Virus Spyware, Adware, Backdoor, Trojan,Rogue

Résolu
Michael07 Messages postés 77 Statut Membre -  
 jboy -
Bonjour,

Mon frère étais sur l'ordinateur quand tout à coup le font d'écrant est devenu rouge avec marqué YOUR PRIVACY IS IN DANGER!

Maintenant plein de Message s'afiche toute les 2 minutes, il paraiterai qu'on à environ 260 virus, des : Spywares, Adware, Backdoor, Trojan, Rogue.

Parfois 1 message s'affiche avec marqué : Trojan.Win 32.Agent.brk Trojan Critical

Spy.HTML.Paylap.b Spyware High

Worm.Win 32.NetSky Spyware High

Worm.Win 32.NetBooster Spyware Médium

En bas à droite de l'écrant clignote parfois 1 croix blanche entourée de rouge, et parfois il y a à coté de la croix 1 point dexclamation.

L'entivirus Norton lui est vert comme si il y avait aucun virus sur l'ordinateur.

Parfois 1 message s'affiche avec écrit Spyware Alert

Merci de bien vouloir m'aider.

PS: Je suis pas tres bon en informatique.
Configuration: Windows XP
Internet Explorer 6.0

63 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Le poste sous Windows XP affiche une alerte rouge « YOUR PRIVACY IS IN DANGER » avec des messages répétés évoquant spyware, adware, backdoor, Trojan et Rogue, alors que Norton reste affiché en vert.
Les réponses convergent vers des outils de nettoyage et de détection spécialisés (VundoFix, ComboFix, OTMoveIt, HijackThis) et suggèrent aussi de repérer des programmes indésirables comme SweetIM.
Une intervention pratique décrit un nettoyage approfondi (mode sans échec, suppression de fichiers/dossiers, sauvegarde du registre) et la génération de rapports, suivie d’une vérification antivirus indiquant 0 détections sur le fichier analysé.
Des signes périphériques comme un ralentissement général et une lenteur d’affichage de Norton sont notés, avec des discussions persistantes sur d’éventuels composants malveillants à identifier.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. invité
     
    Clean Navipromo version 3.5.4 commencé le 25/04/2008 à 6:17:01,58

    Outil exécuté depuis C:\Program Files\navilog1
    Session actuelle : "ali"

    Mise à jour le 15.04.2008 à 18h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 7.0.5730.13
    Système de fichiers : NTFS

    Mode suppression automatique
    avec prise en charge résultats Catchme et GNS

    Executé en mode sans échec

    *** Aucun résultat Catchme ***

    *** Suppression avec sauvegardes résultats GenericNaviSearch ***

    * Suppression dans "C:\WINDOWS\System32" *

    * Suppression dans "C:\Documents and Settings\ali\locals~1\applic~1" *

    * Suppression dans "C:\DOCUME~1\Samsam\locals~1\applic~1" *

    *** Suppression dossiers dans "C:\WINDOWS" ***

    *** Suppression dossiers dans "C:\Program Files" ***

    *** Suppression dossiers dans "C:\DOCUME~1\ALLUSE~1\APPLIC~1" ***

    *** Suppression dossiers dans "C:\Documents and Settings\ali\applic~1" ***

    *** Suppression dossiers dans "C:\Documents and Settings\ali\locals~1\applic~1" ***

    *** Suppression dossiers dans "C:\Documents and Settings\ali\menudm~1\progra~1" ***

    *** Suppression dossiers dans "C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1" ***

    *** Suppression fichiers ***

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\ali\locals~1\Temp effectué !

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

    2)Recherche, création sauvegardes et suppression Heuristique :

    * Dans "C:\WINDOWS\system32" *

    * Dans "C:\Documents and Settings\ali\locals~1\applic~1" *

    wmpoxuusvt.dat trouvé !
    Copie wmpoxuusvt.dat réalisée avec succès !
    wmpoxuusvt.dat supprimé !

    wmpoxuusvt_nav.dat trouvé !
    Copie wmpoxuusvt_nav.dat réalisée avec succès !
    wmpoxuusvt_nav.dat supprimé !

    wmpoxuusvt_navps.dat trouvé !
    Copie wmpoxuusvt_navps.dat réalisée avec succès !
    wmpoxuusvt_navps.dat supprimé !

    wmpoxuusvt.exe trouvé !
    Copie wmpoxuusvt.exe réalisée avec succès !
    wmpoxuusvt.exe supprimé !

    C:\WINDOWS\prefetch\wmpoxuusvt*.pf trouvé !
    Copie C:\WINDOWS\prefetch\wmpoxuusvt*.pf réalisée avec succès !
    C:\WINDOWS\prefetch\wmpoxuusvt*.pf supprimé !

    * Dans "C:\DOCUME~1\Samsam\locals~1\applic~1" *

    *** Sauvegarde du Registre vers dossier Safebackup ***

    sauvegarde du Registre réalisée avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok

    *** Certificats ***

    Certificat Egroup absent !
    Certificat Electronic-Group absent !
    Certificat OOO-Favorit absent !
    Certificat Sunny-Day-Design-Ltdt absent !

    *** Nettoyage terminé le 25/04/2008 à 6:17:52,08 ***
    1
    1. Utilisateur anonyme
       
      salut

      peux tu poster 1 hijack apres passage de navilog as tu du changement?

      a+
      0
      1. virusmsn Messages postés 60 Date d'inscription   Statut Membre Dernière intervention   > Utilisateur anonyme
         
        Je n'ai pas de changement, mon père me dit qu'internet est peut-être lent à cause qu'on est en fin de mois et qu'on est arrivé à notre cota de téléchargement car il parait qu'on a 1 certain nombre de giga de téléchargement pour le mois.

        A tu trouvé quelleque chose de spécial dans le hijack ?
        0
  2. Utilisateur anonyme
     
    salut

    Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
    et télécharge SmitfraudFix.exe.

    Exécute le en choisissant l’option 1, il va générer un rapport
    Copie/colle le sur le poste stp.

    bises
    0
    1. Michael07 Messages postés 77 Statut Membre
       
      Merci FunnyGirl pour ton lien.

      Voici le rapport :

      SmitFraudFix v2.314

      Rapport fait à 23:33:15,31, lun. 14/04/2008
      Executé à partir de C:\Documents and Settings\Mic\Bureau\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Le type du système de fichiers est NTFS
      Fix executé en mode normal

      »»»»»»»»»»»»»»»»»»»»»»»» Process

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
      C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
      C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
      C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
      C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
      C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
      C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
      C:\Documents and Settings\All Users\Application Data\wryvozst\kfcrkzaz.exe
      C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\WINDOWS\system32\RUNDLL32.EXE
      C:\Program Files\CyberLink\PowerCinema\PCMService.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Belgacom\bin\sprtcmd.exe
      C:\Program Files\Microsoft IntelliType Pro\itype.exe
      C:\Program Files\Microsoft IntelliPoint\ipoint.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE
      C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\WINDOWS\system32\mjwhynyl.exe
      C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\Program Files\Windows Live\Messenger\usnsvc.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\WINDOWS\system32\cmd.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      »»»»»»»»»»»»»»»»»»»»»»»» hosts


      »»»»»»»»»»»»»»»»»»»»»»»» C:\


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

      C:\WINDOWS\privacy_danger PRESENT !

      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mic


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mic\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Mic\Favoris

      C:\DOCUME~1\Mic\Favoris\Error Cleaner.url PRESENT !
      C:\DOCUME~1\Mic\Favoris\Privacy Protector.url PRESENT !
      C:\DOCUME~1\Mic\Favoris\Spyware?Malware Protection.url PRESENT !

      »»»»»»»»»»»»»»»»»»»»»»»» Bureau

      C:\DOCUME~1\Mic\Bureau\Error Cleaner.url PRESENT !
      C:\DOCUME~1\Mic\Bureau\Privacy Protector.url PRESENT !
      C:\DOCUME~1\Mic\Bureau\Spyware?Malware Protection.url PRESENT !

      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
      "Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
      "SubscribedURL"=""
      "FriendlyName"="Privacy Protection"

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
      "Source"="About:Home"
      "SubscribedURL"="About:Home"
      "FriendlyName"="Ma page d'accueil"

      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      IEDFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» VACFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri
      +--------------------------------------------------+
      [!] Suspicious: nslbvxpgbft.dll
      BHO: DVA Storm - {9A17BFB4-E5BE-4EE1-8ADF-01424F567754}
      TypeLib: {64EE4E03-A009-4BC6-B289-7B18C049BA75}
      Interface: {3D2D401C-87AC-42B1-BDD6-3922C35A4DF1}
      Interface: {97A248B2-4940-48DC-AC22-99F24749315B}

      [!] Suspicious: sgoblxtm.dll
      Toolbar: sgoblxtm - {1F8A048D-9A0B-4565-A3D0-2A2E6B44592A}
      TypeLib: {7ABB2F2F-8108-4813-BDEC-4C82B0D16992}
      Interface: {21C2F302-AE38-4CA6-B979-FFD157CBC4DB}
      Classe: sgoblxtm.bsrf
      Classe: sgoblxtm.ToolBar.1

      [!] Suspicious: dsktbwfe.dll
      SSODL: dsktbwfe - {86DD5757-AB1D-4195-898C-ACD20530ACC2}

      [!] Suspicious: ogxtsepr.dll
      SSODL: ogxtsepr - {CAC7FED3-DF87-4324-B459-1C03F728541C}


      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
      "System"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Rustock



      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
      DNS Server Search Order: 192.168.1.1

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{F6D78CB9-B663-437A-9D9B-4136158933F9}: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{F6D78CB9-B663-437A-9D9B-4136158933F9}: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{F6D78CB9-B663-437A-9D9B-4136158933F9}: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin
      0
    2. Utilisateur anonyme > Michael07 Messages postés 77 Statut Membre
       
      re

      de rien , on a pas fini ^^

      Démarre en mode sans échec :
      Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
      Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
      Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
      (Si F8 ne marche pas utilise la touche F5).
      ----------------------------------------------------------------------------
      Relance le programme Smitfraud,
      Cette fois choisit l’option 2, répond oui a tous ;
      Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

      bises
      0
    3. Michael07 Messages postés 77 Statut Membre > Utilisateur anonyme
       
      Re

      J'ai fait tout se que vous m'aviez dit, appart peut-être sauvegarder le rapport, j'ai fait copier puis j'ai éteind et ralummé l'ordinateur en mode normal, mais quand je vais pour collé le rapport il y a rien car je sais rien collé.
      0
    4. Utilisateur anonyme > Michael07 Messages postés 77 Statut Membre
       
      pour coller , tu va sur le fichier voulu et la clic droit choisi copier et op tu revient ici et en réponse tu fais clic droit et coller
      0
    5. Michael07 Messages postés 77 Statut Membre > Utilisateur anonyme
       
      C'est se que j'ai fait, mais je sais peut-être rien collé sur le forum à cause que j'ai éteind l'ordinateur par appres pour le redémarrer en mode normal...
      0
  3. Utilisateur anonyme
     
    re

    relance hitjack et clic sur do a scan only et coche ceci déjà stp:
    -C:\Documents and Settings\All Users\Application Data\wryvozst\kfcrkzaz.exe
    -C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
    -C:\WINDOWS\system32\mjwhynyl.exe
    -O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
    -O4 - HKLM\..\Run: [f07e109c] rundll32.exe "C:\WINDOWS\system32\iodahljx.dll",b
    -O4 - HKCU\..\Run: [cpcrbrix] C:\WINDOWS\system32\mjwhynyl.exe
    -O4 - HKCU\..\Run: [e©ùýùÆûïÒóÎÑøøÕøôÞÊýÛñûÍÞó] C:\Program Files\XP Antivirus\xpa.exe
    -O4 - HKLM\..\Policies\Explorer\Run: [2UQXynUx0C] C:\Documents and Settings\All Users\Application Data\wryvozst\kfcrkzaz.exe.
    -

    clic sur fix
    bises
    0
    1. Michael07 Messages postés 77 Statut Membre
       
      Appres avoir coché se que tu mas demandé et cliqué sur Fix checked, je fait quoi ?
      0
      1. Utilisateur anonyme > Michael07 Messages postés 77 Statut Membre
         
        rends toi au post 9 pour ccleaner et malwarebytes
        0
      2. Michael07 Messages postés 77 Statut Membre > Utilisateur anonyme
         
        J'ai téléchargé CCleaner, j'ai fait l'analyse puis j'ai lancer le nétoyage, maintenant je ne trouve pas l'icône Erreurs situés dans la marge à gauche.
        0
      3. Utilisateur anonyme > Michael07 Messages postés 77 Statut Membre
         
        clic sur le 2émé a gauche

        lance analyse et là : corrige les erreurs! aussi il va te demander faire 1 sauvegarde tu met oui et ca va l'enregistrer
        0
      4. Michael07 Messages postés 77 Statut Membre > Utilisateur anonyme
         
        J'ai cliqué sur "Chercher des erreurs" puis j'ai cliqué sur "Réparer les erreurs sélectionées" et il ma pas demandé pour sauvegarder...
        0
  4. Utilisateur anonyme
     
    ok

    passe tout de meme malwarebytes dont le lien a été donné^^ lol cherche ....... je te l'ai donné!
    0
    1. Michael07 Messages postés 77 Statut Membre
       
      Malwarebytes' Anti-Malware 1.11
      Version de la base de données: 634

      Type de recherche: Examen complet (C:\|D:\|)
      Eléments examinés: 88328
      Temps écoulé: 17 minute(s), 29 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 4
      Clé(s) du Registre infectée(s): 14
      Valeur(s) du Registre infectée(s): 2
      Elément(s) de données du Registre infecté(s): 2
      Dossier(s) infecté(s): 2
      Fichier(s) infecté(s): 21

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      C:\WINDOWS\system32\efcCssRh.dll (Trojan.Vundo) -> Unloaded module successfully.
      C:\WINDOWS\system32\iodahljx.dll (Trojan.Vundo) -> Unloaded module successfully.
      C:\WINDOWS\system32\qoMEvwxv.dll (Trojan.Vundo) -> Unloaded module successfully.
      C:\WINDOWS\system32\byXPIbbY.dll (Trojan.Vundo) -> Unloaded module successfully.

      Clé(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{68886d12-9e83-4dcf-9ee4-83b9329889cb} (Trojan.Vundo) -> Delete on reboot.
      HKEY_CLASSES_ROOT\CLSID\{68886d12-9e83-4dcf-9ee4-83b9329889cb} (Trojan.Vundo) -> Delete on reboot.
      HKEY_CLASSES_ROOT\CLSID\{c3e15dfe-d990-4c3f-9be2-4cf4e3e007ce} (Trojan.Vundo) -> Delete on reboot.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3e15dfe-d990-4c3f-9be2-4cf4e3e007ce} (Trojan.Vundo) -> Delete on reboot.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qomevwxv (Trojan.Vundo) -> Delete on reboot.
      HKEY_CURRENT_USER\Software\mwc (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\Microsoft\aldd (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\f07e109c (Trojan.Vundo) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{c3e15dfe-d990-4c3f-9be2-4cf4e3e007ce} (Trojan.Vundo) -> Delete on reboot.

      Elément(s) de données du Registre infecté(s):
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\efccssrh -> Delete on reboot.
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\efccssrh -> Delete on reboot.

      Dossier(s) infecté(s):
      C:\Program Files\Fichiers communs\Carlson (Dialer) -> Quarantined and deleted successfully.
      C:\Program Files\PC-Cleaner (Rogue.PC-Cleaner) -> Quarantined and deleted successfully.

      Fichier(s) infecté(s):
      C:\WINDOWS\system32\efcCssRh.dll (Trojan.Vundo) -> Delete on reboot.
      C:\WINDOWS\system32\hRssCcfe.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\hRssCcfe.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\eujllugw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\wgulljue.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\iodahljx.dll (Trojan.Vundo) -> Delete on reboot.
      C:\WINDOWS\system32\xjlhadoi.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\qoMEvwxv.dll (Trojan.Vundo) -> Delete on reboot.
      C:\Documents and Settings\All Users\Application Data\wryvozst\kfcrkzaz.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{691AB287-9557-4C55-A803-8B7C57BED47C}\RP103\A0032801.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\mjwhynyl.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      D:\LOSTFILE\DIR182\system32\format.com (Trojan.Clicker) -> Quarantined and deleted successfully.
      D:\LOSTFILE\DIR182\system32\msvidc32.dll (Trojan.Clicker) -> Quarantined and deleted successfully.
      D:\LOSTFILE\DIR182\system32\routemon.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
      C:\Program Files\PC-Cleaner\PC-Cleaner.db (Rogue.PC-Cleaner) -> Quarantined and deleted successfully.
      C:\Program Files\PC-Cleaner\pccleaner.pkg (Rogue.PC-Cleaner) -> Quarantined and deleted successfully.
      C:\Program Files\PC-Cleaner\program.info (Rogue.PC-Cleaner) -> Quarantined and deleted successfully.
      C:\WINDOWS\rs.txt (Malware.Trace) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\byXPIbbY.dll (Trojan.Vundo) -> Delete on reboot.
      C:\WINDOWS\spnkfwad.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      C:\Documents and Settings\All Users\Menu Démarrer\carlton (Dialer) -> Quarantined and deleted successfully.
      0
      1. Utilisateur anonyme > Michael07 Messages postés 77 Statut Membre
         
        salut

        du changement?

        reposte un hijack stp
        0
      2. Michael07 Messages postés 77 Statut Membre > Utilisateur anonyme
         
        Salut, ben le seul changement, c'est que pour le moment je n'ai plus rien qui s'affiche me disant que j'ai des virus.

        Je te fais 1 Hijack This.
        0
    2. jboy
       
      Problème(s) rencontré(s) par l'internaute
      Fausses alertes de sécurité dans l'espoir de vous faire télécharger un faux antivirus qui n'est rien d'autre qu'une arnaque. En scannant votre machine, il vous fera croire que tous vos programmes sont infectés. Impossibilité d'exécuter le moindre programme y compris les outils de désinfection. L'achat du logiciel est proposé afin de nettoyer l'ordinateur => ne pas saisir vos coordonnées bancaires.
      Qui est XP Security 2011?
      XP Security 2011 fait partie de la famille des rogues

      On peut reconnaître XP Security 2011 par des lignes logées dans %appdata% dans des rapports comme Hijackthis: (ps moi aussi j'ai sa fack va voir un informatitien pour qu,il te le répare
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Michael07 Messages postés 77 Statut Membre
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:10:35, on 16/04/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\CyberLink\PowerCinema\PCMService.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Belgacom\bin\sprtcmd.exe
    C:\Program Files\Microsoft IntelliType Pro\itype.exe
    C:\Program Files\Microsoft IntelliPoint\ipoint.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
    C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
    O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\NppBho.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
    O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
    O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
    O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
    O4 - HKLM\..\Run: [EPSON Stylus D78 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\WINDOWS\TEMP\E_S1B4.tmp" /EF "HKLM"
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
    O4 - HKLM\..\Run: [basicsmssmenu] "C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe"
    O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
    O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Basics Service - Seagate Technology LLC - C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
    0
    1. Utilisateur anonyme
       
      Télécharge « clean.zip »
      http://www.malekal.com/download/clean.zip
      •- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".

      •- Redémarre en mode sans échec. ( note bien ce que tu as à faire ).
      •- Ouvre le dossier « clean » qui se trouve sur ton bureau.
      •- Double-clic sur « clean.cmd ».
      Une fenêtre noire va apparaître, choisis l’option 2.

      Clean va travailler.
      •- Redémarre normalement
      •- Poste qui se trouve ici C:\rapport_clean.txt.



      (- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )
      0
    2. Michael07 Messages postés 77 Statut Membre > Utilisateur anonyme
       
      Script execute en mode sans echec
      Rapport clean par Malekal_morte - http://www.malekal.com
      Script execute en mode sans echec mer. 16/04/2008 a 16:17:09,23

      Microsoft Windows XP [version 5.1.2600]

      *** Suppression des fichiers dans C:

      *** Suppression des fichiers dans C:\WINDOWS\

      *** Suppression des fichiers dans C:\WINDOWS\system32
      tentative de suppression de C:\WINDOWS\system32\mcrh.tmp
      tentative de suppression de C:\WINDOWS\system32\winsys.exe

      *** Suppression des fichiers dans C:\Program Files

      *** Suppression des clefs du registre effectuee..
      *** Fin du rapport !
      0
    3. Utilisateur anonyme > Michael07 Messages postés 77 Statut Membre
       
      re

      relance le et choisi l'option 2 cette fois
      0
    4. Michael07 Messages postés 77 Statut Membre > Utilisateur anonyme
       
      C'étais déja l'option 2 que tu m'avais demandé de faire...
      0
    5. Utilisateur anonyme > Michael07 Messages postés 77 Statut Membre
       
      recherche ces 2 dossiers stp:


      - C:\WINDOWS\system32\mcrh.tmp
      - C:\WINDOWS\system32\winsys.exe

      dis moi si tu les trouve, et tente de les virer
      0
  7. Utilisateur anonyme
     
    manuellement

    va dans démarrer > C: > windows > systeme 32 et cherche là!
    0
    1. Michael07 Messages postés 77 Statut Membre
       
      Je n'ai malheureusement pas trouvé.

      - C:\WINDOWS\system32\mcrh.tmp
      - C:\WINDOWS\system32\winsys.exe

      J'ai été dans Démarrer puis dans "Rechercher" ( ou il y a 1 loupe )

      Puis j'ai été dans "Tous les fichiers et tous les dossiers"

      Puis j'ai tappé :
      C:\WINDOWS\system32\mcrh.tmp
      C:\WINDOWS\system32\winsys.exe
      Mais aucun dossiers ou fichiers sur l'ordi ne s'apelle comme sa car il a rien trouvé.

      Puis j'ai tappé :
      C:\WINDOWS\system32\
      Il y avais plein de dossiers et fichiers portant se nom la, il y avais marqué la suite et j'ai reguardé appres mcrh.tmp et winsys.exe mais je n'ai rien trouvé.

      Jespère que c'étais bien la que tu voulais que j'ail pour rechercher.

      Je vais manger, je revien vers 19h30

      bis
      0
  8. Utilisateur anonyme
     
    au post 31 : tentative de suppression de C:\WINDOWS\system32\winsys.exe
    0
    1. Michael07 Messages postés 77 Statut Membre
       
      A oui désolé je vien juste de le voire...

      Et ques que je pourai faire ?

      Depuis que mon frère à eu les virus sur sa session, je n'ai pas ausé aller sur la mienne, je voulais s'avoir si je pouvai aller sur ma session et aller sur internet ou si c'étais risqué.

      Si mon frère à des virus sur sa session et que j'ouvre la mienne, je risque d'avoir des virus aussi sur ma session ?
      0
    2. Utilisateur anonyme > Michael07 Messages postés 77 Statut Membre
       
      Télécharge Killbox (Option^Explicit) http://www.downloads.subratam.org/KillBox.zip

      (Tu trouveras une démo ici :
      http://mickael.barroux.free.fr/securite/killbox.html et une autre là : http://perso.orange.fr/rginformatique/section%20virus/killbox.htm


      - Clique sur KillBox Download Link pour le télécharger
      -- Décompresse le sur le bureau
      - Clique sur Démarrer exécuter tape notepad puis clique sur Ok
      - Sélectionne le texte en citation et fais en un copier coller dans le blocnote (notepad)

      Citation :

      C:\WINDOWS\system32\mcrh.tmp
      C:\WINDOWS\system32\winsys.exe


      * Dans le bloc notes sur le menu en haut clique sur Edition >>> Sélectionner tout puis Edition >>> Copier
      * Ouvre Killbox
      -- Coche la case [X] "Delete on next reboot"
      -- Clique sur le menu File puis sur Paste from Clipboard

      * Clique sur la croix blanche sur fond rouge
      -- au message "All listed files will be deleted on next reboot" clique sur OUI
      -- Au message "Files will be removed on next reboot, Do you want to reboot now ?" clique sur OUI
      -- Redémarre ton ordinateur s'il ne le fait pas automatiquement

      * Aprés son redémarrage supprime le dossier C:\!Killbox
      0
    3. Michael07 Messages postés 77 Statut Membre > Utilisateur anonyme
       
      J'ai fait tout se qui étais demandé, et appres avoir cliqué sur la croix blanche entourée de rouge il est écrit :
      File Error
      ! You have not Specified any File to Delete, You must Specify a File Path in the Yellow Box
      0
    4. Utilisateur anonyme > Michael07 Messages postés 77 Statut Membre
       
      ok !! tant mieux!!!

      relance navilog option 1 stp
      0
    5. Michael07 Messages postés 77 Statut Membre > Utilisateur anonyme
       
      Sa veut dire quoi ? Car je ne connais pas l'Anglais.

      Navilog, je crois pas que j'ai sa, tu pourais me donner le lien ?
      0
  9. Utilisateur anonyme
     
    ah mais il m'aura fais **** vundo !

    Rends toi sur ce site :
    http://www.zonavirus.com/datos/descargas/95/elibagla.asp
    tout en bas de cette page tu trouveras un outil
    à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
    installe ce fichier sur le bureau.
    ensuite double-clic sur Elibagla.exe
    >laisse la case "eliminar ficheros automaticamente" coché
    >clique sur"explorar"
    >laisse-le travailler
    >poste le rapport final qui sera dans c:\infosat.txt

    Si, dans le rapport, tu vois un texte semblable à celui-ci

    Por favor, envienos una muestra del fichero
    C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
    a "virus@satinfo.es". Gracias;

    envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).

    L'outil a rencontré un fichier qu'il reconnait mais ne sait pas encore éradiquer. Dans 24 heures environ, sur le site, la version de déchargement (v10.24 dans l'exemple) aura changé par rapport à celle actuelle. Tu retéléchargeras l'outil, tu le relanceras et tu posteras le rapport.

    jme zen ^^
    0
    1. Michael07 Messages postés 77 Statut Membre
       
      Wed Apr 16 22:09:40 2008
      EliBagle v11.27 (c)2008 S.G.H. / Satinfo S.L.
      ----------------------------------------------
      Lista de Acciones (por Acción Directa):

      Wed Apr 16 22:10:35 2008
      EliBagle v11.27 (c)2008 S.G.H. / Satinfo S.L.
      ----------------------------------------------
      Lista de Acciones (por Exploración):
      Explorando Unidad C:\

      Nº Total de Directorios: 4882
      Nº Total de Ficheros: 50274
      Nº de Ficheros Analizados: 8301
      Nº de Ficheros Infectados: 0
      Nº de Ficheros Limpiados: 0

      Wed Apr 16 22:18:16 2008
      EliBagle v11.27 (c)2008 S.G.H. / Satinfo S.L.
      ----------------------------------------------
      Lista de Acciones (por Acción Directa):

      Wed Apr 16 22:18:21 2008
      EliBagle v11.27 (c)2008 S.G.H. / Satinfo S.L.
      ----------------------------------------------
      Lista de Acciones (por Exploración):
      Explorando Unidad C:\

      Nº Total de Directorios: 4882
      Nº Total de Ficheros: 50287
      Nº de Ficheros Analizados: 8301
      Nº de Ficheros Infectados: 0
      Nº de Ficheros Limpiados: 0
      0
    2. Utilisateur anonyme > Michael07 Messages postés 77 Statut Membre
       
      re

      sous de bon conseil fait ceci:


      scan avec vundofix (colle le rapport)

      Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4

      Double cliquez VundoFix.exe pour l'exécuter.
      Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
      Une fois le scan fini, cliquez sur le bouton Remove Vundo.
      Vous recevrez un avertissement vous demandant si vous voulez effacer ces
      fichiers répondez en cliquant sur YES
      Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
      enlève Vundo.

      Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
      OK.

      ___________________


      Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

      http://download.bleepingcomputer.com/sUBs/ComboFix.exe
      Sauvegarde le sur ton bureau et pas ailleurs !

      Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

      Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
      Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
      ___________________



      télécharge OTMoveIt
      http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
      double-clique sur OTMoveIt.exe pour le lancer.
      copie la liste qui se trouve en citation ci-dessous,
      et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

      Citation :


      C:\WINDOWS\system32\hRssCcfe.ini2


      clique sur MoveIt! pour lancer la suppression.
      le résultat apparaitra dans le cadre "Results".
      clique sur Exit pour fermer.
      poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

      il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

      ________

      puis recoller un hijackthis en le renommant

      bises
      0
    3. Michael07 Messages postés 77 Statut Membre > Utilisateur anonyme
       
      J'ai fait aller vundo, il y a rien d'infecté d'appres lui.

      Je passe au suivant.
      0
    4. Utilisateur anonyme > Michael07 Messages postés 77 Statut Membre
       
      ok!
      0
    5. Michael07 Messages postés 77 Statut Membre > Utilisateur anonyme
       
      Je n'ai pas trop compris comment faire pour changer Combofix en un autre nom avant de le télécharger.
      0
  10. Michael07 Messages postés 77 Statut Membre
     
    Voici le rapport Vundo :

    VundoFix V7.0.3

    Scan started at 23:45:09 16/04/2008

    Listing files found while scanning....

    No infected files were found.

    VundoFix V7.0.3

    Scan started at 23:49:57 16/04/2008

    Listing files found while scanning....

    No infected files were found.
    0
  11. Michael07 Messages postés 77 Statut Membre
     
    Voici le rapport de OTMoveIT :

    C:\WINDOWS\system32\hRssCcfe.ini2 moved successfully.

    OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04172008_001249
    0
    1. Utilisateur anonyme
       
      super ^^

      maintenant désinstalle hijack et réinstalle le en l'apellant abcde par exemple

      puis poste le rapport du scan

      bises
      0
  12. Michael07 Messages postés 77 Statut Membre
     
    Rapport hijack :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 0:32:44, on 17/04/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\CyberLink\PowerCinema\PCMService.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Belgacom\bin\sprtcmd.exe
    C:\Program Files\Microsoft IntelliType Pro\itype.exe
    C:\Program Files\Microsoft IntelliPoint\ipoint.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
    C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Trend Micro\abcde\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
    O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\NppBho.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
    O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
    O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
    O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
    O4 - HKLM\..\Run: [EPSON Stylus D78 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\WINDOWS\TEMP\E_S1B4.tmp" /EF "HKLM"
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
    O4 - HKLM\..\Run: [basicsmssmenu] "C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe"
    O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
    O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Basics Service - Seagate Technology LLC - C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
    0
  13. Michael07 Messages postés 77 Statut Membre
     
    Rapport OTMoveIt :

    File/Folder C:\WINDOWS\system32\mcrh.tmp not found.
    File/Folder C:\WINDOWS\system32\winsys.exe not found.

    OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04172008_164757
    0
  14. Michael07 Messages postés 77 Statut Membre
     
    Rapport Virtumondebegone :

    [04/17/2008, 17:01:03] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Mic\Local Settings\Temporary Internet Files\Content.IE5\4HYZWT2B\VirtumundoBeGone[1].exe" )
    [04/17/2008, 17:01:13] - Detected System Information:
    [04/17/2008, 17:01:13] - Windows Version: 5.1.2600, Service Pack 2
    [04/17/2008, 17:01:13] - Current Username: Mic (Admin)
    [04/17/2008, 17:01:13] - Windows is in NORMAL mode.
    [04/17/2008, 17:01:13] - Searching for Browser Helper Objects:
    [04/17/2008, 17:01:13] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
    [04/17/2008, 17:01:13] - BHO 2: {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} (SWEETIE Class)
    [04/17/2008, 17:01:13] - BHO 3: {1E8A6170-7264-4D0F-BEAE-D42A53123C75} ()
    [04/17/2008, 17:01:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [04/17/2008, 17:01:13] - Checking for HKLM\...\Winlogon\Notify\NppBho
    [04/17/2008, 17:01:13] - Key not found: HKLM\...\Winlogon\Notify\NppBho, continuing.
    [04/17/2008, 17:01:13] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
    [04/17/2008, 17:01:13] - BHO 5: {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} (EpsonToolBandKicker Class)
    [04/17/2008, 17:01:13] - Finished Searching Browser Helper Objects
    [04/17/2008, 17:01:13] - Finishing up...
    [04/17/2008, 17:01:13] - Nothing found! Exiting...
    0
  15. Michael07 Messages postés 77 Statut Membre
     
    Rapport Combo Scan :

    Deckard's System Scanner v20071014.68
    Run by Mic on 2008-04-17 17:05:38
    Computer is in Normal Mode.
    --------------------------------------------------------------------------------

    -- System Restore --------------------------------------------------------------

    Successfully created a Deckard's System Scanner Restore Point.

    -- Last 5 Restore Point(s) --
    22: 2008-04-17 15:05:40 UTC - RP107 - Deckard's System Scanner Restore Point
    21: 2008-04-16 21:21:55 UTC - RP106 - Point de vérification système
    20: 2008-04-15 18:09:32 UTC - RP105 - Last known good configuration
    19: 2008-04-15 18:09:21 UTC - RP104 - Installé Ad-Aware 2007
    18: 2008-04-15 18:09:20 UTC - RP103 - Opération de restauration

    -- First Restore Point --
    1: 2008-04-15 18:09:17 UTC - RP86 - Point de vérification système

    Backed up registry hives.
    Performed disk cleanup.

    -- HijackThis (run as Mic.exe) -------------------------------------------------

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:06:06, on 17/04/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\CyberLink\PowerCinema\PCMService.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Belgacom\bin\sprtcmd.exe
    C:\Program Files\Microsoft IntelliType Pro\itype.exe
    C:\Program Files\Microsoft IntelliPoint\ipoint.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
    C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\Documents and Settings\Mic\Local Settings\Temporary Internet Files\Content.IE5\CL6B05QF\dss[1].exe
    C:\PROGRA~1\TRENDM~1\abcde\Mic.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
    O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\NppBho.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
    O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
    O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
    O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
    O4 - HKLM\..\Run: [EPSON Stylus D78 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\WINDOWS\TEMP\E_S1B4.tmp" /EF "HKLM"
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
    O4 - HKLM\..\Run: [basicsmssmenu] "C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe"
    O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
    O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Basics Service - Seagate Technology LLC - C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
    0
  16. Michael07 Messages postés 77 Statut Membre
     
    En recevant le Rapport ComboScan j'ai eu aussi 1 autre bloc note qui sais ouvert avec écrit :

    Event Description:
    The Messenger Sharing USN Journal Reader service started successfully.

    -- Security Event Log ----------------------------------------------------------

    No Errors/Warnings found.

    -- System Event Log ------------------------------------------------------------

    Event Record #/Type23109 / Error
    Event Submitted/Written: 04/16/2008 07:34:55 PM
    Event ID/Source: 7023 / Service Control Manager
    Event Description:
    Le service Explorateur d'ordinateur s'est arrêté avec l'erreur :
    %%1460

    Event Record #/Type23086 / Error
    Event Submitted/Written: 04/16/2008 07:29:24 PM / 04/16/2008 07:29:48 PM
    Event ID/Source: 1 / sr
    Event Description:
    Le filtre de restauration du système à rencontré l'erreur inattendue '0xC0000243' pendant le traitement du fichier 'SrtETmp' sur le volume 'HarddiskVolume1'. Ceci a entraîné l'arrêt de la surveillance du volume.

    Event Record #/Type23071 / Error
    Event Submitted/Written: 04/16/2008 04:25:55 PM
    Event ID/Source: 7023 / Service Control Manager
    Event Description:
    Le service Explorateur d'ordinateur s'est arrêté avec l'erreur :
    %%1460

    Event Record #/Type23049 / Error
    Event Submitted/Written: 04/16/2008 04:22:20 PM
    Event ID/Source: 7022 / Service Control Manager
    Event Description:
    Le service ForceWare Intelligent Application Manager (IAM) est en attente de démarrage.

    Event Record #/Type23042 / Error
    Event Submitted/Written: 04/16/2008 04:20:00 PM
    Event ID/Source: 10005 / DCOM
    Event Description:
    DCOM a reçu l'erreur "%%1084" lors de la mise en route du service EventSystem avec les arguments ""
    pour démarrer le serveur :
    {1BE1F766-5536-11D1-B726-00C04FB926AF}

    -- End of Deckard's System Scanner: finished at 2008-04-17 17:06:59 ------------
    0
  17. Michael07 Messages postés 77 Statut Membre
     
    Appres avoir mis Internet Explorer à jour, l'ordi sais éteind et rallumé (normal) et puis j'ai eu des questions aux quelle je savais pas quoi répondre.

    Question 1 :
    Norton Internet Security n'est pas actuellement votre filtre antiphishing par défaut, voulez-vous le définir comme filtre antiphishing par défaut ?

    oui/non

    Question 2 :
    Activer le filtre anti-hameçonnage automatique (recommandé)
    Désactiver le filtre anti-hameçonnage automatique

    Je dois coché l'un ou l'autre et vu que je s'avais pas j'ai mis : Le redemander ultérieurement.
    0
  18. Michael07 Messages postés 77 Statut Membre
     
    Je reçois comme message de Norton :

    Le Pare-feu Windows a été activé. Symantec recommande d'utilisé le par-feu Norton Internet Security pour bénéficier d'une protection optimale.

    Voulez-vous utiliser le pare-feu Norton Internet Security à la place du Pare-feu Windows ?

    oui/non

    Je dois répondre quoi ?
    0
  19. Michael07 Messages postés 77 Statut Membre
     
    Je n'ai pas réussi à faire 1 scan bitdefender en ligne.

    Et pour Panda, j'ai du donner mon adresse mail, je sais pas si je recevrai le rapport par mail...
    0
    1. Utilisateur anonyme
       
      re

      tu le paie norton?
      0
      1. Michael07 Messages postés 77 Statut Membre > Utilisateur anonyme
         
        Mon père à acheter 1 Norton assez cher pour 1 an , l'entivirus est bon jusque aout 2008.
        0
      2. Utilisateur anonyme > Michael07 Messages postés 77 Statut Membre
         
        ok!!! c'était pour savoir
        0
  20. Utilisateur anonyme
     
    1/ relance otmoveit et met ces deux lignes en citation

    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,

    citation :
    C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
    C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll

    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
    [quote]liste chemin des fichiers/et ou dossiers à supprimer
    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

    2/rends toi sur virustotal et ici :

    https://www.virustotal.com/gui/

    clic sur parcourir et analyse 1 par 1 ces fichiers, clic sur envoyer fichier , patiente et poste le rapport donné de chacun stp
    C:\WINDOWS\system32\iodahljx.dll
    C:\WINDOWS\system32\byXPIbbY.dll
    C:\WINDOWS\system32\efcCssRh.dll
    C:\Documents and Settings\All Users\Application Data\wryvozst
    C:\WINDOWS\system32\qoMEvwxv.dll

    pour les questions : METTRE OUI A TOUT!!!!

    Question 1 :
    Norton Internet Security n'est pas actuellement votre filtre antiphishing par défaut, voulez-vous le définir comme filtre antiphishing par défaut ?

    oui/non

    Question 2 :
    Activer le filtre anti-hameçonnage automatique (recommandé)
    Désactiver le filtre anti-hameçonnage automatique

    Le Pare-feu Windows a été activé. Symantec recommande d'utilisé le par-feu Norton Internet Security pour bénéficier d'une protection optimale.

    Voulez-vous utiliser le pare-feu Norton Internet Security à la place du Pare-feu Windows ?

    oui/non

    bises
    0
  • 1
  • 2
  • 3
  • 4