlogotest2.gif

jfkpresident · Answer

salut,

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :E:\WINDOWS\System32\hinsrv.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

eleonore gisele · Answer

bonjour Jfk , desolé d'avoir mis tant de temps pour repondre mais j'ai eu du mal a retrouver ce fichier du system 32 . après l'analyse j'ai pas su cmt sauvegarder le rapport avec le bloc note . j'ai dont tout selectionner et j'ai collé le rapport comme tu vas le constater .je reste toujours attentive à tes conseils . merci pour tout 







| Slovenš&#269;ina | Dansk | &#1056;&#1091;&#1089;&#1089;&#1082;&#1080;&#1081; | Român&#259; | Türkçe | Nederlands | &#917;&#955;&#955;&#951;&#957;&#953;&#954;&#940; | Svenska | Português | Italiano | | | Magyar | Deutsch | &#268;esky | Polski | Español | English
Virus Total 	
Virustotal est un service qui analyse les fichiers suspects et facilite la détection rapide des virus, vers, chevaux de Troie et toutes sortes de malwares détectés par les moteurs antivirus. Plus d'informations...
Fichier hinsrv.exe reçu le 2008.04.19 19:56:50 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 1/32 (3.13%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3	2008.4.19.0	2008.04.18	-
AntiVir	7.8.0.8	2008.04.18	-
Authentium	4.93.8	2008.04.19	-
Avast	4.8.1169.0	2008.04.18	-
AVG	7.5.0.516	2008.04.19	-
BitDefender	7.2	2008.04.19	-
CAT-QuickHeal	9.50	2008.04.19	-
ClamAV	0.92.1	2008.04.19	-
DrWeb	4.44.0.09170	2008.04.19	-
eSafe	7.0.15.0	2008.04.17	-
eTrust-Vet	31.3.5714	2008.04.19	-
Ewido	4.0	2008.04.19	-
F-Prot	4.4.2.54	2008.04.18	-
F-Secure	6.70.13260.0	2008.04.19	-
FileAdvisor	1	2008.04.19	-
Fortinet	3.14.0.0	2008.04.19	-
Ikarus	T3.1.1.26	2008.04.19	-
Kaspersky	7.0.0.125	2008.04.19	-
McAfee	5277	2008.04.18	-
Microsoft	1.3408	2008.04.19	-
NOD32v2	3040	2008.04.19	-
Norman	5.80.02	2008.04.18	-
Panda	9.0.0.4	2008.04.19	-
Prevx1	V2	2008.04.19	Generic.Malware
Rising	20.40.52.00	2008.04.19	-
Sophos	4.28.0	2008.04.19	-
Sunbelt	3.0.1056.0	2008.04.17	-
Symantec	10	2008.04.19	-
TheHacker	6.2.92.284	2008.04.18	-
VBA32	3.12.6.4	2008.04.16	-
VirusBuster	4.3.26:9	2008.04.19	-
Webwasher-Gateway	6.6.2	2008.04.18	-
Information additionnelle
File size: 40960 bytes
MD5...: e21dd67f9026ec910a3c0f450353efb8
SHA1..: ed8a3833126b286e53c1fa691855a5b4a61c9016
SHA256: 2cbbf271d8c1a20d6f11e62b242d42e1d1780767e3f53b93a646250beb2703e1
SHA512: cba09139f22406b4aaeeabf52bb8f5ac7daad8867dcd3ba5ca7134bc7a0cd2cc
968deb6fcdf716a955716de39a666afa87edf2b294208ca1e0ee02179ce2d57a
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4060f2
timedatestamp.....: 0x405ac2f6 (Fri Mar 19 09:52:54 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5759 0x6000 6.00 8f31f6c23a56ade3a7177a6e83368737
.rdata 0x7000 0x1194 0x2000 2.95 55a60101f5184809f1cca7ad629338e0
.data 0x9000 0x810 0x1000 3.05 a08c027cecb08bcad51a6bc65f9e9fbd

( 6 imports )
> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> MSVCRT.dll: __p__fmode, __p__commode, _adjust_fdiv, __set_app_type, _except_handler3, __getmainargs, _acmdln, exit, _XcptFilter, _initterm, __setusermatherr, _exit, __1type_info@@UAE@XZ, _onexit, __dllonexit, _controlfp, isalnum, isspace, _CxxThrowException, _iob, setvbuf, _open_osfhandle, _fdopen, _mbslen, _purecall, _mbccpy, _mbsnbcmp, _mbclen, _mbscmp, __CxxFrameHandler, __p___argc, __p___argv, printf
> KERNEL32.dll: GetLastError, SetConsoleCtrlHandler, GetModuleHandleA, LocalFree, GetVersionExA, LoadLibraryA, GetModuleFileNameA, FreeLibrary, Sleep, GetProcAddress, GetStdHandle, AllocConsole, GlobalAlloc, ResumeThread, WaitForSingleObject, GetVolumeInformationA, GetStartupInfoA, GlobalFree, FormatMessageA
> USER32.dll: RegisterClassA, GetClientRect, DestroyWindow, CreateWindowExA, DefWindowProcA
> ADVAPI32.dll: LookupAccountNameA, RegDeleteKeyA, RegOpenKeyExA, RegQueryValueExA, SetServiceStatus, RegisterServiceCtrlHandlerA, StartServiceA, CreateServiceA, CloseServiceHandle, CopySid, GetLengthSid, IsValidSid, OpenServiceA, GetUserNameA, StartServiceCtrlDispatcherA, ControlService, RegDeleteValueA, OpenSCManagerA, RegCloseKey, RegSetValueExA, RegCreateKeyA, DeleteService, QueryServiceStatus
> MSVCP60.dll: __1_Lockit@std@@QAE@XZ, __0_Lockit@std@@QAE@XZ

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=D2BD4A8B009A74D3A0DA00075F734F00BC9EB9CF

ATENTION ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.

Autre fichier
VirusTotal © Hispasec Sistemas - Blog - Contact: info@virustotal.com

jfkpresident · Answer

salut,reposte moi un hijack au cas ou il y aurait eu de la nouveauté --;;)

eleonore gisele · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:00:45, on 21/04/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
E:\Program Files\Alwil Software\Avast4\ashServ.exe
E:\WINDOWS\Explorer.EXE
E:\Program Files\QuickTime\qttask.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Program Files\Messenger\msmsgs.exe
E:\WINDOWS\System32\hinsrv.exe
E:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\Program Files\Fichiers communs\RbtProt\sgsrv.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\Program Files\Alwil Software\Avast4\ashWebSv.exe
E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
E:\PROGRA~1\MOZILL~1\FIREFOX.EXE
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
F2 - REG:system.ini: UserInit=E:\WINDOWS\System32\userinit.exe,userinit.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - E:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: Miniclip - {4E7BD74F-2B8D-469E-89B3-BE29F5D3E32D} - E:\PROGRA~1\MINICL~1\MINICL~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Miniclip - {4E7BD74F-2B8D-469E-89B3-BE29F5D3E32D} - E:\PROGRA~1\MINICL~1\MINICL~1.DLL
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [Blank AntiViri] E:\AUT0EXEC.BAT StartUp
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Secure64] E:\WINDOWS\System32\dllcache\Regedit32.com StartUp
O4 - HKCU\..\Run: [Secure32] E:\WINDOWS\System32\dllcache\Shell32.com StartUp
O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA850466-C29D-44A4-9ECA-53E96E287280}: NameServer = 195.24.192.33,195.24.208.2
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Hinsrv Service (Hinsrv) - Unknown owner - E:\WINDOWS\System32\hinsrv.exe
O23 - Service: SoftGuard Service (SG_Service) - Unknown owner - E:\Program Files\Fichiers communs\RbtProt\sgsrv.exe
O24 - Desktop Component 0: (no name) - file:///E:/Documents%20and%20Settings/TELECENTRE/Bureau/anglaisfacile/newlogotest2.gif

jfkpresident · Answer

re,

-> Relance HijackThis cliques sur « scanner seulement » ou (« do a scan only »),
coche les cases devant ces lignes :

O2 - BHO: Miniclip - {4E7BD74F-2B8D-469E-89B3-BE29F5D3E32D} - E:\PROGRA~1\MINICL~1\MINICL~1.DLL
O3 - Toolbar: Miniclip - {4E7BD74F-2B8D-469E-89B3-BE29F5D3E32D} - E:\PROGRA~1\MINICL~1\MINICL~1.DLL
O4 - HKCU\..\Run: [Secure64] E:\WINDOWS\System32\dllcache\Regedit32.com StartUp
O4 - HKCU\..\Run: [Secure32] E:\WINDOWS\System32\dllcache\Shell32.com StartUp


et ensuite ferme toutes les fenêtres actives autres que HijackThis!, navigateur inclus,
puis clique "Fix checked"( ou « fixer objet »). Ferme HijackThis! 

pour finir :

-Malwarebytes' Anti-Malware : https://www.majorgeeks.com/files/details/malwarebytes_anti_malware.html

Installes-le, mets-le à jour.
Lance Malwarebytes, dans l'onglet Recherche, tu coches Exécuter un scan complet.
Clique sur le bouton Rechercher.
Un rapport sera enregistré dans l'onglet Rapport/Logs.
poste moi le rapport .

eleonore gisele · Answer

bjr Jfk 
je suis desolé du retard , je suis souvent malade et ce ce matin que j'ai pris connaissance du message
voici le rapport 


Malwarebytes' Anti-Malware 1.11
Version de la base de données: 694

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 18529
Temps écoulé: 7 minute(s), 46 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

eleonore gisele · Answer

c'est curieux ,
j'ai lancé le meme sur un autre pc du reseau , et le scan va deja au dela de 30 min , pourtant celui de ce pc s'est arreté à seulement 7 minutes 
j'ai relancé le scan mais après quelques minutes il dit tjrs que le scan a eté interrompu et de cliqué sur menu principal . donc je ne suis pas très sur de la vbalidité de ce que je viens de poster . 
a la fin du scan de l'otre pc je vais te poster le log pr que tu constate toi meme s'il te plait.

jfkpresident · Answer

salut, 

explique moi clairement ,combien as tu de pc en réseau et lequel est infecté ??

floppy75 · Answer

Bonjour, 

télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc_Beta.zip sur ton bureau 

dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre 

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

jfkpresident · Answer

bonsoir floppy : pourquoi utiliser genproc maintenant que la desinfection est presque terminé ??

eleonore gisele · Answer

bonjour Jfk 
j'ai pas eu le temps de voir ton message hier parcequ'il se faisait bien tard pour moi de rentrer .
en fait , je j'ai un petit centre multimedia .  Nous avons 4 pc clients ( avec XP ) et un serveur (avec win 2000)
après une formation somaire on nous a mis sur le terrain avec peu de connaissances en informatique encore moins en maintenance ; alors j'essaie souvent de me debrouiller toute seule parce que si je fais appel a un professionnel il va du coup passer au formatage et me faire des devis astronomique . alors j'ai essayé depuis deux ans de me former sur le forum et quand j'ai pas le choix je fais un post . des fois il ya quelqu'un pour m'aider de fois pas tjrs . 
alors j'ai installé avast sur les 4 pc clients maos il n'ya pas de parefeu ni des autres trucs ; c'est pourquoi je subi tellement des invasions . . la je t'ai dit a peu près l'essenciel. il faut dire que je suis dans un village retiré et qu'on a mm pas trop la possibilité d'avoir des techniciens qui sont tous dans les grandes villes.

jfkpresident · Answer

bon OK ,

tu vas installer ANTIVIR sur tes pc :https://www.malekal.com/avira-free-security-antivirus-gratuit/#mozTocId71944  
pour désinstaller avast :https://www.avast.com/fr-fr/uninstall-utility

pare-feu:http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

tutoriel :https://forum.pcastuces.com/sujet.asp?f=25&s=35606  

pour les antispywares installent ceux ci :

*Ad-Aware (gratuit)
Téléchargement :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html
Le patch en Français pour Ad-Aware (gratuit) :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html
Tuto :
http://perso.orange.fr/rginformatique/section%20virus/adawrevid.asf

*Spybot (gratuit) :
Téléchargement :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html
voir demo d utilisation (merci Balltrap)
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm

tu vas faire un scan sur chaque pc avec MBAM :  

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

tiens moi au courant de la situation ....

eleonore gisele · Answer

bjr Jfk 
merci encore pour ta patience ; 
depuis des jours je travail sur les PC.
j'ai pu installer antivir sur les 4 clients mais sur le serveur  ( bull 5800 avec windows 2000) il ya Norton et symantec , ) depuis le debut j'ai jamais eu des problemes avec celui la au serveur .
alors je me demande si je dois aussi le desinstaller .
ensuite , j'ai pu installer AD aware sur 3 Pc ; mais j'ai eu du mal a  telecharger online armor sur deux des pc . alors le lien ne s'ouvre pas tout simplement  et pas pendant près d'une heure la page de CCM ne se pas ouvert ( il faut avouer que sur ces pc il n'ya qu'internet explorer , car avec Mozilla tout est allé plus vite ) . un autre probleme est la faiblesse des RAM.
je vais y proceder tt doucement et demain je m'y remettrai ; 
ce te dire que j'y travail mais lentement ; 
merci encore et j'espère que j'aurais fini le tout demain so

jfkpresident · Answer

salut,

pour désinstaller norton utilise l'outil :http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

donne moi des nouvelles quand tu peux...

Bon courage    @+

jfkpresident · Answer

re,d'abord as tu supprimé Norton qui mange énormément de RAM et qui ralentit le pc ??

ensuite tu peux utiliser Reg cleaner pour nettoyer ton registre mais attention a ce que tu supprimes!!

Regcleaner téléchargement +tutoriel :https://www.malekal.com/nettoyer-sa-base-de-registre-avec-windows-registry-cleaner/

ensuite si ca plante toujours tu me posteras un hijack du PC n°1 pour ne pas s'embrouiller .

@+

eleonore gisele · Answer

pour norton sur le serveur la Ram est suffisement bonne , de l'ordre de 2Giga , . je my suis pas encore attaqué pcq j'y travaille seule le plus souvent . 
pour le moment je suis sur les XP( 4) qui ont de faibles Ram : 128 Mo pour les plus forts) . alors j'en suis aux pc 1 . voici son rapports Mbam;

Malwarebytes' Anti-Malware 1.11
Version de la base de données: 694

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 55509
Temps écoulé: 26 minute(s), 56 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Purchased Products (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
E:\System Volume Information\_restore{22626153-934D-4301-8D94-B69DB8CB61AE}\RP273\A0299110.exe (Rogue.SystemErrorFixer) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{22626153-934D-4301-8D94-B69DB8CB61AE}\RP273\A0299115.sys (Rogue.PCSecureSystem) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{22626153-934D-4301-8D94-B69DB8CB61AE}\RP273\A0299149.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{22626153-934D-4301-8D94-B69DB8CB61AE}\RP274\A0299170.old (Rogue.Multiple) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{22626153-934D-4301-8D94-B69DB8CB61AE}\RP274\A0299174.old (Rogue.Multiple) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{22626153-934D-4301-8D94-B69DB8CB61AE}\RP274\A0299175.old (Rogue.Multiple) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{22626153-934D-4301-8D94-B69DB8CB61AE}\RP277\A0302276.exe (Rogue.SystemErrorFixer) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{22626153-934D-4301-8D94-B69DB8CB61AE}\RP278\A0303673.exe (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.

voici le rapport hickjacthis du pc 1

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:19:15, on 06/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
E:\WINDOWS\System32\hinsrv.exe
E:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\Program Files\Fichiers communs\RbtProt\sgsrv.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\Program Files\QuickTime\qttask.exe
E:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
E:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Program Files\Messenger\msmsgs.exe
E:\WINDOWS\system32\spider.exe
E:\WINDOWS\system32\NOTEPAD.EXE
E:\Program Files\Mozilla Firefox\firefox.exe
E:\WINDOWS\System32\wuauclt.exe
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
F2 - REG:system.ini: UserInit=E:\WINDOWS\System32\userinit.exe,userinit.exe,
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - E:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [Blank AntiViri] E:\AUT0EXEC.BAT StartUp
O4 - HKLM\..\Run: [avgnt] "E:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-2025429265-1275210071-839522115-1003\..\Run: [ctfmon.exe] E:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA850466-C29D-44A4-9ECA-53E96E287280}: NameServer = 195.24.192.33,195.24.208.2
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - E:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Hinsrv Service (Hinsrv) - Unknown owner - E:\WINDOWS\System32\hinsrv.exe
O23 - Service: SoftGuard Service (SG_Service) - Unknown owner - E:\Program Files\Fichiers communs\RbtProt\sgsrv.exe

eleonore gisele · Answer

rapport hickjacthis pc 2

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:25:21, on 06/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\Avast4\ashWebSv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{593D66DA-EFF2-4753-91DA-C9A53505DA66}: NameServer = 195.24.208.2,195.24.192.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{593D66DA-EFF2-4753-91DA-C9A53505DA66}: NameServer = 195.24.208.2,195.24.192.33
O17 - HKLM\System\CS2\Services\Tcpip\..\{593D66DA-EFF2-4753-91DA-C9A53505DA66}: NameServer = 195.24.208.2,195.24.192.33
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe

eleonore gisele · Answer

lalla l'un des pc refuse tout simplement de demarrer , même en mode sans échec 
je ne sais pas ce qui se passé , j'ai d'abord constaté un plantage au niveau du milieu du bureau , et alors ces la souris qui a planté , j'ai redemarré coe pour les autres chaque fois que cela a planté , mais la depuis  au moins quatre fois , le processus de demarrage s'amorce mais s'arrete sur la fenêtre bienvenue que dois je faire ?

jfkpresident · Answer

bonsoir,d'apres les logs hijack les pc n°1  et n°2 sont infectés .

peux tu me dire quel pc ne démarre plus ??   le n°1  ,le n°2 ou un autre des quatre ??

et explique moi clairement comment il plante et a quel moment ??

eleonore gisele · Answer

bonjour Jfk
oui les 2 premiers pc j'ai pu poster les rapports . mais le 3e , j'ai scanné et enregistré le rapport mais quand j'ai voulu envoyer le message  rien ne se passant , j'ai essayé de fermer le pc sans succès . alors j'ai fermé a partir de l'unité centrale , mais quand j'ai voulu redemarrer , le processus se bien amorcé mais après le defilement de window xp , 
un ecran bleu apparait avec le logo de online armor au dessus . après plus rien ne se passe .jusqu'a ce qu'on eteint a partir de l'UC. j'ai essayé de démarrer en mode sans echec mais ce le meme scenario a la seule difference que le logo de online armor n'apparait plus .

eleonore gisele · Answer

merci pour tout Jfk , pour ta patience et ta bonne volonté . sans toi je n'aurais pas pu venir a bout . aujourdhui j'ai plus de pb du tout

jfkpresident · Answer

ravi d'avoir pu t'aider !

et j'espere A jamais :)

tu peux mettre ton post en résolu .

Toujours spyware secure , instant accès et p

27 réponses

Discussions similaires