Invasion Trojan-PSW.Win32.OnLineGames Fermé

Question

Bonjour à tous,
Après plusieurs journées passées à éplucher les forums et suivre les conseils donné aux gens dans mon cas, j'abdique et je me tourne vers vous.
 Je me suis rendu compte il y a plusieurs jours en réinstallant mon antivirus Avast et en installant AVG spyware que mon PC était infecté par un troyen nommé "Trojan-PSW.Win32.OnLineGames"  décliné sous différentes versions, (Trojan-PSW.Win32.OnLineGames.abki; Trojan-PSW.Win32.OnLineGames.abrx; Trojan-PSW.Win32.OnLineGames.acas et d'autres), il me semble d'ailleurs qu'il y ai d'autres virus à être venu s'installer depuis (Worm.Win32.AutoRun.dmt par exemple).
Sans entrer dans les détails, j'ai réussi à en supprimer plusieurs à force de scan etc, mais c encore loin d'être réglé.
Avast et AVG n'étant pas suffisant, j'ai fait ce qui est conseillé généralement: j ai essayé d autres antivirus en ligne (Kaspersky, mwavscan.com, etc) qui détectent beaucoup de virus, bien que le nombre varie énormément entre chaque antivirus, par exemple 17 pour Kaspersky et plus de 300 ( ! ! !) pour mwavscan, (le scan étant gratuit mais le "traitement" payant, ces programmes ne m'ont pas permis de mettre les virus en quarantaine). Ce qui est assez étonnant c'est que mon PC n'a pas spécialement de problèmes nouveaux, en tout cas pas de génant, mais étant en période d'examen, et ayant un mémoire à rendre bientôt, j'ai besoin de bosser sur une machine sûre, c'est indispensable (je précise que suis en mode sans échec à titre préventif d’ailleurs, pour éviter que ça s’empire, bien que la version normale de Winsows marche aux dernières nouvelles).
Voilà, je vous colle ci-joint le dernier rapport hijackthis et le scan report de kaspersky.

J'espère  qu'il n'est pas trop tard, en tout cas merci d'avance!
DERNIER RAPPORT HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:13:46, on 10/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lemonde.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM	bShar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM	bShar.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\PROGRA~1\iFinger\plugins\IE.ifp
O3 - Toolbar: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM	bShar.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [BufferZone] "C:\Program Files\BufferZone\CLIENTGUI.EXE" /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SDFix] C:\SDFix\RunThis.bat /second
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\RunOnce: [SDFix] C:\SDFix\RunThis.bat /second
O4 - HKLM\..\RunOnce: [mwavscan] "C:\DOCUME~1\ALEXIS~1\LOCALS~1\Temp\mexe.com" /s /AUTORUNBOOT
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: UltimateZip Quick Start.lnk = C:\Program Files\UltimateZip 2007\uzqkst.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: iFinger 2.0.lnk = C:\Program Files\iFinger\iFinger.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: SecureDoc.lnk = C:\Program Files\MSI\SecureDoc\Logon.exe
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BufferZone Service (BufferZoneSvc) - Unknown owner - C:\Program Files\BufferZone\CLNTSVC.EXE
O23 - Service: BufferZone DCOM Helper (BZDcomLaunch) - Unknown owner - C:\Program Files\BufferZone\BZDCOMLAUNCH.EXE
O23 - Service: BufferZone RPC Helper (BZRpcSs) - Unknown owner - C:\Program Files\BufferZone\BZRPCSS.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

BOB3 · Answer

Bonjour Alex

ton ordi est bien infecté, en plus il t'as infecte tes fichiers de restaurations du point 433 jusqu'au point 449
on va proceder par etape.
1--deconnecte toi d'internet
2--fait une sauvegarde de tout ton travail sur un support externe de preference une clef usb de grande capacite
3--fait un scan uniquement de ta clef usb pour s'assurer qu'il n'a pas migré sur ta clef.
4--si pas de migration, debranche ta clef
5--tu reboot ton ordi et tu redemarre sans echec
6--tu ouvre ton explorateur, tu va sur c:\system volume information\_restore{xxxxxxxxx
tu clic sur _restore , qui va afficher tout les points de restaurations.
7--tu va reperer les points anterieurs au point 433 ---- CAD 432 / 431 / 430 etc.... et tu note leurs dates
(a mon avis tu ete infecte a la date du point 433 --- note la date aussi)
8--tu redemarre en mode normal
9--tu nous donne le resultat

a+
BOB3

alex · Answer

Bonjour BOB3, et merci de ta réponse particulièrement rapide (8h04 un samedi matin… quel dévouement !).

Tout d’abord je crains d’avoir fait une bourde entre temps (oui oui, déjà) étant donné que mon problème semblait être exactement le même que de celui décrit ici : http://www.commentcamarche.net/forum/affich 4941864 win32 trojan et win32 onlinegames#0, et que mes fichiers « restore » avaient l’air également infecté, j’ai suivi le conseil qui était donné :
J’ai désactiver /réactivé la restauration système ( "poste de travail"/Propriétés Resto/Désactiver /appliquer/ok
Redémarrer /Réactiver la resto/Appliquer) avant de lancer un autre Hijackthis et avast en MSEchec(comme dit sur la page que je cite). Donc je crains d’avoir supprimé mes points, de restauration système, pas vrai ?

Je n’ai pas de dossier sur c:\system volume information\_restore{xxxxxxxxx. Par contre, j’ai un dossier nommé C :WINOWS\System32estore (contient notamment rstiag .diag et rstui.exe) si ça a quelque chose à voir.

Concerant la clé USB, j’ai un disque dur externe (F:\) avec tout mon boulot, musique, photos etc ; enfin tout ce à quoi je tiens… pour l’instant débranché. Ma dernière analyse avec MWAV (J’ai un MWAV.log très complet, mais beaucoup trop volumineux pour le poster ici) m’indique qu’il est infecté (voici quelques exemple tirés du rapport de l’analyse du DD externe :  
-Fichier F:\uqhqx1.cmd infecté par "Trojan-PSW.Win32.OnLineGames.abrx" Virus. Mesure prise : Pas de mesure prise.
- Fichier F:\1dg.exe infecté par "Trojan-PSW.Win32.OnLineGames.acas" Virus. Mesure prise : Pas de mesure prise.
- Fichier F:\0n.bat infecté par "Trojan-PSW.Win32.OnLineGames.acdy" Virus. Mesure prise : Pas de mesure
Fichier F:\mug0sd.cmd infecté par "Trojan-PSW.Win32.OnLineGames.abki" Virus. Mesure prise : Pas de mesure prise
Etc.

Donc voilà, navré pour le « super, merci de m’aider aussi rapidement mais en une heure, j’ai déjà eu le temps de faire tout ce qu’il ne fallait pas faire ! »  ça doit être assez désespérant… donc promis, à partir de maintenant je ne fait plus rien sans vous consulter (à part bosser mon mémoire sur microsoft word en Mode sans échecs). 

Sinon, autre question, le PC de ma copine est infecté également par le même virus, est-ce que ce le fait qu’on partage le modem (moi par cable elle par wifi) nous fait nous contaminer mutuellement ? 

Je ne quitte plus le mode sans échec jusqu’à nouvel ordre, en attendant je relance un Nième scan minutieux avec avast et je débranche le cable du modem (je vérifierait toute les heures ou deux sur le PC de ma copine voir si j'ai une réponse)

Encore merci infiniment BOB3 et promis, plus d’initiatives foireuses !

Voici mon dernier Hijackthis, réalisé en mode sans échec après l’opération de suppression de désactivation de la restauration système

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:05:23, on 10/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Microsoft Office\Office\Winword.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lemonde.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM	bShar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM	bShar.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\PROGRA~1\iFinger\plugins\IE.ifp
O3 - Toolbar: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM	bShar.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [BufferZone] "C:\Program Files\BufferZone\CLIENTGUI.EXE" /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: UltimateZip Quick Start.lnk = C:\Program Files\UltimateZip 2007\uzqkst.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: iFinger 2.0.lnk = C:\Program Files\iFinger\iFinger.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: SecureDoc.lnk = C:\Program Files\MSI\SecureDoc\Logon.exe
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BufferZone Service (BufferZoneSvc) - Unknown owner - C:\Program Files\BufferZone\CLNTSVC.EXE
O23 - Service: BufferZone DCOM Helper (BZDcomLaunch) - Unknown owner - C:\Program Files\BufferZone\BZDCOMLAUNCH.EXE
O23 - Service: BufferZone RPC Helper (BZRpcSs) - Unknown owner - C:\Program Files\BufferZone\BZRPCSS.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

BOB3 · Answer

Re bonjour Alex
pour l'instant laisse de cote Hijackthis.

et puis c'est normal que ton dossier system volume information \restore est vide puisque t'as desactive la restauration.
l'ennui c'est que t'as plus un point de restauration sain avant le 433.
et si on y arrive pas tu va etre oblige de reinstaller tout, car avec une telle infection il ne faut pas prendre de risques
c'est normal que l'ordi de ta copine soit aussi infecte si vous etes en connection simultanee et que le partage des fichiers et imprimantes sont active, et surtout si vous utilisez le parefeu de windows.
  
en plus Ton disque externe F: est aussi infecté

est ce que tu as des programmes ou utilitaires qui s'executent a partir du F: ou bien seulement des dossiers de sauvegarde

BOB3

alex · Answer

Merci BOB, 

concernant le disque dur externe  F, je n'ai aucun utilitaire ou programme dont je me serve (quelques petits programmes  , patchs etc s'y trouvent, mais ils sont sans intéret, je ne 'en sert jamais), uniquement des photo, mp3, PDF, fichiers words, etc.
- Je laisse mon PC débranché du net j'usqu'à ce que tu me disent de le rebrancher pour éviter toute nouvelle contamination.
- j'ai un lecteur mp3 que je pourrais par exemple formaté et scanner pour mettre mon travail le plus important, qu'en pense tu? Y a t'il un meilleur moyens de continuer à travailler sas prendre le risque de tot perdre?
- En y réfléchissant, compte tenu des enjeux (deux années d'études tout de même) je pourrai au pire formater mon PC , à part quelques fichiers words pour l boulot, le reste est d'une importance secondaire; en revanche e tiens énormément au contenu du disque dur externe...

Merci pour tout

Alex

BOB3 · Answer

Desole j'etai un peu occup

Alex on va nettoyer en premier le lecteur F:
Si tu n'as pas Ccleaner, il faut le telecharge 
https://www.ccleaner.com/ccleaner/download
il faut l'installer, le lancer, et tu va dans options
propriete, tu coche uniquement 
Ajouter lancer ccleaner, 
et Ajouter ouvrir ccleanr
TU COCHE EFFACEMENT SECURISE DU FICHIER ET TU LE MET SUR NSA (7 passages)
tu le ferme

tu desactive internet.
tu desactive toute les restaurations sur tous les lecteurs
tu va sur F:
et tu va mettre a la poubelle 
MWAV.log  
F:\uqhqx1.cmd 
F:\1dg.exe 
F:\0n.bat 
F:\mug0sd.cmd

tu clic droit sur la poubelle, tu clic sur lancer Ccleaner --- tu le laisse faire le temps qu'il faut

tu refait un scan sur le lecteur F: seulement
et tu nous donne le resultat

BOB3

alex · Answer

Bob
Pas de probèmes, prend ton temps.

j’ai téléchargé et installé ccleaner, modifié les option comme tu me le conseilles et débranché mon PC du modem.
Pour «  désactiver toute les restaurations sur tous les lecteurs» : si je vais donc dans panneau de config/system /restauration system ; je n’ai qu’une case « désactiver restauration système » pas de mention de plusieurs lecteurs (je précise qu’en bas de la boite « restauration système », dans « état », je ‘ai que le lecteur C, pas F, je ne sais pas si c’est normal). Alors le disque dur externe (F) est branché, j’ai navigué dessus. 

Concernant les fichiers à trouver dans le disque dur F uqhqx1.cmd ; 1dg.exe, etc, je ne les trouve pas, ni en cherchant par moi-même dans l’emplacement spécifié (directement dans le lecteur F), ni en utilisant la fonction « rechercher des  fichiers ou des dossiers », pourtant les fonctions « afficher les dossiers et fichiers cachés » est cochée. Je précise qu’étant donné le problème sur « désactiver toutes les restaurations sur tous les lecteur que j’explique a dessus, je n’ai pas essayer de supprimer « MWAV.log », peut être faut-il le supprimer abord pour que les autres apparaissent ?
Ps : le programme OTMoveIt 2 pourrait peut être supprimer ces fichiers qui ne sont pas visible ?(bien sur je ne fait rien pour l’instant.)
Sinon, si j’ai bien compris, mon PC et celui de ma copine ne doivent pas être connecté simultanément ?    

Alexis

alex · Answer

J ajoute un point, je viens d'essayer de lancer un scan du lecteur "F" avec avast, il a immédiatement repréré un des fichiers que tu me conseille de mettre à la corbeille. je précise que depuis quelques heures (depuis que j ai débranché le net à priori) impossible de mettre en quarantaine avec Avast, mais j peux supprimer les fichiers (soit définitivement soit mettre à la corbeille). je pourrais eut etre me servir de cette méthode pour mettre les fichiers que tu cite à la corbeille avant de faire la manip avec C cleaner?

BOB3 · Answer

attend alex, on va traiter ta reponse en 6

tu vas dans ton explorateur windows, s'il n'est pas sur ton bureau tu clic demarrer, puis executer, puis tu tapes
explorer et tu le lance
a l'ouverture
tu clic sur outils en haut, puis options des dossiers, puis affichage:
sous fichiers et dossiers, tu coche tout
dans fichiers cachés, tu coche afficher les fichiers et dossiers caches
tu decoche tout le reste, sauf  restaurer les fenetres de dossiers ouvertes etc...

tu ferme explorer
tu reverifis le lecteur F:\ si les fichiers ont reaparus, tu les mets a la poubelle, ainsi que MWAV.log
et tu lance le nettoyage de la poubelle comme precisé en 5

apres tu fait demarrer, panneau de configuration, systeme
tu ouvre avancé, 
1--effets visuels
laisser windows choisir etc... doit etre coché aisi que tout ce qu'il y'a dans la fenetre defilante
2--avancé
les programes doivent etre coché
3--prevention de l'execution des donnees
activer la prevention d'execution ....... windows uniquement doit etre coche
mais 
tu verifie en meme temps en cliquant sur l'autre plus bas et s'il y'a des programmes tu les notes, tu les supprimes,
et tu recoche le haut windows uniquement, puis appliquer, ok, tu quitte 

sur la meme fenetre avancé, tu clic sur variables d'environnement, dans la fenetre du bas tu clic sur Path, puis modifier, et tu fait un copier coller de toute la ligne en commencant de la droite.
tu ferme tout et tu donne tout ce que t'as note + le copier coller

BOB3

alex · Answer

Ok, voilà ou j'en suis: j'ai fait tout ce que tu as dis j'usqu'à l'étape du lancement de ccleaner : c'est à dire changement des options d affichages des dossiers et envoie de ces fichiers à la corbeille
F:\MWAV.log (celui sur le disque F uniquement, pas ceux sur C) 
F:\uqhqx1.cmd
F:\1dg.exe
F:\0n.bat
F:\mug0sd.cmd
soit dit en passant, ces dossiers ont transités par une corbeille cachée sur le disque F (F/:recycled) avant d'en disparaitre quand j'ai lancé c cleaner dans la corbeille normale, celle du bureau. Jimagine que c'est normal

Le lancement de ccleaner sur la corbeille semble avoir bien marché, je relance un scan minutieux avec avast sur le disque F. Avast vient de détecter un virus dans F:\system_volume_information\ restore\(etc.). (il s agit d un fichier caché);Comme je vous l'ai dit, la quarantaine marche pas depuis que je suis déconnecté; j'ai donc le choix ente déplacer/renommé ou réparer ou supprimer (dans ce cas il me demandera si je veux le supprimer complèment ou l'envoyer à la corbeille). Je n'ai encore rien fait, la fenêtre ou Avast me disant qu'il a trouvé le virus attend encore que je fasse un choix, donc j'attends tes conseils...
ps, logiquement, je n'ai donc pas encore commencé l'étape suivante (panneau de config/systeme \avancé etc.
ps2: apres avast, pense-tu que je devrai re-scaner " F:\" avec un autre antivrus a cas ou (MWAV.com ou AVG spyware par exemple)? 
Merci

Alex

BOB3 · Answer

Ok ALEX

Le lancement de ccleaner sur la corbeille semble avoir bien marché, je relance un scan minutieux avec avast sur le disque F. Avast vient de détecter un virus dans F:\system_volume_information\ restore\(etc.). (il s agit d un fichier caché);Comme je vous l'ai dit, la quarantaine marche pas depuis que je suis déconnecté; j'ai donc le choix ente déplacer/renommé ou réparer ou supprimer (dans ce cas il me demandera si je veux le supprimer complèment ou l'envoyer à la corbeille). Je n'ai encore rien fait, la fenêtre ou Avast me disant qu'il a trouvé le virus attend encore que je fasse un choix, donc j'attends tes conseils... 
TU LE SUPPRIME
et tu refaits un nettoyage avec Ccleaner.

ps, logiquement, je n'ai donc pas encore commencé l'étape suivante (panneau de config/systeme \avancé etc. 
tu le refait plus tard.

apres le nettoyage, il faut me dire combien de disque tu as sur ton ordi.
tu les listes
C:\disque principal du boot
D:\   
E:\
F:\

a+

alex · Answer

Ok, c'est noté, pour l'instant l'analyse Avast du disque dur externe (F:/) se poursuit ( ce qui est logique vu que c'est en mode minutieux.); Comme prévu, si des virus son détecté sur ce disque, ils sont supprimés (déplacés dans la corbeille donc) et je lance Ccleaner pour les effacer de la corbeille... Soit dit en passant, l'analyse avast a dépassée le fichier F/:system_volume_information, ou étaient le virus restant. Donc voilà l'analyse suit son cours, je te tiens au courant de la suite...
Concernant mes différents disques:
C:\ Disque dur local (ou disque dur principal du boot comme tu dis)
F:\ disque dur externe (avec toutes mes données, mon boulot etc)
D; E; G; et J sont des prises USB vide, rien n'y est branché pour l'instant

enfin, H:\ et I:\ sont des lecteurs CD/DVD et A:\ un lecteur de disquette.

Voilà

Alex

BOB3 · Answer

Desolé occupé sur autre chose.
lorsque avast termine, tu note le resultat et tu le communiques.

tu va dans le dossier 
F:\System Volume Information\
TU MET A LA POUBELLE TOUT SANS EXCEPTION

tu refais un nettoyage Ccleaner pour nettoyer les adresses dans la base de registre

et tu reviens
BOB3

BOB3 · Answer

Alex, pour gagner du temps.

si scan F: terminé, tu notes les resultats comme convenus.

tu clic sur le lien ci apres, site microsoft onecare, tu acceptes les acivex + les cookies
il va te demander d'installer Windows Live OneCare safety scanner, tu accepte, tu suis les instructions, et tu lui demande de tout faire, ET TU ACCEPTES TOUTES LES INSTRUCTIONS.
le but est la reperation de la base de registre et la reinstallation automatiques des fichiers xp manquants ou abimés.

tu le laisse terminé.
on se donne rdv demain aprés 10h00 si tu veut.

bonne soirée
BOB3 

 https://www.msn.com/fr-fr/

alex · Answer

Salut Bob, désolé, j'ai eu pas mal d'imprévus depuis hier.
- Le scan F est terminé comme convenu j'ai tout envoyé à la corbeille, puis j'ai lancé ccleaner sur la corbeille. 
concernant F/system information /restore... j'ai fait la meme chose sauf pour un "change.log" que je ne peu ni déplacer ni supprimer (windows m indique qu'il est en cours d'utulisation)
- Je t'envoie le journal d'avast en début d aprèm, des que j'ai un peu de temps (d'ailleurs si tu sais comment on fait pour l'exporter ça ça me fera gagner du temps). Pour l'instant le disque F est débranché.
De même en début d aprem, je lancerai la procédure que tu m'indique dans ton dernier post.
Sinon, comme j'lai dt, depuis hier matin, je fait en sorte que les deux PC ne soient jamais connectés en même temps; mais cet aprem, ça risque de nous complique la vie, s je veux faire cequ est dit sur mon PC et elle bosser ne meme temps. Dis moi juste si tout connexion simultané est à proscrire ou si o peu faire quelques exceptions...  

désolé du délai et encore merci
Alex

BOB3 · Answer

Bonjour Alex
t'aurai du lancer microsoft onecare la nuit, ca prend plusieurs heures pour tout nettoyer.
ilfaut suivre une procedure assez structuree afin d'eviter de reinstaller xp.
et pour l'instant eviter de vous connecter tout les deux sur internet en meme temps
il faut finir de nettoyer ton lecteur F:
tu desactive completement Avast--c'est tres important
tu va faire un reboot, et apres l'amorcage du bios, tu appuis  sur F8 pour activer le menu de demarrage de xp.
tu demarre en mode sans echec
tu clic sur ton profil a l'invité
tu dis oui aux questions posees par la fenetre
tu va dans ton explorateur
tu positionne le curseur sur F: 
1--tu clic droit sur la souris, puis proprieté, puis securite, puis parametres avences, puis proprietaire en haut, 
et tu clic sur administrateurs, et tu applique, ok , appliquer, ok 
2--tu te repositionne a nouveau sur le fichier  change.log
et tu refait la meme procedure que 1
et tu le met a la poubelle
3--tu te positionne sur le fichier  C:\MWAV.log 
tu le met a la corbeille, et si refuse tu fait la meme procedure du 1
IL faut a tout prix qu'on sauve le lecteur F:
MWAV.log -----------c'est le fichier log d'avast, il va se regenere au prochain scan d'Avast, au moins en aura le rapport du F: seulement


tu reboot en mode normal
tu refait un scan avec avast du lecteur F: seulement 
tu dabranche F:
tu me donne le resultat, du nouveau MWAV.log

alex · Answer

salut bob, 
j'ai désactivé avast et rebooté en mode sas échec, premier problème: quand j fait clic droit sur le lecteur F / propriété, je ne trouve pas d'onglet sécurité (j'ai"général", "outil", "matériel" mais pas de trace d'un onglet sécurité dans l'un d'entre eux... )
voilà, à tout à l'heure

alex · Answer

PS: je précise au cas ou mais quand je dis que j'ai désactivé avast, j'ai fait clique droit, désactiver tous les services, etc. la petite icone d'avast reste la mais avec un panneau ses interdit dessus. A ma conaissance c'est la méthode standard pour désactiver avast, mais tu voulais peut etre parler de quelquechose de plus radical... (je sais bien que ce que je dis à l'air stupide, mais j préfere poser TOUTES mes questions, meme les plus stupides) et bien sur Avast est désactiver en mode sans échec

BOB3 · Answer

Alex pour ta reponse en 16, ce n'est pas garve, on n'insiste pas.
apres desactivation avast, revient sur F:
et met a la poubelle change.log 
je pense qu'il doit appartenir a avast, mais il faut qu'on soit sur, et tant que avast fonctionne peut etre c'est lui qui le bloque.

si tu reussi a le mettre a la ôubelle, tu lance ccleaner, et tu fait uniquement un scan avec avast sur  F:
donne le rapport
a+
BOB3

p.s. ouvre le le fichier change.log et voit qu'est ce qu'il ya dedans

alex · Answer

Bob, 

Voilà les dernières nouvelles:
- j'ai désactivé avast, rebooté en mode sans échec,
j'ai essayé de supprimer change.log, impossible (en fait une ou deux fois ça s'est fait, donc envoyé à la corbeille, cclener, etc, mais il se recrée automatiquement. )
Concernant les MWAV.log, pas de C:\MWAV.log (si c bien celui qui existait sur le bureau, je suis quasiment sur de l'avoir supprimé hier, tu me l'avait déja dit je crois). Il existait 3 fichiers MWAV.log sur C:\ les voici:
-C:\...bureau\kaspersky\mwav.log (7ko)
-C:\...bureau
ouveau dossier\mwav.log (1ko)
- C:\...\local setting	emp\MWAV.LOG (10 995ko) 
j'ai supprimé les 3 (toujours avec la procédure corbeille-ccleaner.

donc pour résumé,le change.log du disque F est toujours invirable. Mais j'ai quand meme lancé une analyse minutieuse de F:\ avec Avast en attendant, je pourrais toujours l'intérompre.

BOB3 · Answer

ALEX, tu est sur d'avoir desinstallé Kaspersky, c'est lui qui empeche la suppression, a mon avis il est actif
ouvre les fichiers MWAV.log et change.log pour voir par quel programme ils ont ete genere, je te l'ai demandé en P.S.

ON Y ARRIVE.
BOB3

alex · Answer

Bob 
avant tout de chose, j'ai eu un petit coup de frayeur, puisque quand j'ai voulu venir répondre, j'avais eu droit au "cette conversation n'existe pas", c'est en essayant de trouver un moyen de t'écrire sur ton mail que j'ai trouvé un moyen de poster ici, bizarre. peut etre qu'on peut s'échanger nos adresses pour éviter ça?
Pour Kaspersky, effectivement, je ne l'ai pas désinstallé! je le fait à la fin du scan avast en cours et je réessaye de supprimer change.log? 
concernant les mwav.log, je les ai supprimés donc pas possible de les ouvrir... Le change.log du disque F:\ entre des caractères incompréhensible  contient uniquement des mots comme "device harddisk volume2 system; volume information_ restaure, RP1change.log; recycledDF1hp; Recycled.desktop.inix etc...."

Alex

BOB3 · Answer

Re Alex,
pour eviter de perdre la page, mets la en favoris, ainsi tu peut la relancer quand tu veut.
Desolé pour mon email, nous travaillons a partir d'un serveur qui n'accepte pas les reponses pour des raisons
de securite, tinquietes pas, je suis connecte en permanence avec mon smartphone blackberry.

a+
BOB3

alex · Answer

Ok, merci.

donc pour résumer: 
- je laisse avast finir son scan de F
- je désinstalle Kaspersky
- je réessaye de supprimer le change.log présent sur F (corbeille & ccleaner, comme d'hab)
- si c'est bon, je débranche le disque F pour éviter une nouvelle recontamination.
- au cas ou, pense-tu qu'il vaudrai mieux scanner le DD F:\ une deuxieme fois avec un autre antivirus?
- ensuite je reviens aux nouvelles..

C'est ça?

A+
Alex

BOB3 · Answer

Moi j'ai pas de preference, si tu veut remettre Kaspersky tu le fait, mais je prefere un antivirus resident pas en ligne, du moment que le probleme n'est pas regle definitivement.

des que Avast fini le scan, tu envoi le rapport.

a+
BOB3

alex · Answer

Salut Bob,

le scan de F: avec Avast est terminé : tout est nikel, un seul fichier n'a pas pu être scanné, un film en .avi. c'est tout, donc comme prévu, j'ai débranché le disque D pour qu'il ne soit pas recontaminé.
Là je lance Microsoft Live onecare scanner, que tu m'a conseillé en 13, pour la nuit. 
Sinon, concernant le PC de ma copine, (qui était connecté via un modem avec le mien, mais comme dit plus haut on ne les connecte plus simultanément) ce PC donc, qui a été infecté à peu près en même temps que le mien semble propre, mais je voudrais m'en assurer à 100% est-ce que je peux faire un hijackthis de SON PC et le poster ici pour te demander ton avi, ou plutôt ouvrir un nouveau topic? C'est juste pour avoir la certitude qu'il est clean, puisqu'un moment ou l'autre, on recommencera à les connecter simultanément. Enfin ça n'a rien d'urgent on pourra voir ça plus tard. 
En tout cas, je suis ravi que mon Disque F semble nettoyé (est ce qu'on peut se fier entièrement à Avast?).

Voilà, encore un immense merci, et je poste un nouveau message demain matin pour donner des nouvelles du scan Live onecare en cours.

A+
Alex

alex · Answer

Salut Bob

Le scan Onecare a tourné toute  la nuit, ce matin, il me donne les résultats du scan : 6 fichiers infectés (j ai fait des impression écran du détail de chaque problème). Je clique donc sur "suivant" pour qu'il résolve ça, et j'ai eu droit au traditionnel " internet explorer a rencontré un probleme et doit fermé"... frustrant non? Donc je vais relancer tout le shmilblik depuis le début et on verra bien. Au pire j'ai les "adresses" des fichiers infectés grâces aux impressions d'écrans; par exemple C:\dekard\system scanner\20080507203252\backup\docume~1\alexis~1\locals1	emp\bqvcrq29.dll (impossible à nettoyer). Je pourrais toujours les virer manuellement non?

Donc je relance Onecare scanner et je te tiens au courant
(ps: comme je l'ai dit, le disque dur F est débranché, du coup onecare ne peut pas l'analyser, je devrai le faire?)

Merci et a+
Alexis

BOB3 · Answer

Bonjour Alex

on laisse de cote lecteur externe F

t'aurais du me communiquer les fichiers qu'il a trouve avant de le relancer.

autre chose, c'est quoi ce dossier ---- c'est quoi dekard
C:\dekard\system scanner\20080507203252\backup\docume~1\alexis~1\locals1	emp\bqvcrq29.dll 

A+
BOB3

alex · Answer

BOB,
Pour Deckard, en fouillant dedans j'ai vu qu'il s'agissait de Deckard's System Scanner probablement un logiciel que j'avais télécharger pour scanner le PC, mais ça ne me dit rien. après réflexion, il se pourrait bien qu'il s'agisse de Panda, un antivirus en ligne, que j'avais essayer de téléchargé, mais j avais tout arrêté quand Avast avait trouvé le téléchargement suspect. J'ai pourtant bien un Panda activescan dans "ajout / suppression de programmes"...
Je vais recopier les différents fichiers trouvés par Onecare la premiere fois et je te les poste dans 15mn. (Je retape ce que je lis dans les capture d'écran, j vais essayer de pas faire de faute de frappe). 
Sinon, je coupe le Onecare scanner en cours?
A t'al
Alexis

BOB3 · Answer

Alex on doit terminer dans les meilleures conditions.

Ca fait trop d'antivirus installes sur ta machine.

arrete one care.
desactive connexion internet
reboot, et desinstalle tous les programmes non necessaires, et vire ce Dekard, et Panda, etc...
lance Ccleaner
reboot
lance Ccleaner a nouveau

envois le nom des  fichiers avant
a+
BOB3

alex · Answer

Bob, voilà ci-dessous tous les fichiers trouvés 

J'attend ton prochain message de confirmation avant de déconnecter et de faire ce que tu dis en 29 
ps: tu peux préciser ce que tu dis par "tous les programmes non nécessaire? tu veux dire absolument tout (genre microsoftword etc) ou seulement les antivirus superflus (panda, kaspersky, etc)

6 problemes graves détectés

- Virtool :Win32/obfuscator.AP
C:\dekard\system scanner\20080507203252\backup\docume~1\alexis~1\locals1	emp	ru8f.tmp
C:\dekard\system scanner\20080507203252\backup\docume~1\alexis~1\locals1	emp	ru5.tmp
C:\dekard\system scanner\20080507203252\backup\docume~1\alexis~1\locals1	emp	ru4.tmp
C:\dekard\system scanner\20080507203252\backup\docume~1\alexis~1\locals1	emp	ru3.tmp
C:\dekard\system scanner\20080507203252\backup\docume~1\alexis~1\locals1	emp	ru2.tmp

Virtool :Win32/obfuscator.AQ
C:\dekard\system scanner\20080507203252\backup\docume~1\alexis~1\locals1	emp\w.dll
C:\dekard\system scanner\20080507203252\backup\docume~1\alexis~1\locals1	emp\psdtohkm.dll
C:\dekard\system scanner\20080507203252\backup\docume~1\alexis~1\locals1	emp\54mo4e.dll

Virtool :Win32/obfuscator.T
C:\dekard\system scanner\20080507203252\backup\docume~1\alexis~1\locals1	emp\bpvcrq29.dll

Virtool :Win32/Vanti.gen!B
C:\dekard\system scanner\20080507203252\backup\docume~1\alexis~1\locals1	emp\h8my7hut.dll
C:\dekard\system scanner\20080507203252\backup\docume~1\alexis~1\locals1	emp\es8m88z.dll


Worms :Win32/Taterf.A.dll
C:\_otmoveit\movedfiles\05072008_181055\windows\system32\amvo1.dll
C:\qoobox\quarantine\c\windows\system32\amvo0.dll.vir



Worms :Win32/Taterf.gen !C
C:\_otmoveit\movedfiles\05072008_181055\windows\system32\amvo.exe
C:\uqhqx1.cmd
C:\system volume informationestore{f52b0a6c-a3d ---(il manque la fin)

BOB3 · Answer

Alex, sans confusions, il faut desinstaller tout les programmes superflus+ jeux+ demos, + tu desinstalle en premier ton dekard + panda----tu peut les reinstaller plus tard si tu veut
note les noms pour te souvenir

Tes progs microsoft office sont proteges--on y touche pas pour lle moment

on rentre de plus en plus dans le vif du sujet, mode radical

clic sur demarrer de la barre de tache, tu clic executer et tu tape msconfig.exe, et dans la fenetre qui s'ouvre
Demarrage, et tu decoche tout sauf ton antivirus et ou antispyware tu appliques, ok, il va te demander
de redemarrer
tu redemarres en mode sans echec
desinstalles comme precise plus haut les prog superflus etc...

tu verifies dans les chemins du disque et tu supprimes manuellement 
C:\dekard
c:\program files\panda\
et les autres programmes desinstalle
ensuite tu va dans le chemin suivant et tu supprime manuellement toutes traces des progs desinstalles.
tu ouvres tout les comptes presents, je te donne un exemple
C:\Documents and Settings\all users\Application Data\panda\*.*


tu fait un nettoyage avec Ccleaner
apres reboot en mode normal.

et tu me fait part de tes remarques

a+BOB3

alex · Answer

Bob, 
voilà, j'ai suivi à la lettre toutes les étapes que tu m'a indiqué en 31.
Les seuls programmes que j'ai laissé sont:
- Adobe acrobat et adobe flash player
-tous les programmes Windows et office (MSN, word, etc)
- Les drivers et compagnie indispensable à la carte graphique (AGEIA ET et drivers) super chiant à installer, 
- programmes VIA (gestionnaire de périphérique, etc.) je crois que ça va avec la carte graphique
- Avast
- Avg spyware
- java rutime entertainement
- ccleaner
- Ifinger
- Mozillafirefox
- les programmes qui font que  je peux utiliser l'imprimante
Et deux programmes que je ne connais pas mais qui ont l'air iimportant
Ligos Indeo 
MSXML 4.0
Issendis website update

Tout le reste à été désinstallé et supprimer.

A tout à l'heure

BOB3 · Answer

Ok alex, 
si je comprend t'as reussi a efface les fichiers douteux comme indique dans ta reponse en 30
est ce que ces fichiers ont ete supprimer ou pas encore.
extrait de ta reponse 30
Worms :Win32/Taterf.A.dll 
C:\_otmoveit\movedfiles\05072008_181055\windows\system32\amvo1.dll 
C:\qoobox\quarantine\c\windows\system32\amvo0.dll.vir 

Worms :Win32/Taterf.gen !C 
C:\_otmoveit\movedfiles\05072008_181055\windows\system32\amvo.exe 
C:\uqhqx1.cmd 

si non supprime les 
dans c:\windows\system32\amvo.exe + amvo1dll + amvo0.dll.vir

a qui appartient et le dossier c:\qoobox\quarantaine

et au fait, qu'est ce que t'as garde dans le msconfig+demarrage.

a+
BOB3

alex · Answer

bob, désolé du délai, je suis sorti entre temps

pour reprendre les éléments de ta réponse en 33:

C:\_otmoveit\movedfiles\05072008_181055\windows\system32\amvo1.dll
C:\qoobox\quarantine\c\windows\system32\amvo0.dll.vir 
C:\_otmoveit\movedfiles\05072008_181055\windows\system32\amvo.exe
--> J'ai supprimé C:\_otmoveit et C:\qoobox pendant l'opération de désinstallation / suppression de tout les programmes superficiels, ça n'existe plus.

C:\uqhqx1.cmd 
--> je viens de le supprimer

dans c:\windows\system32\amvo.exe + amvo1dll + amvo0.dll.vir 
je n'ai pas trouvé ces fichiers, j'ai aussi fait une recherche sur tout le disque C:\ avec ces nom de fichiers: rien. apparemment ils n'existent plus

pour msconfig /démarrage:  avgas (AVG antispyware), ashDisp (C:\PROGRA~1\ALWIS~1\Avast4\ashDisp.exe), NVCpl (RUNDLL32.EXE C:\WINDOWS\SYSTEM32\Nvcpl.dll, Nvstartup) et ctfmon (C:\WINDOWS\SYSTEM32\ctfmon.exe) sont les seuls éléments de démarrage cochés.

vOIL0

jlpjlp · Answer

slt en passant 1/ # Télécharge RavAntivirus d'Evosla : http://ww25.evosla.com/compteur.php?soft=rav_antivirus # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau # Doucle-clique sur >> RAV.exe << afin de lancer l'outil. # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles) # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain . # Retire tes disques amovibles et redémarrez votre ordinateur. # Poste le rapport, si infection! 2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe Double-clique sur l’icône. Les icônes vont disparaître. C’est normal. Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite Redémarre ensuite le PC. 3/ télécharge combofix (par sUBs) ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et enregistre le sur le bureau. déconnecte toi d'internet et ferme toutes tes applications. désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) double-clique sur combofix.exe et suis les instructions à la fin, il va produire un rapport C:\ComboFix.txt réactive ton parefeu, ton antivirus, la garde de ton antispyware copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse. Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. Tu as un tutoriel complet ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

alex · Answer

oK BOB, fais comme t'as dit.

Jlpjlp: 
effectivement j'ai un lecteur mp3 et une clé usb dont il va falloir s'occuper (rien d'important dessus)
j'ai téléchargé :http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe 
et http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

par contre pour http://www.evosla.com/compteur.php?soft=rav_antivirus, j'ai annulé le téléchargement, AVAST A DETECTE UN VIRUS DESSUS, et j'ai bien peur d'en avoir un nouveau dans un fichier temporaire à cause de ça.... (aucune preuve, c'est juste une crainte). J précise exactement la même chose m'était arrivé avec l'antivirus panda (détection d'un virus par avast pendant le téléchargement, arret en urgence du téléchargement), et pourtant il y'avait bien un  dossier "deckart" et "panda sécurity" bourré de troyens sur mon disque dur après ça... Etrange non?

Je lance le scan ONECARE et j vous tiens au courant.

Merci à vous 

à t'al
Alex

jlpjlp · Answer

oui pour RAV et PANDA en ligne, avast  les considère comme infécté mais ce n'est pas le cas, désactive avast le temps de faire RAV et un scan PANDA qui est bien plus efficace que onecare!!!

alex · Answer

Ok, c’est noté jlpjlp, autant pour moi.

 je résume le programme des festivités pour ce soir et demain :
Comme d’hab, aucune connexion simultanée des 2 PC, 
- sur mon PC : je laise onecare finir son scan , ensuite (apres désactivation de Avast), un coup de Panda en ligne, et puis je lance la procédure que jlpjlp explique en 35 pour nettoyer mes 2 clefs usb. Je vous tiendrais au courant en cas de problème.
- Pour le PC de ma copine ; cette nuit je lance avast en minutieux, et demain matin : Panda, onecare et la procédure vu en 35 pour ses propres clefs usb. Accessoirement, je ferais « rechercher des fichiers ou des dossier » avec les nom de tous les fichiers que j’ai du supprimer sur le miens (les amvo.exe, uqhqx1.cmd etc).  Si tout est clean sur les 2PC, je les reconnecte tous les deux.

On est d’accord ?

Encore un IMMENSE MERCI, on touche au but j’ai l’impression, nan ?

A+
Alex

alex · Answer

Voilà, 
l'analyse de onecare est terminé,  avant de cliquer sur suivant, j'ai fat des impression écran des problemes détectés. 
les même virus que ceux que j'ai obtenu la première fois (je les ai présenté en 30), mais une différences notable, ils sont tous dans des sous fichiers de ce dossier:
c_system_volume_information\_restore{f52b0a6c-a3d2-4afd-b988-c048991-c3adc}\...

je continu le Onecare. dite moi si je peux toujours appliquer la méthode du reboot/mode sans échec/ aller supprimer chacun de ces fichier manuellement et lancer ccleaner (je vois pas pourquoi je pourrais pas, mais je vais éviter ce genre de coups de génie sans votre bénédiction...)
A+
Alex

BOB3 · Answer

C'est bon alex.

c'est normal ce qu'il a trouve, tu va en priorite
DESACTIVE LA RESTAURATION COMME DHAB

fait un coup de Cclener

tu reactives a nouveau la restauration
tu crees 2 points de restaurations
A mon avis le plus gros est fait.

si tu veut suivre la nlle procedure de jlpjlp, pas de probleme, on est jamais sur de rien, 
en jlpjlp a de bonne references, j'ai suivi certaines de ses inteventions en spectateur.

rassure nous quand meme.
bonne soiree a vous tous
BOB3

jlpjlp · Answer

pour tes infections:

c_system_volume_information\_restore{f52b0a6c-a3d2-4afd-b988-c048991-c3adc}\... 

____________

désactive la restauration système pour purger les virus qui sont dedans 
puis redemarre ton ordi
puis réactive là : 

https://www.informatruc.com

alex · Answer

OK, 
voilà qui est fait, je résume les dernières étapes de ce soir:
- j'ai réalisé un scan onecare (résultats publiés plus haut) 
- j'ai lancé un scan panda sécurity (résultats ci-dessous)
- j'ai désactivé et réactivé la restauration système
- j'ai fait un ccleaner.
(j'ai mis les actions dans l'ordre de leur réalisation)

demain matin je suis les conseils de jlpjlp concernant les clefs usb et je lance un scan panda sur le PC de ma copine, (j'allais faire un vilain calembour sur les virus qu'on risque de s'échanger, mais j'aime autant préserver ma dignité tout compte fait). 
Voilà voilà, autant vous dire que je reprends des couleurs, et dès demain, si tout vas bien je pourrais commencer à rattraper le temps perdu pour mon boulot.
 
ci-dessous, les résultats de panda (fait avant la manip sur la restauration systeme donc):
Application/Pr... Tracking Application       Latent     Not disinfectable
 1. C:\SDFix\apps\Process.exe
2. C:\Documents and Settings\Alexis DESNE\Bureau...x\SDFix.exe[SDFix\apps\Process.exe]


Application/Ps... Tracking Application           Latent 
1. C:\Documents and Settings\Alexis DESNE\Bureau\virus\clean.zip[clean/pskill.exe]
2. C:\Documents and Settings\Alexis DESNE\Bureau\clean\pskill.exe

Application/Pr... Tracking Application           Latent    Not disinfectable 
1. C:\SDFix\apps\Process.exe
2. C:\Documents and Settings\Alexis DESNE\Bureau...x\SDFix.exe[SDFix\apps\Process.exe]

Application/Ni... Tracking Application            Latent Not disinfectable
 1. C:\Documents and Settings\Alexis DESNE\Local ...fault\Cache\426549C9d01[nircmd.exe]
2. C:\Documents and Settings\Alexis DESNE\Bureau\Flash_Disinfector.exe[nircmd.exe]

. Exploit/URLSpo... Hack Tool 		Latent 
 C:\Program Files\OFFICE ONE6.5\share	emplate...s Arrière-Plan\Marbre.sti[meta.xml]



Low danger level 
Bck/Vb.Xb
1. C:\Documents and Settings\Alexis DESNE\Local ...591d01[327882R2FWJFW\NirCmdC.cfexe]
2. C:\Documents and Settings\Alexis DESNE\Bureau...ix.exe[327882R2FWJFW\NirCmdC.cfexe]
3. C:\Documents and Settings\Alexis DESNE\Bureau...2).exe[327882R2FWJFW\NirCmdC.cfexe]
4. C:\Documents and Settings\Alexis DESNE\Bureau...ix.exe[327882R2FWJFW\NirCmdC.cfexe]


Cookie/Atlas D… Tracking cookie
C:\Documents and Settings\Alexis DESNE\Cookies\alexis_desne@atdmt[2].txt


Vulnerability
MS06-022 High

alex · Answer

Ok, suite au panda d'hier soir: 
j'ai supprimé les fichiers suivant:
. C:\SDFix\apps\Process.exe
C:\Documents and Settings\Alexis DESNE\Bureau\virus\clean.zip[clean/pskill.exe]
C:\Documents and Settings\Alexis DESNE\Bureau\clean\pskill.exe
 C:\Program Files\OFFICE ONE6.5\share	emplate...s Arrière-Plan\Marbre.sti

je n'ai pas encore supprimé: 
1. C:\Documents and Settings\Alexis DESNE\Local ...591d01[327882R2FWJFW\NirCmdC.cfexe]
2. C:\Documents and Settings\Alexis DESNE\Bureau...ix.exe[327882R2FWJFW\NirCmdC.cfexe]
3. C:\Documents and Settings\Alexis DESNE\Bureau...2).exe[327882R2FWJFW\NirCmdC.cfexe]
4. C:\Documents and Settings\Alexis DESNE\Bureau...ix.exe[327882R2FWJFW\NirCmdC.cfexe]
C:\Documents and Settings\Alexis DESNE\Bureau\Flash_Disinfector.exe[nircmd.exe]
(je ne les trouve pas, et d'ailleurs un rapide coup d'oeil sur le net m'indique qu'il n'est pas sur que ce soit un virus, donc j'y touche pas pour l'instant).
Pour le nettoyage de mes clés usb (j'en ai 2 que j'ai branché en K:\ et F:\) RAV a trouvé et supprimé les fichiers suivants: 
- f:\autorun.inf
-f:	rhwmihj.exe
-k:\uqhqx1.cmd
-k:\autorun.inf 
Apres ça, RAV m'indique que le PC est sain, donc je redémare et je continue.

A t'al
Alex

BOB3 · Answer

Bonjour Alex

Pour la bonne regle, et a chaque fois tu trouves qq chose de douteux
ai le reflexe de desactiver la restauration
Ccleaner
reactivation restauration
et creer a nouveaux un point de restauration
Reboot
nouveau Ccleaner

a+
BOB3

alex · Answer

Salut à tous les deux, 

voici les dernières nouvelles du front:
j'ai réalisé toutes les étapes suggérées par jlpjlp en 35, voici le résultat de combofix ci-dessous.

soit dit en passant, - quand je lance internet explorer, il me dit que "la connexion internet que vous allez utiliser n'est pas sécurisée, d'autre utilisateurs du web pourront désormais accédéer aux information envoyées", j'ai pourtant restaurer les parametres de sécurité au niveau "moyen-haut".
Depuis le nettoyage de tous les programmes superflu d'hier, au démarrage, j'ai droit à une fenêtre avec le message suivant :

Winsys2.exe – Composant introuvable

Cette application n’a pas pu démarrer car MADCHOOK.DLL est introuvable. La réinstallation de cette application peut corriger ce problème.

Voilà, et sinon, je fais dès maintenant ce que tu me conseil en 45 Bob.

Ok, voilà, j'attend vos conseils pour les prochaines étapes, et pour l'instant je déconnecte mon PC, et je lance un scan Panda sur le PC de ma copine, ce soir je nettoierais sa clef usb et son Ipod.  

A+
Alex

BOB3 · Answer

Re Alex
t'as une autre infection residente dans IE

va sur ce lien(en anglais) et suis les recommandations.
http://www.spywareremove.com/removemadchookdll.html
et lors du scan, desactive les autres antivirus

quand a Winsys2.exe, il est necessaire pour les cartes graphique 7600gt MSI
verifie au niveau de ta carte s'il est necessaire, mais laisse ca de cote pour l'instant 
il y'a un doute a son sujet, car il parait qu'il s'nstalle avec le jeux " soldier of fortune2"
Dis moi au passage, t'as quoi comme carte graphique.

a+
BOB3

alex · Answer

Bob, 
pour ma carte graphique, il s'agit d'une MSI NX7600GS (à ce propos, j'ai pas bien saisi, les bon drivers sont ceux du site de MSI ou de Nvidia?). Sinon, Je ferais la manipulation que t me conseille en 48 pour l'infection de IE dans une heure ou deux, dès que Panda aura fini d'analyser  le PC de a copine (déjà 90 fichiers infectés...) je sais pas encore si je vais essayer de tout nettoyer sur le sien, j'ai déjà pris pas mal de retard dans mon boulot, je verrais. Dans le même temps j'ai relancer avast sur le miens (3 troyens détectés pour l'instant, dont deux "faux-positifs" dans rav.exe, mais jpljpl nous avait prévenu qu'avast se trompait pour ce fichier).

Voilà,
A+

jlpjlp · Answer

ok colle nous un rapport hijakchits, et panda pour voir

alex · Answer

Ok, voici ci-dessous le rapport panda du PC de ma copine:


Threats with free disinfection (12) 
 Medium danger level (2)
 
Trj/Lineage.BZ...	Virus	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\Local Settings\Temp	ru7.tmp
 
Trj/Lineage.BZ...	Virus	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\Local Settings\Temp\54mo4e.dll
	

Low danger level (10)
 
W32/Lineage.IG...	Virus	Latent	Hide
+ Info
 
	1. C:\autorun.inf
 
W32/Lineage.IE...	Virus	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\Local Settings\Temp\psdtohkm.dll
 
W32/Lineage.IE...	Virus	Latent	Hide
+ Info
 
	1. C:\mug0sd.cmd
 
Trj/Agent.IMZ	Virus	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\Bureau\catchme.zip[^^^^^^.exe]
 
W32/Lineage.IF...	Virus	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\Local Settings\Temp\dtzr9je.dll
 
W32/Lineage.IG...	Virus	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\Local Settings\Temp\h8my7hut.dll
 
W32/Lineage.IG...	Virus	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\Local Settings\Temp\es8m88z.dll
 
W32/Lineage.IG...	Virus	Latent	Hide
+ Info
 
	1. C:\WINDOWS\system32\amvo1.dll
 
W32/Lineage.IG...	Virus	Latent	Hide
+ Info
 
	1. C:\1dg.exe
 
W32/Lineage.IG...	Virus	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\Local Settings\Temp	ruBF.tmp
	

Threats disinfected with the paid version (39) 
 Low danger level (39)
 
Cookie/Bluestr...	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...fault\cookies.txt[.bluestreak.com/]
 
Cookie/Apmebf	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...4.default\cookies.txt[.apmebf.com/]
 
Cookie/PointRo...	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...lt\cookies.txt[.ads.pointroll.com/]
 
Cookie/YieldMa...	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...t\cookies.txt[ad.yieldmanager.com/]
 
Cookie/Adtech	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...54.default\cookies.txt[.adtech.de/]
 
Cookie/Atlas D...	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...54.default\cookies.txt[.atdmt.com/]
2. C:\Documents and Settings\hp.YOUR-F14AC45099\Cookies\hp@atdmt[2].txt
 
dialer.cn	Dialer	Latent	Hide
+ Info
 
	1. HKEY_CURRENT_USER\Software\Microsoft\Windows\...1F9316-771B-4953-A268-1C36DA667FE9}
 
Cookie/Weboram...	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\....default\cookies.txt[.weborama.fr/]
 
Cookie/Doublec...	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...ault\cookies.txt[.doubleclick.net/]
2. C:\Documents and Settings\hp.YOUR-F14AC45099\Cookies\hp@doubleclick[1].txt
 
Cookie/Mediapl...	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...efault\cookies.txt[.mediaplex.com/]
 
Cookie/Atwola	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...4.default\cookies.txt[.atwola.com/]
 
Application/My...	Tracking Application	Latent	Hide
+ Info
 
	1. C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
 
Cookie/MetriWe...	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\....default\cookies.txt[.metriweb.be/]
 
Application/Fu...	Tracking Application	Latent	Hide
+ Info
 
	1. C:\Program Files\MyWebSearch\bar\1.bin\F3DTACTL.DLL
 
Application/My...	Tracking Application	Latent	Hide
+ Info
 
	1. C:\Program Files\MyWebSearch\bar\1.bin\F3SCRCTR.DLL
 
Application/Pr...	Tracking Application	Latent	Hide
+ Info
Not disinfectable
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...u\SDFix.exe[SDFix\apps\Process.exe]
2. C:\SDFix\apps\Process.exe
3. C:\Documents and Settings\hp.YOUR-F14AC45099\Bureau\MSNFix\incl\Process.exe
 
Application/My...	Tracking Application	Latent	Hide
+ Info
 
	1. C:\Program Files\MyWebSearch\bar\1.bin\M3SKIN.DLL
 
Cookie/Tribalf...	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...ult\cookies.txt[.tribalfusion.com/]
 
Cookie/Serving...	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...t\cookies.txt[.bs.serving-sys.com/]
 
Cookie/Serving...	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...ault\cookies.txt[.serving-sys.com/]
 
Application/My...	Tracking Application	Latent	Hide
+ Info
 
	1. C:\Program Files\MyWebSearch\bar\1.bin\M3HTML.DLL
 
Cookie/RealMed...	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...ult\cookies.txt[.247realmedia.com/]
 
Cookie/FastCli...	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...efault\cookies.txt[.fastclick.net/]
 
Application/Fu...	Tracking Application	Latent	Hide
+ Info
 
	1. C:\Program Files\MyWebSearch\bar\1.bin\F3REPROX.DLL
 
Cookie/Zedo	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...054.default\cookies.txt[.zedo.com/]
 
Application/My...	Tracking Application	Latent	Hide
+ Info
 
	1. C:\PROGRAM FILES\MYWEBSEARCH\BAR\1.BIN\MWSOEMON.EXE
 
Cookie/Smartad...	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\Cookies\hp@smartadserver[1].txt
2. C:\Documents and Settings\hp.YOUR-F14AC45099\...lt\cookies.txt[.smartadserver.com/]
 
Cookie/Adverti...	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...ault\cookies.txt[.advertising.com/]
 
Cookie/Tradedo...	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...ult\cookies.txt[.tradedoubler.com/]
 
Cookie/Xiti	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...054.default\cookies.txt[.xiti.com/]
 
Application/My...	Tracking Application	Latent	Hide
+ Info
 
	1. C:\Program Files\MyWebSearch\bar\1.bin\M3PLUGIN.DLL
 
Application/My...	Tracking Application	Latent	Hide
+ Info
 
	1. C:\Program Files\MyWebSearch\bar\1.bin\F3CJPEG.DLL
 
Cookie/Statcou...	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...ault\cookies.txt[.statcounter.com/]
 
Application/My...	Tracking Application	Latent	Hide
+ Info
 
	1. C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
 
Cookie/Toplist	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...4.default\cookies.txt[.toplist.cz/]
 
Application/My...	Tracking Application	Latent	Hide
+ Info
 
	1. C:\Program Files\MyWebSearch\bar\1.bin\MWSOEPLG.DLL
 
Cookie/Com.com	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...4054.default\cookies.txt[.com.com/]
 
Application/My...	Tracking Application	Latent	Hide
+ Info
 
	1. C:\Program Files\MyWebSearch\bar\1.bin\NPMYWEBS.DLL
 
Cookie/Comclic...	Tracking Cookie	Latent	Hide
+ Info
 
	1. C:\Documents and Settings\hp.YOUR-F14AC45099\...cookies.txt[fl01.ct2.comclick.com/]

alex · Answer

Ok, pour éviter les quiproquo, et parceque ça se complique, j'ai crée un topic à part consacré au PC de ma copine, j y ai mis son hijackthis et son rapport Panda, à partir de maintenant, on ne parle plus que des problèmes de mon PC ici, ça vous va?
voici donc le poste consacré au 2ieme PC
http://www.commentcamarche.net/forum/affich 6378266 probleme troyens 2ieme pc connecte par wifi

alex · Answer

suite au scan proposé par bob3 en 48, 
spyhunter a trouvé ceci 
C:\document documents and settings\...\.exe
et ceci
C:Windows\system32\Reinstallbackups\0009\driversfiles\winsys.exe 
(il existait aussi un winsys2.exe dans le meme fichier, j y ai pas touché)
j'ai supprimé manuellement ces 2 fichiers, je relance Avast.

A+

Alex

BOB3 · Answer

Re Alex.

Il est imperatif de finir le nettoyage de ton ordi.
Il est evident que ton ordi a ete infecte sur un site de jeux en ligne.
Prends garde pour l'avenir, si tu bosse sur le meme ordi, evite les jeux, en plus il y'a des metodes
tres ponitues pour proteger son ordi quand on veut l'utiliser pour les jeux en lignes, mais il faut
une machine hyper puissante (et hyper chere) dediee pour ce type d'utilisation.

Bref, termine ton scan et envois.

quand au probleme de l'ordi de ta copine, je te conseille de faire une sauvegarde de son travail,
reformater le disque, et reinstaller xp, ca ira plus vite que les nettoyages.
une fois tout ca remis a plat, Il reste le plus important a faire c'est la protection future de vos machines

a+
BOB.

alex · Answer

Ok, 
Merci beaucoup bob, j'en en prend note, félicitation pour la précision de ton diagnostic et merci du conseil. Je suis effectivement un grand fan de jeu sur PC, j'en avais au moins 3 d'installés j'usqu'à hier, et même si j'ai très rarement joué en ligne, j'imagine que les patchs, et autres ajouts téléchargés ici et là on dut mettre cette pagaille sur mon PC.
Mais à priori mes parents viennent me voir ce mois-ci et ils m'amènent un PC portable dont je me servirais pour mon boulot, ça me permettra d'avoir deux machines séparées pour les loisirs et le travail.  
Pour le PC de ma copine, j'évaluerai la quantité de travail qu'elle a dessus (elle est orthophoniste et a des centaines de planches, tests, super important donc) et à partir de là je te demanderais conseil quand au meilleur moyens de sauver tout ça de façon sûr (clef usb, disque dur externe, ou cd)...
Encore merci et à +

Alex

alex · Answer

Au fait, j'ai rebranché le disque dur externe (F:\) le temps de faire le scan avec Avast. J'ai eu tort?

BOB3 · Answer

Alex, 
desactive internet a chaque fois que tu fait un scan sur tes disques un apres l'autre, 
en commencant par l'externe, et s'il est sain tu le debranche
et tu relance le scan des disques internes
et lance Ccleaner apres la sauvegarde du log d'avast.

un autre conseille, ne laisse pas ton externe connecte en permanence a l'ordi, tu le branche
quand c'est necessaire.

memes conseils pour l'ordi de ta copine, pas de travail et de jeux sur la meme machine.

a+
BOB3

jlpjlp · Answer

recolle un scan panda , hijackthis , et dis tes souci sur ton ordi et pas celui de ta copine

alex · Answer

Salut, 
Bob: merci des conseils que tu me donnes en 57, j'y aurai pas pensé, mais j' ferai attention à l'avenir. Soit dit en passant, j retiens la leçon, et j n installe plus de jeux pendant les prochains, moi, tout pendant que j'ai mon mémoire dessus en fait.
Jlpjlp: autant pour moi, j avais mal compris, Avast fini son scan là, j vous enverrai les résultats dans 30mn je pense, ensuite je laisse tourner Panda cette nuit et demain matin je poste le scan de panda ainsi qu'un hijackthis.

2 remarques:
 -  je vais relire les rapports d'avast, de panda, etc que j'ai fait aujourd'hui et hier pour en etre sur à 200%, mais je suis persuadé que le disque dur externe (100Go, absolument toutes mes données) est tout à fait désinfecté, (encore merci pour ça BOB), donc je vais le débranché j'usqu'à ce qu'il en soit de même pour C:/
- Le message de sécurité d'Internet explorer dont je parlais en 47 persiste.

bonne soirée à vous

A+

Alex

jlpjlp · Answer

ok

pour verifier branche tout les lecteur et fais RAV antivirus
ensuite recolle un scan panda et hijakchtis

alex · Answer

Bonjour à tous les deux: 
bonne nouvelles, depuis le scan Avast d'hier , j'ai l'impression que mon PC est bel et bien désinfecté, je m'explique:
- j ai fait 3 scan panda sécurity (ils ont tous durés moins d'une minute, j'imagine que c'est normal sur un PC propre) : tous les trois me disent que tout est parfait:
- Comme l'a proposé Jlpjlp, j ai lancé des RAV antivirus avec chaque clef usb et le disque dur externe: à chaque fois le même diagnostic : disque dur sain (on est d accord jlpjlp: une fois que le message est affiché, inutile de laisser tourner?)
- Spyhunter ne trouve rien d'autre que des cookies.
Je vais lancer un onecare, le temps de faire une course, j vous tiens au courant.

Je précise que les deux remarques suivantes sont toujours d'actualité:
- quand je lance internet explorer, il me dit que "la connexion internet que vous allez utiliser n'est pas sécurisée, d'autre utilisateurs du web pourront désormais accédéer aux information envoyées", j'ai pourtant restaurer les parametres de sécurité au niveau "moyen-haut".

-au démarrage, j'ai droit à une fenêtre avec le message suivant :
Winsys2.exe – Composant introuvable
Cette application n’a pas pu démarrer car MADCHOOK.DLL est introuvable. La réinstallation de cette application peut corriger ce problème. 

Donc je déduis que c'est bon?

A+
Alexis

alex · Answer

j oubliai le Hijack: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:07:37, on 14/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lemonde.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\PROGRA~1\iFinger\plugins\IE.ifp
O3 - Toolbar: (no name) - {D0943516-5076-4020-A3B5-AEFAF26AB263} - (no file)
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [oouserv6.exe] C:\Program Files\OFFICE ONE6.5\program\oouserv6.exe
O4 - HKLM\..\Run: [OoPDFSettingsv6.exe] C:\Program Files\OFFICE One6.5\OFFICE One PDF Manager\OoPDFSettingsv6.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OFFICE One 6.5.lnk = C:\Program Files\OFFICE ONE6.5\program\quickstart.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: iFinger 2.0.lnk = C:\Program Files\iFinger\iFinger.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: OFFICE One Clock v6.5.lnk = C:\Program Files\OFFICE ONE6.5\OFFICE One Clock\ooneclockv65.exe
O4 - Global Startup: OFFICE One Notes v6.5.lnk = C:\Program Files\OFFICE ONE6.5\OFFICE One Notes\oonotesv65.exe
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

jlpjlp · Answer

ok vire ce qui est dans    backup
en allant dans poste de travail puis

C:\Deckard\System Scanner\20080507203252\backup

_______________


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

____________________ 

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :

C:\uqhqx1.cmd 
C:\0n.bat 
C:\1dg.exe

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

_______________


vire ce qui est dans moved files en allant dans poste de travail puis

C:\_OTMoveIt\MovedFiles

___________________

vire ce qui est dans quarantine en allant dans poste de travail puis:
C:\QooBox\Quarantine

_____________________



scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

______________________

Désactive ta restauration systeme puis redemarre ton ordinateur puis réactive là

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fdocid/20020830101856924
_______________________

recolle un scan en ligne

jlpjlp · Answer

tu fais bien de me le dire.... evidemment ne fais pas ce que j'ai mis!

a plus

alex · Answer

Bonjour à tous les deux, 

- première remarque, le scan onecare n'a rien relevé du tout.

Bob, concernant ta question sur IE et firefox, la réponse est simple, je n'utilise que Firefox pour naviguer, IE se lance automatiquement lorsqu'à partir de mon MSN je veux aller voir mes mails sur hotmail; j'ai également utilisé IE ces derniers temps pour tous les scans en ligne ou il était nécessaire d'autoriser les activeX etc. Mais en dehors de ces deux cas de figure, je n'utilise jamais IE, que j trouve extrêmement lent comparé à Firefox (un symptôme d'un autre problème?), et comme je l'ai dit, l'alerte sécurité est toujours là quand je le lance. Honnêtement, si je désinstallais IE, ce ne serait pas une grande perte.

Voici le contenu des fichiers que tu m'a cité bob:
Winsys2.exe (j'en ai un deuxième d'ailleurs dans le même fichier: winsys2(2).exe, parfaitement identique au premier)
contenu: version fichier 1.0.0.1, nom d'origine sw25-rev01.exe, description TODO , copyright : All right reser

SW20.exe: SW20MFC application, , version 1.0.0.1, copyright 2005

SW24.exe: pas d'onglet "version", la seule info que j peux vous donner est que l'icone représente un code-barre...

Voilà, A+

Alexis

BOB3 · Answer

Re alex
Ok, mais c'est un peu complique de travailler sur 2 navigateurs, et de plus a chaque fois 
reparametrer le navigateur par defaut, en plus des conflits non repertoties que c'a peut causer.
autre chose, ton antivirus+antispyware+firewall surveillent en permanance les 2 ce qui ralenti 
considerablement la machine, et si tu chope une infection quelconque, c'est les 2 qui sont infecte.
on reverra ca plus tard???

tu va dans propriete syteme, materiel, gestionnaire de peripheriques, 
1---clic sur affichage en haut, afficher les peripheriques caches, et dis moi s'il y'a un ? jaune

2--toujours dedans, tu clic sur carte graphique, puis sur ta carte, clic droit de la souris, 
proprietes, pilote, details du pilote, et tu fait defiler et tu verifie si les fichiers suivant sont dedans
winsys2.exe 
sw24.exe 
sw20.exe 

3---toujours dedans, tu verifie de meme, controleurs audio, video et jeu, tu clic sur ta carte son, 
proprietes, pilote, details du pilote, et tu fait defiler et tu verifie si les fichiers suivant sont dedans
winsys2.exe 
sw24.exe 
sw20.exe 

et tu donnes ta reponse

a+BOB3

alex · Answer

Bob: 

- WinSys2.exe , Sw20.exe et Sw24.exe sont bien présent dans l'onglet pilote de la carte graphique.

-dans propriete syteme, materiel, gestionnaire de peripheriques: pas de périphérique caché avec une icône jaune.
- Pour les deux navigateur, j arrête de me servir d'IE, tu m'expliquera ce que je dois faire à ce propos

Merci

Alex

BOB3 · Answer

Re Alex

tu desactives, et reactives restauration en creant un nouveau point.

tu desinstalles ta carte graphique, mais avant verifie si t'as le disque des drivers,
tu redemarre en mode sans echec
tu lance rechercher, et puis l'un apres l'autre, tu les supprimes manuellement a la poubelle
WinSys2.exe , Sw20.exe et Sw24.exe et meme les doublons comme winsys2(2).exe

tu nettois avec Ccleaner
tu lances Hijackthis
et si tu les trouve encore tu les fix
tu lances msconfig.exe
et si encore present, tu decoche, WinSys2.exe , Sw20.exe et Sw24.exe 
tu reboot en mode normal
si windows te dis nouveau materiel detecte, tu lui dis non---pas d'installation.
tu desactive et reactive restauration+nouveau point
tu redemarre en normal
tu reinstalles ta carte graphique

et tu nous redonnes un nouveau Hijackthis

a+
BOB3

alex · Answer

Arg!!!

M....! Ma carte graphique est particulièrement chiante à installer, j ai jamais réussi à l faire tout seul, pendant l'installation j ai toujours un message d erreur et ça s arrete. c était un problème avec le cd d installation j pense, Au final c'est un pote informaticien qui l'avait fait finalement avec une manip assez compliqué, longue et dont évidement je ne me souviens plus....Il habite maintenant à l'autre bout de la france. Qu'est ce que j peux faire?

Alex

BOB3 · Answer

Pas de panique Alex.

le plus improtant
1--Dis moi qu'est ce que t'as trouve avant la reinstallation de la CG

apres
2--marque de ton ordi+annee
3--marque de ta carte mere
3--marque et ref de ta carte graphique, 
si elle est integree a la carte mere ou bien
agp
pci
ou pci-express

a+
BOB

alex · Answer

BOB

1 je n’ai pas encore essayer de désinstaller ni réinstaller la carte, parce que je sais que je ne pourrais pas la réinstaller (le pote informaticien dont j’ai parlé l avait fait devant moi, en janvier, c’ est pour ça que je sais que c’est infaisable pour le commun des mortels). 

2 Ordi : marque Olidata (c’est la marque écrite dessus en tout cas) + année : acheté en 2004 (il y a un dossier ou je peux avoir la date précise et sure ?)
-CM : peux-tu me dire ou trouver cette info ? (une PB400 me semble’til)
- carte graphique : MSI : AGP – 8X NX7600GS Series256M DDR2,D –  pas intégrée à la carte mere, puisque elle a été installée plus tard (dernier trimestre 2007).

J peux bien sur installer evesrest pour les info manquantes.

J espère que ça va aller.

A+

BOB3 · Answer

Re alex

une autre question
est ce qu'il y'a une carte graphique integree a la carte mere, et est ce qu'elle est desactivee.

le probleme c'est que j'ai verifie sur internet l'dentite exacte des fichiers 
WinSys2.exe , Sw20.exe et Sw24.exe 
il semble que certains virus sont capable de s'accaparer l'identite de ces fichiers
voir ce lien en anglais
https://www.file.net/process/sw24.exe.html
d'autre part il faut comprendre pour quelle raison winSys2.exe fait toujours appel a MADCHOOK.DLL,
 (peut etre il reste une trace dans la base de registre)
qui s'est avere un Spyware.Hooker.A par Panda et depuis detruit
par consequent, tu cree un nouveau point de restauration
tu lances dans demarrer, executer, regedit.exe --------- avec prudence
dans edition, puis rechercher , tu tape MADCHOOK.DLL 
et a chaque fois tu appui sur F3 pour rcherche suivante
et a chaque fois tu le trouve, tu le supprime manuellement

apres,
tu va dans c:\windows\Downloaded Program Files
et tu va me reporte ce que tu trouves

a+
BOB3

alex · Answer

Ok, 

j'ai cherché plusieurs fois  MADCHOOK.DLL via la procédure que tu m'indique: rien n'a été trouvé.

concernant le contenu du fichier c:\windows\Downloaded Program Files, voici les fichiers trouvés et les infos contenues dedans:
Type contrôle activeX
Identificateur {33564D57-0000-0010-8000-00AA00389B71}
Etat: inconnu
Code de base : http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

Type contrôle activeX
Identificateur{4F1E5B1A-2A80-42CA-8532-2D05CB959537}
http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
Etat: Endommagé

{C3F79A2B-B9B4-4A66-B012-3EE46475B072}
http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

ActiveSca, 2.0 Installer Class
Etat: installé
{2D8ED06D-3C30-438B-96AE-4D110FDC1FB8}
http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

Shockwave Flash Object
Contrôle activeX
Etat: installé
{D27CDB6E-AE6D-11CF-96B8-444553540000}
http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

WebSDev Control
Contrôle activeX
Etat: installé
{8167C273-DF59-4416-B647-C8BB2C7EE83E}
http://liveupdate.msi.com.tw/autobios/LOnline/install.cab

Windows Live safety center base module
Contrôle activeX
Etat: installé
{5ED80217-570B-4DA9-BF44-BE107C0EC166}
http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab

BOB3 · Answer

Ok Alex

les activex semblent ok

tu lances msconfig.exe 
et si encore presents, tu decoche, WinSys2.exe , Sw20.exe et Sw24.exe 
tu reboot en mode normal 

si a l'ouverture il y'a un message d'erreur tu le notes et tu l'envoi
si pas de message d'erreur c'est ok

tu refait un rapport Hijackthis et tu l'envoi...
a+
BOB3

alex · Answer

Ok, j'ai fait ce que tu m'as dit, et au redémarrage, aucun message d'erreur.

une remarque: je n'ai plus l'îcone en bas à droite qui permet de désactiver des périphériques de façon sécurisée avant de les retirer,  je suis obliger de les enlever "à la sauvage" autant dire que ça ne me plait pas, je sais à quel point c'est dangereux pour un disque dur externe. ça vient d'où ce problème à votre avis, j'ai désinstallé un truc qui fallait pas?

Voici le Hijackthis (je l'ai fait en mode normal cette fois, je sais même plus pourquoi j'avais pris l'habitude de les faire en mode sans échec)
 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:36:53, on 14/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\OFFICE One6.5\OFFICE One PDF Manager\OoPDFSettingsv6.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\iFinger\iFinger.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\OFFICE ONE6.5\OFFICE One Clock\ooneclockv65.exe
C:\Program Files\OFFICE ONE6.5\OFFICE One Notes\oonotesv65.exe
C:\Program Files\OFFICE ONE6.5\program\soffice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lemonde.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\PROGRA~1\iFinger\plugins\IE.ifp
O3 - Toolbar: (no name) - {D0943516-5076-4020-A3B5-AEFAF26AB263} - (no file)
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\Run: [oouserv6.exe] C:\Program Files\OFFICE ONE6.5\program\oouserv6.exe
O4 - HKLM\..\Run: [OoPDFSettingsv6.exe] C:\Program Files\OFFICE One6.5\OFFICE One PDF Manager\OoPDFSettingsv6.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OFFICE One 6.5.lnk = C:\Program Files\OFFICE ONE6.5\program\quickstart.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: iFinger 2.0.lnk = C:\Program Files\iFinger\iFinger.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: OFFICE One Clock v6.5.lnk = C:\Program Files\OFFICE ONE6.5\OFFICE One Clock\ooneclockv65.exe
O4 - Global Startup: OFFICE One Notes v6.5.lnk = C:\Program Files\OFFICE ONE6.5\OFFICE One Notes\oonotesv65.exe
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

BOB3 · Answer

J'ai un petit soucis Alex
c'est clean, tout est rentre dans l'ordre.

1---Pour l'icone des perifs usb, ce n'est pas grave, tu repere ton disque externe dans explorer, 
tu clic proprietes tu le repere dans la liste, puis propriete, strategies, puis parametres par defaut, 
il doit se trouver sur optimiser pour une suppression rapide.
c'est bon

UNE QUESTION: Pourquoi il y'a trops de services ouvert dans le rapport hijackthis compare a celui de ce matin.
en plus il y'a pleins de services qui s'ouvrent inutilement.
verifies et desactive tout ce qui est inutile.
apres verif des services.
tu refaits un scan Hijackthis et tu le postes

2--Tu peux desinstaller --- SpyHunter + onecare ---- plus besoin
tu lance ccleaner

3---tu desactives a nouveau ta restauration
tu la reactives
et tu fait 2 nouveaux points de restaurations

4--tu lance une defragmentation des disques.

a+
BOB3

alex · Answer

Bob, 

1ere remarque : la différence de nombre de programmes en marche entre le Hijack de ce matin et celui de cet aprem viens du fait que le premier était fait en mode sans échec, le second en mode normal. Et effectivement, en mode normal, si j’ai 45 processus en cours dans le gestionnaire de tache windows et évidemment, je suis bien incapable de différencier un alg.exe d’un spoolsv.exe ou d’un wdfmgr.exe… J’en ai aussi pas mal dans msconfig/ démarrage. Comment est-ce que j peux faire le tri ?

-1/ est ce que la technique que tu propose pour débrancher les clefs usb, DD externes, etc est sûr ? Ca paraît évident si tu le propose, mais c’est juste pour avoir la garantie que je grillerais pas mon disque dur en le retirant pendant qu’il est en pleine écriture.

- Je recoche les winsys2,  SW et SW24 dans msconfig / démarrage? (je passe en mode démarrage normal au lieu de sélectif donc) Du coup ça s passe comment pour mon probleme de message d’erreur au démarrage MADCHOOK.DLL? Ma carte graphique va marcher ?

Concernant mon alerte sécurité dans IE qui se relance à chaque fois que je lance une page, est que ça veut dire que j’ai toujours l’infection résidente (IE rame à mort, c’est dingue comparé à Firefox) ? D’ailleurs tu m’avais dit que tu m’expliquerais quoi faire concernant mes 2 navigateur, j peux tout simplement arrêter de me servir d’IE, tout simplement…

Voilà c’est tout ce qu il me passe par la tête pour l instant

A+

Alex

BOB3 · Answer

Bonne soiree Alex

le plus important etant de nettoyer les differentes infections de ton ordi, cecietant fait
le reste n'est que reglages.
1--pour ton icone retirer le peripherique etc...
ta souris clic droit sur la barre de tache, propriete, masquer les icones i,actives, personaliser, 
et tu regarde dans la liste son emplacement, tu clic dessus, puis sur la fleche, 
et tu mets toujours afficher
normalement elle doit reapparaitre, sinon au prochain demarrage, ou branchement d'un peripherique.

2---ce message ne peut etre evaluer qu'avec la reistallation des drivers de la carte graphique, 
mais vu que c'est galere d'apres tes remarques c'est toi qui decide, et si winsys2.exe 
fait appel a MADCHOOK.DLL qui lui etait suspect il n'ya plus de craintes, de toute facon 
si ta CG marche sans les 3 services,
desactive les dans msconfig.

3---desinstalle IE7, fait un coup de Ccleaner, et reinstalle le, ca doit resoudre le probleme, et remets
toutes sas foctions par defaut.
mets a jour xp2 en totalite, mais pas sp3 pour l'instant, il y'a pas mal de bugs, et l'installation 
marche 1 fois sur 5

toutes les tortures infligees a ton ordi depuis qq jours ont laisse des degats collateraux, mais pas trop graves.

tiens moi au courant
bonne soiree
BOB3

alex · Answer

Ok, 

Effectivement, je ne vais pas chipoter pour ces détails.
Je réinstallerai la carte graphique cet été, avec un ami qui s'y connais beaucoup plus que moi, de toute façon je n'installerai pas de jeux au cours des mois qui viennent....
Pour la réinstallation d'IE, je ferais ça d'ici la fin de la semaine, et j'espère que les dégâts collatéraux ne seront pas trop génant. 
Pour l'ordi de ma copine, je n'ai plus de temps à y consacrer, donc je l'ai déconnecté et j le formaterais quand j'en aurai.

Et bien nous y voilà! Non sans mal, mais on y est arrivé! Un immense merci à toi Bob, sans toi je serais sans doute encore à me taper la tête sur mon clavier, voir pire (mon PC aurai tout simplement pu planter avec tout mon boulot). Donc je ne sais quoi dire de plus; Si on se connaissait je me serais fait un plaisir de t'offrir une bonne bouteille de vin en remerciement!  Enfin c'est super, je suis aux anges, et félicitation pour ton excellent boulot, précis, efficace, tout! Merci aussi à jlpjlp bien sur qui nous a biens aidé (je garde les programmes d'analyse de clef usb, ce sera utile pour éviter les vérification quand des gens ramènent leur lecteur mp3 chez moi pour prendre de la musique).
En tout cas je suis bluffé par l'efficacité de ce forum, c'était la première fois que j'y postais et je suis pas déçu (surtout comparer aux pseudo hotlines des fournisseur d'accès par exemple). 

Donc problème résolu! Merci encore infiniment à vous deux, il est très probable que vous ayez sauvé mon diplôme!

PS: je suis pas membre donc je ne peux pas coller la ptite icone verte "problème résolu, mais le coeur y est!

A+
Alex

BOB3 · Answer

Bonjour Alex

T'as pas besoin de me remercier autant, le plus important etant d'avoir sauve ton boulot, 
en plus je te conseille de faire une deuxieme sauvegarde de tes fichiers importants sur 
un disque optique plus securise.
Pour te dire que j'interviens de temps en temps sur ce forum pour apporter mon aide dans 
la mesure du possible, car j'ai d'autres occupations.

je laisserai cette page sous le coude en verifiant de temps en temps, dans le cas ou.
Bonne chance pour ton diplome.
BOB3

alex · Answer

Encore une chose, j'avais pas réalisé sur le coup quand tu parlais de jeux en ligne, mais oui en effet, ma copine et moi avons eu une petite période "poker en ligne" il y a peu, sur Everst poker. Pas pour l'argent, je vous rassure, juste pour s'entrainer un peu avant les soirées poker entre amis, mais voilà sans doute d'où venait tous nos troyens. Merci Everest poker donc. 
Ps: y a un moyen de s'assurer que les sites sur lesquels on va sont sûrs?

Bye.

Alex

BOB3 · Answer

Salut Alex,
ne cherche pas d'ou ca vient, tout les sites de jeux en lignes sont infectes, tu n'a qu'a voir
tout les forums sont sont satures, et j'ai l'impression que ca cree un buisiness incroyable.

je te conseil des logiciels gratos a installer
1--antivirus
antivir
avast
avg8--nlle version qui integre detection au niveau du navigateur, tres efficace
2--antispyware
Sbybot--nlle version 1.5.2.20--impenetrable+pas mal de reglages+integration dans navigateur
3--pare feu
tu as le choix, lire les forums sur internet
moi j'ai un pare feu Commodo pro, il est tres pointu et il faut le gerer manuellement pour verifier
les ports entrees/sorties
et pour finir un coup de nettoyage de temps en teps avec Onecare.

mais tout ca reste du choix de chacun, il faut s'aventurer sur des sites douteux pour 
verifier l'efficacite des ses propres reglages.

je te conseille de visiter un site specialise qui explique tout sur les services qui sont lance par xp, 
et leurs utilites, surtout ne modifie rien sans avoir fait une sauvegarde auparavant
http://assiste.com.free.fr/...

Bonne chance encore
BOB3

alex · Answer

Ok, je vais faire ça dès ce soir.
donc si j'ai biern saisi Avast et AVG 8 sont deux antivirus, les avoir en même temps serait donc inutile, voir contre productif?
Je vais opter pour une combinaison Avast + spybot + zonealarm je pense.

A+

Alex

Dr.antivirus · Answer

Ouvre ce site, ça marche à merveille! 
Site: Dr.Antivirus, qui propose des solutions pour quelques virus, comme AMVO(trojan-PSW.OnlineGames) , Sujin.com.np, etc ...
Voila les adresse :
https://www.118712.fr/sortir.html
                        ou
https://www.118712.fr/sortir.html

Ouvre : liste des virus récents   puis    AMVO et ses variantes
ICI tu trouveras les infos qui concernent le virus, et tu télécharge : AMVO Remover(en bas de la page)
Au revoir

alex · Answer

Bonjours à tous,
 je réouvre le forum en urgence parceque j'ai un problème que je n'avais pas repéré pendant toutes nos péripéties. Je m'explique, depuis ce-midi, j'ai l'icône d'alerte de sécurité Windows (le fameux petit bouclier rouge en bas à droite de l'écran) qui me dit que la mise à jour automatique ne fonctionne pas. Et effectivement, non seulement la mise à jour automatique ne fonctionne pas, mais je ne peux tout simplement télécharger aucune mise à jour manuellement(il s'agit de l"Erreur 1058 : Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé. "). Je passe sur le fait que j'ai passé l'aprem à plancher sur le problème sans succès (j'ai lu les forums, le service d'aide de microsoft, etc) parce que ce n'est pas vraiment génant. Mais ce problème relativement mineur m'a ammené à essayer de faire une restauration système, et là, horreur! Après tous les points de restaurations faits ces derniers jours, il n'y en avait absolument aucun dans l'utilitaire en question, apparement ils n'ont pas marché. Il n'y avait qu'un point de sauvegarde automatique, fait cet aprem et qui ne marche d'ailleurs pas. 
Donc ça m'inquiète pas mal que l'utilitaire de restauration système ne marche pas, vu qu'au moindre problème, je serais dans une belle m....

Merci
et à +

Alex

alex · Answer

Salut Bob, 

je reprends un à un chaque points de ton message: 

"tout d'abord fait une sauvegarde de l'etat, en cliquant sur action en haut, puis exporter la liste,
tu lui donnes un nom, et sauvegarde." : OK, pas de problème
 1--"Mise a jour automatique---tu clic 2 fois pour l'ouvrir, sur type de demarrage tu le mets sur automatique,
puis appliquer, puis demarrer, puis ok" : Quand je clique sur démarrer, j'ai droit au message d'erreur suivant : 
Impossible de démarrer le service de mise à jour automatique sur l'ordinateur locall; Erreur 1058 : Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé
2--"Service de transfert intelligent en arrière-plan, tu faits pareil": OK pas de problème
3--"Service de restauration système, tu faits pareil" : OK, pas de problème

"apres tu va verifier dans propriete systeme restauration du systeme s'il est bien active C: surveillance": Oui, il l'est
"mises a jour automatique, tu coche avertir en cas de nlles mises a jour etc.... " voilà, c'est coché.
je précise qu'avant hier soir, j'ai installé spybot, et bittorent pour essayer de télécharger un firewall digne de ce nom.

Voilà, 

A+
Alex

alex · Answer

salut bob,
 
désolé pur le retard, ma connexion a énormément ralentie d'un seul coup, impossible de venir sur le site. J'ai déjà essayé la technique de Microsoft, sans succès, j réessaye au cas ou. Sinon, j'ai refait des tests de restauration système, aparament je peux créer des points, mais impossible de restaurer à un point précédent. Vu que ma connexion fait des siennes (ça arrive parfois quand on s en est trop servi) j ai pas pu chercher sur le net ce que j pouvais faire pour l'instant, j verrais ça dès qu j pourrais sufer) .

bye

alex

BOB3 · Answer

Salut Alex

je t'avais demande de reinstaller IE7, ca peut resoudre le probleme.

quand a la restauration du systeme, ce qu'il faut faire:
ouvre ton editeur de registre, tu te pointe sur 
HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
TU CLIC SOURIS DROIT SUR---> CurrentControlSet
PUIS EXPORTER
ET TU TAPE SON NOM ---- CurrentControlSet, puis ok
il va le sauvegarder sous "CurrentControlSet.reg"
cette methode est necessaire dans le cas ou la restauration merde.
______________________________________________________
desactive la restauration, puis redemarre en mode sans echec
tu ouvre ton explorateur
tu va dans c:\system volume information
tu clic dessus et tu supprime tout

tu reactive ta restauration
tu crees un nouveau point que tu nommes sansechec170508
tu redemarre en mode normal
tu verifie que restauration est bien activé
tu ferme et tu crees a nouveau un nouveau point de restauration que tu nommes normal170508
normalement c'est bon.

a+
BOB3

alex · Answer

salut bob,

pour IE 7: J'avais désinstallé IE7 avant de télécharger plusieurs mises à jour sur microsoft.update dont IE7,  ça m avais l'air d'avoir marché.
 
Pour la sauvegarde de "Curent control set" c'es fait.

Mais pas de c:\system volume information, 

à+

Alex

BOB3 · Answer

Salut Alex,

1--si tu as cree un nouveau point de restauration, reboot en mode sans echec, 
et verifie si c:\system volume information --- a ete bien cree
tu le touches pas.
2--tu reboot en mode normal, et tu verifie si ton point de rstauration figure dans le calendrier.
3--tu cree un nouveau point date aujourdh'ui, tu ferme, et tu reverifie s'il figure bien dans le calendrier.
4--pou faire un essai: tu reviens dans la restauration et tu choisi le dernier point que t'as cree
et tu lui demande de faire une restauration, ou ca marche, sinon il te donne un message d'erreur que tu notes
et tu en vois.

a+
BOB3

alex · Answer

Salut Bob, 
j'ai vérifier: créer un nouveau point de restauration ne crée pas de dossier C:\ systeme volume information.
quand j essaye de restaurer mon ordi à un point précédent (ils figurent bien dans e calendrier), j ai le message suivant: "Restauration incomplète, votre ordinateur ne peut être restauré à dimanche 18... aucun changement n'a été effectué"

voilà... Est ce qu un logiciel comme zonealarm ou spybot pourrait en être responsable.

merci
a+

Alex

alex · Answer

re-bonjour, 

d'après ce que j vois sur les forums, les antivrus et compagnie peuvent interférer avec a resto systeme. ce soir j'essairais de couper tout mes trucs (spybot, avast, AVG, Zonealarm, ça commence à faire du monde en fait.) et recréer un point, puis restaurer, j vous tiens au courant.

Alex

BOB3 · Answer

Salut Alex

premiere chose a faire, assures toi si les services suivants sont activé.
CAD sur mode auto et s'ils ont demarre, 
sinon tu les mets sur auto et tu les demarres.

tu reboot en mode normal pour que ca prenne effet.
s'il ya un message d'erreur, tu le notes et tu postes.

servicesAcquisition d'image Windows (WIA)
Appel de procédure distante (RPC)
Audio Windows
Centre de sécurité
Client DHCP
Client DNS
Connexion secondaire
Connexions réseau
Détection matériel noyau
Emplacement protégé
Gestionnaire de comptes de sécurité
Gestionnaire de connexions d'accès distant
Gestionnaire de disque logique
Infrastructure de gestion Windows
Journal des événements
Lanceur de processus serveur DCOM
NLA (Network Location Awareness)
Notification d'événement système
Plug-and-Play
Service de restauration système
Services de cryptographie
Station de travail
Système d'événements de COM+
Téléphonie
Thèmes
Windows User Mode Driver Framework

a+
BOB3

alex · Answer

Salut bob, 

j'ai fait ce que tu m'as dit, voilà les messages d'erreur au démarrage:

RUNDLL: erreur de chargement de C:\Windows\system32\vwyxwayw.dll et C:\Windows\system32\kajpoo.dll, le module est introuvable.

A+

Alex

jlpjlp · Answer

slt
pour verifer:


colle un rapport hijackthis 
 

http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo. 

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste 

Ensuite avec Explorer créer un dossier c:\hijackthis 
Décompresser Hijackthis dans ce dossier. 
C'est important pour les sauvegardes."
_______________

télécharge combofix (par sUBs) ici : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

et enregistre le sur le bureau. 

déconnecte toi d'internet et ferme toutes tes applications. 

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) 


double-clique sur combofix.exe et suis les instructions 

à la fin, il va produire un rapport C:\ComboFix.txt 

réactive ton parefeu, ton antivirus, la garde de ton antispyware 

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Tu as un tutoriel complet ici : 

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

alex · Answer

Salut jlpjlp, 
voici le hijackthis et le combofix que tu m’a demandé. Le combofix n’a pas été de la tarte : j’ai essayé 2 fois en mode normal, bilan : deux « erreure sérieuses windows » sur fond bleu , ça a marché en mode sans échec, mais même erreure apres l’enregistrement du truc. Cette page bleu windows parle des erreurs 0x0000008E, 0X80563ED6OB5947B2C (c’est approximatif), ai déjà eu cette erreur avec des jeux, mais ça parlait de.la CG

Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:17:04, on 20/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Microsoft Office\Office\Winword.exe
C:\hijackthis\eden.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lemonde.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {0476501F-CD96-482D-9B8E-8180A201317D} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {444FC7D1-8F08-4377-B39B-4D75AE0E9F70} - C:\WINDOWS\system32\yayaYoll.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {58D63F8F-EBAA-4FFE-910C-54B6E9C66A08} - (no file)
O2 - BHO: (no name) - {5C24CFD1-673B-4AA5-86EB-1F136FB18896} - (no file)
O2 - BHO: (no name) - {68B80CF0-715F-488F-9D83-5536D49115DE} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\PROGRA~1\iFinger\plugins\IE.ifp
O2 - BHO: (no name) - {A133FCAA-F20C-4BE6-9DC2-9997340D8119} - C:\WINDOWS\system32\cbXNeEwV.dll (file missing)
O2 - BHO: (no name) - {A78C0531-C748-44C5-B6FF-0AA3405B393E} - C:\WINDOWS\system32\cbXppmmj.dll (file missing)
O2 - BHO: (no name) - {AD221A8D-07C6-498B-97DA-EA4B62967013} - (no file)
O3 - Toolbar: (no name) - {D0943516-5076-4020-A3B5-AEFAF26AB263} - (no file)
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\Run: [BMb38c7169] Rundll32.exe "C:\WINDOWS\system32\vwyxwayw.dll",s
O4 - HKLM\..\Run: [b0bf42f5] rundll32.exe "C:\WINDOWS\system32\oookajpo.dll",b
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: yayaYoll - C:\WINDOWS\SYSTEM32\yayaYoll.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

jlpjlp · Answer

ok il y a des infections VUNDO dans ton ordi!

__________




Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked". 


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp

O2 - BHO: (no name) - {0476501F-CD96-482D-9B8E-8180A201317D} - (no file)
O2 - BHO: (no name) - {444FC7D1-8F08-4377-B39B-4D75AE0E9F70} - C:\WINDOWS\system32\yayaYoll.dll

O2 - BHO: (no name) - {58D63F8F-EBAA-4FFE-910C-54B6E9C66A08} - (no file)
O2 - BHO: (no name) - {5C24CFD1-673B-4AA5-86EB-1F136FB18896} - (no file)
O2 - BHO: (no name) - {68B80CF0-715F-488F-9D83-5536D49115DE} - (no file)

O2 - BHO: (no name) - {A133FCAA-F20C-4BE6-9DC2-9997340D8119} - C:\WINDOWS\system32\cbXNeEwV.dll (file missing)
O2 - BHO: (no name) - {A78C0531-C748-44C5-B6FF-0AA3405B393E} - C:\WINDOWS\system32\cbXppmmj.dll (file missing)
O2 - BHO: (no name) - {AD221A8D-07C6-498B-97DA-EA4B62967013} - (no file)
O3 - Toolbar: (no name) - {D0943516-5076-4020-A3B5-AEFAF26AB263} - (no file)

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BMb38c7169] Rundll32.exe "C:\WINDOWS\system32\vwyxwayw.dll",s
O4 - HKLM\..\Run: [b0bf42f5] rundll32.exe "C:\WINDOWS\system32\oookajpo.dll",b

O20 - Winlogon Notify: yayaYoll - C:\WINDOWS\SYSTEM32\yayaYoll.dll 

__________________


analyse ce fichier sur virus toal et si infécté tu le rajoute dans la partie files:: dans la suite:
https://www.virustotal.com/gui/

C:\WINDOWS\system32qRJYqqr.dll 


___________________


pour fusionner:

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif



____________________

Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :





File::
C:\WINDOWS\system32\cbXNeEwV.dll
C:\WINDOWS\system32\cbXppmmj.dll
C:\WINDOWS\system32\vwyxwayw.dll
C:\WINDOWS\system32\oookajpo.dll
C:\WINDOWS\system32\vwyxwayw.dll
C:\WINDOWS\system32\yayaYoll.dll


Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0476501F-CD96-482D-9B8E-8180A201317D}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{444FC7D1-8F08-4377-B39B-4D75AE0E9F70}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{58D63F8F-EBAA-4FFE-910C-54B6E9C66A08}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5C24CFD1-673B-4AA5-86EB-1F136FB18896}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{68B80CF0-715F-488F-9D83-5536D49115DE}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A133FCAA-F20C-4BE6-9DC2-9997340D8119}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A78C0531-C748-44C5-B6FF-0AA3405B393E}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AD221A8D-07C6-498B-97DA-EA4B62967013}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BMb38c7169"=-
"b0bf42f5"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{444FC7D1-8F08-4377-B39B-4D75AE0E9F70}"=- 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\yayaYoll]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BMb38c7169]




Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis et dis tes soucis actuels


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

alex · Answer

jlpjlp ok, voici le rapport de combofix ( en mode sans échec, encore une fois et la même erreur windows au redémarrage, après enregistrement du rapport), et plus bas le tout dernier hijack; Sinon, mes principaux problèmes viennent de la lenteur d'internet (comparativement au PC de ma copine qui utilise la meme connexion par WIFI), et les jeux qui ne marchent pas, ou mal (ce qui vient plutôt de ma carte graphique défaillante et sous alimentée... Le bios peut parfoit être très long, et c'est à peu près tout. Sinon, je crois que le problème de mise à jour windows est réglé, j'ai réessayé, et maintenant windows ne m'affiche plus de message d erreur pour ça, en revanche, j'ai pas essayé de rerestaurer le systeme. a+ Alex ComboFix 08-05-11.1 - Alexis DESNE 2008-05-20 16:54:24.7 - NTFSx86 MINIMAL Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1006 [GMT 2:00] Endroit: C:\Documents and Settings\Alexis DESNE\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\Alexis DESNE\Bureau\CFscript.txt [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color FILE :: C:\WINDOWS\system32\cbXNeEwV.dll C:\WINDOWS\system32\cbXppmmj.dll C:\WINDOWS\system32\oookajpo.dll C:\WINDOWS\system32 qRJYqqr.dll C:\WINDOWS\system32\vwyxwayw.dll C:\WINDOWS\system32\yayaYoll.dll . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32 qRJYqqr.dll C:\WINDOWS\system32\yayaYoll.dll . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-20 to 2008-05-20 )))))))))))))))))))))))))))))))))))) . 2009-04-22 21:24 . 2004-03-08 23:00 152,848 --a------ C:\WINDOWS\system32\COMDLG32.OCX 2009-04-22 21:24 . 2009-04-22 21:24 256 --a------ C:\WINDOWS\system32\imail40.rtl 2008-05-20 12:16 . 2008-05-20 16:44 d-------- C:\hijackthis 2008-05-18 00:13 . 2008-05-18 00:13 d-------- C:\Program Files\Zone Labs 2008-05-18 00:12 . 2008-05-20 16:39 d-------- C:\WINDOWS\Internet Logs 2008-05-17 22:50 . 2008-05-17 22:50 d-------- C:\Program Files\Firaxis Games 2008-05-17 19:19 . 2008-05-17 19:19 d-------- C:\Program Files\Satsuki Decoder Pack 2008-05-17 12:12 . 2008-05-17 19:16 153 --a------ C:\WINDOWS\wininit.ini 2008-05-17 11:01 . 2008-05-19 11:28 109,816 --a------ C:\WINDOWS\BMb38c7169.xml 2008-05-16 14:35 . 2008-05-18 13:41 d-------- C:\Documents and Settings\Alexis DESNE\Application Data\BitTorrent 2008-05-16 14:34 . 2008-05-16 14:34 d-------- C:\Program Files\DNA 2008-05-16 14:34 . 2008-05-16 14:34 d-------- C:\Program Files\BitTorrent 2008-05-16 14:34 . 2008-05-18 21:42 d-------- C:\Documents and Settings\Alexis DESNE\Application Data\DNA 2008-05-16 12:39 . 2008-05-16 12:39 d-------- C:\Program Files\OpenAL 2008-05-16 12:39 . 2006-12-14 20:47 782,336 -ra------ C:\WINDOWS\system32 mp40.tmp 2008-05-16 12:39 . 2008-05-16 12:39 409,600 --a------ C:\WINDOWS\system32\wrap_oal.dll 2008-05-16 12:39 . 2008-05-16 12:39 114,688 --a------ C:\WINDOWS\system32\OpenAL32.dll 2008-05-16 12:25 . 2008-05-16 12:25 d-------- C:\Program Files\Bohemia Interactive 2008-05-15 23:53 . 2008-05-15 23:53 d-------- C:\Program Files\Spybot - Search & Destroy 2008-05-15 23:53 . 2008-05-16 00:16 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-05-15 23:39 . 2008-05-15 23:39 d-------- C:\Documents and Settings\All Users\Application Data\Last.fm 2008-05-15 08:45 . 2008-05-15 23:39 d-------- C:\Program Files\Last.fm 2008-05-15 08:31 . 2008-05-15 08:34 d-------- C:\Program Files\Magic MP3 Tagger 2008-05-14 12:36 . 2008-05-14 12:40 d-------- C:\Program Files\CDex_150 2008-05-14 12:24 . 2008-05-14 12:24 d-------- C:\Program Files\Winamp 2008-05-14 12:24 . 2008-05-14 12:30 d-------- C:\Documents and Settings\Alexis DESNE\Application Data\Winamp 2008-05-14 08:07 . 2008-05-14 08:07 d-------- C:\Program Files\Trend Micro 2008-05-13 14:40 . 2008-05-14 19:11 d-------- C:\Program Files\Enigma Software Group 2008-05-13 09:45 . 2008-05-13 09:45 172 --a------ C:\curr_ver.tmp 2008-05-12 22:03 . 2008-05-12 22:04 d-------- C:\Program Files\Panda Security 2008-05-12 00:26 . 2008-05-20 13:31 d-------- C:\Program Files\Windows Live Safety Center 2008-05-10 12:40 . 2008-05-10 12:40 d-------- C:\Program Files\CCleaner 2008-05-10 03:29 . 2008-05-10 03:29 0 --a------ C:\23990098.$$$ 2008-05-10 00:47 . 2008-05-10 00:47 d-a------ C:\WINDOWS\zts2.exe 2008-05-10 00:47 . 2008-05-10 00:47 d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2008-05-10 00:47 . 2008-05-10 00:47 d-a------ C:\WINDOWS\system32\iifgfgf.dll 2008-05-10 00:47 . 2008-05-10 00:47 d-a------ C:\WINDOWS undll16.exe 2008-05-10 00:47 . 2008-05-10 00:47 d-a------ C:\WINDOWS undl132.dll 2008-05-10 00:47 . 2008-05-10 00:47 d-a------ C:\WINDOWS\logo1_.exe 2008-05-10 00:44 . 2008-05-10 09:20 50 --a------ C:\WINDOWS\Lic.xxx 2008-05-10 00:43 . 2004-08-20 01:10 153,088 --a------ C:\WINDOWS\R.COM 2008-05-10 00:43 . 2004-08-20 01:10 143,360 --a------ C:\WINDOWS\system32\T.COM 2008-05-09 23:52 . 2008-05-09 23:53 d-------- C:\WINDOWS\ERUNT 2008-05-09 08:20 . 2008-05-10 07:45 d-------- C:\SDFix 2008-05-09 08:11 . 2008-05-09 08:15 d-------- C:\Downloads 2008-05-09 08:11 . 2008-05-09 08:15 d-------- C:\Bases 2008-05-07 19:24 . 2008-05-07 19:24 77,192,042 --a------ C: egistrybackup.reg 2008-05-02 13:17 . 2008-05-02 13:17 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2008-05-02 13:17 . 2008-05-02 13:17 d-------- C:\Documents and Settings\Alexis DESNE\Application Data\Grisoft 2008-05-02 13:17 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-17 21:02 --------- d-----w C:\Documents and Settings\Alexis DESNE\Application Data\My Games 2008-05-17 20:50 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-05-12 13:11 --------- d-----w C:\Program Files\MSI 2008-05-12 13:09 --------- d-----w C:\Program Files\Fichiers communs\Real 2008-05-12 12:58 --------- d-----w C:\Program Files\EHMINSTALL 2008-04-18 19:40 --------- d-----w C:\Documents and Settings\Alexis DESNE\Application Data\dvdcss 2008-04-07 14:54 --------- d-----w C:\Program Files\AGEIA Technologies . ((((((((((((((((((((((((((((( snapshot_2008-05-20_12.46.51.15 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-20 10:37:55 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-20 14:58:28 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-04-29 06:49:06 456,768 ----a-w C:\WINDOWS\Downloaded Program Files\wlscBase.dll + 2008-05-20 14:58:55 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_66c.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{444FC7D1-8F08-4377-B39B-4D75AE0E9F70}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-05-18 21:35 15360] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-08-11 15:43 7630848] "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-04-02 21:07 919016] "MSConfig"="C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.exe" [2004-08-20 01:09 160768] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-05-18 21:35 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\yayaYoll] yayaYoll.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.l3acm"= L3codecp.acm [HKLM\~\startupfolder\C:^Documents and Settings^Alexis DESNE^Menu Démarrer^Programmes^Démarrage^OFFICE One 6.5.lnk] path=C:\Documents and Settings\Alexis DESNE\Menu Démarrer\Programmes\Démarrage\OFFICE One 6.5.lnk backup=C:\WINDOWS\pss\OFFICE One 6.5.lnkStartup [HKLM\~\startupfolder\C:^Documents and Settings^Alexis DESNE^Menu Démarrer^Programmes^Démarrage^UltimateZip Quick Start.lnk] path=C:\Documents and Settings\Alexis DESNE\Menu Démarrer\Programmes\Démarrage\UltimateZip Quick Start.lnk backup=C:\WINDOWS\pss\UltimateZip Quick Start.lnkStartup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage d'Office.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage d'Office.lnk backup=C:\WINDOWS\pss\Démarrage d'Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hp psc 1000 series.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\hp psc 1000 series.lnk backup=C:\WINDOWS\pss\hp psc 1000 series.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hpoddt01.exe.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\hpoddt01.exe.lnk backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^iFinger 2.0.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\iFinger 2.0.lnk backup=C:\WINDOWS\pss\iFinger 2.0.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^OFFICE One Clock v6.5.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\OFFICE One Clock v6.5.lnk backup=C:\WINDOWS\pss\OFFICE One Clock v6.5.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^OFFICE One Notes v6.5.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\OFFICE One Notes v6.5.lnk backup=C:\WINDOWS\pss\OFFICE One Notes v6.5.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^SecureDoc.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\SecureDoc.lnk backup=C:\WINDOWS\pss\SecureDoc.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck] --a------ 2006-11-02 17:57 528384 C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA] --a------ 2008-05-16 14:34 289088 C:\Program Files\DNA\btdna.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BMb38c7169] C:\WINDOWS\system32\vwyxwayw.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BufferZone] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2006-08-11 15:43 86016 C:\WINDOWS\System32\NvMcTray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OoPDFSettingsv6.exe] --a------ 2003-07-03 14:19 433152 C:\Program Files\OFFICE One6.5\OFFICE One PDF Manager\OoPDFSettingsv6.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\oouserv6.exe] --a------ 2003-06-30 07:00 256000 C:\Program Files\OFFICE ONE6.5\program\oouserv6.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCCClient.exe] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\pccguide.exe] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pop3trap.exe] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SW20] -ra------ 2006-09-07 12:13 208896 C:\WINDOWS\system32\sw20.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SW24] -ra------ 2006-09-07 12:14 69632 C:\WINDOWS\system32\sw24.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSys2] -ra------ 2006-10-03 08:37 217088 C:\WINDOWS\system32\winsys2.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\DNA\btdna.exe"= "C:\Program Files\BitTorrent\bittorrent.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "4662:TCP"= 4662:TCP:Emule TCP entrant "4672:UDP"= 4672:UDP:emule udp rentrant R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-17 21:22] R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35] R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2006-12-20 16:00] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eaf08f12-edf3-11db-a8a5-004063c22f0b}] \Shell\Auto\command - sxs.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sxs.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-05-16 09:42:41 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1170931307.job" - C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-20 17:00:08 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\system32 vsvc32.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Temps d'accomplissement: 2008-05-20 17:05:22 - machine was rebooted [Alexis DESNE] ComboFix-quarantined-files.txt 2008-05-20 15:05:19 ComboFix2.txt 2008-05-20 10:47:37 ComboFix3.txt 2008-05-13 08:20:39 ComboFix4.txt 2008-05-07 17:37:42 Pre-Run: 47,123,439,616 octets libres Post-Run: 47,121,039,360 octets libres 218 --- E O F --- 2008-05-16 07:54:41 HIJACKTHIS Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:13, on 2008-05-20 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\system32 vsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\hijackthis\eden.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lemonde.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {444FC7D1-8F08-4377-B39B-4D75AE0E9F70} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\PROGRA~1\iFinger\plugins\IE.ifp O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.msi.com.tw O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O20 - Winlogon Notify: yayaYoll - yayaYoll.dll (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32 vsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

jlpjlp · Answer

Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked". 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: (no name) - {444FC7D1-8F08-4377-B39B-4D75AE0E9F70} - (no file)
O20 - Winlogon Notify: yayaYoll - yayaYoll.dll (file missing)

O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)

____________________________

désactive le tea timer de spybot ! lance SPYOBT puis vas dans MODE mode AVANCE puis OUTIL puis RESIDENT

_________________________



scan avec 
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 

____________________________



 colle le rapport d'un scan en ligne 
avec un des suivants: 


bitdefender en ligne : 
http://www.bitdefender.fr/scan_fr/scan8/ie.html 

Panda en ligne : 
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

alex · Answer

Ok, voici le rapport de malwarebyte's atimalware, et panda en ligne n'a rien trouvé

alex

Malwarebytes' Anti-Malware 1.12
Version de la base de données: 770

Type de recherche: Examen complet (C:\|)
Eléments examinés: 81356
Temps écoulé: 23 minute(s), 54 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

jlpjlp · Answer

nettoie ton pc avec cleaner

https://www.malekal.com/tutoriel-ccleaner/

___________
repare windows comme ceci

https://www.pcastuces.com/pratique/windows/xp/default.htm

_________
puis dis moi si encore des soucis

alex · Answer

salut

ok, j n'ai pas pu faire la manip de réparation parceque je ne retrouve pas le cd d'installation, sinon le message dont j avais parlé sur IE est revenu.
A par ça nikel, le net a retrouvé sa vitesse normale, le PC tourne bien, plus de bug, j'ai meme réinstallé et joué à des jeux que j avais abandonné parceque je pensais que c'était la CG qui foirait. Sinon, les 2 poblemes pour lesquels je consultais, à savoir la restauration systeme et la mise à jour automatique de windows son réparés.
Donc à priori tout va pour le mieux ou presque

merci bien

a+

Alex

jlpjlp · Answer

rappelle moi le message svp et recolle un hijackthis

alex · Answer

Salut jlpjlp

Quand je lance IE (je m'en sers jamais, si ce n'est pour aller voir mes lails à partir d'MSN) j'ai droit au message suivant: la connexion que vous allez utilisée n'est pas sécurisée, d'autres utilisateurs du web pourront dorénavant accéder aux informations que vous envoyez. voulez-vous continuer?"

Et voici le hijackthis

A+

Alex

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:21, on 2008-05-22
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\hijackthis\eden.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lemonde.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\PROGRA~1\iFinger\plugins\IE.ifp
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--

jlpjlp · Answer

Quand je lance IE (je m'en sers jamais, si ce n'est pour aller voir mes lails à partir d'MSN) j'ai droit au message suivant: la connexion que vous allez utilisée n'est pas sécurisée, d'autres utilisateurs du web pourront dorénavant accéder aux informations que vous envoyez. voulez-vous continuer?"

c'est normal , c'est pour dire que tu passe dans une partie sécurisée! (il me semble que tu peux accepter pour toujours pour ne plus avoir la demande)


___________

pur virer ce que je t'ai fais utiliser:


Télécharge ToolsCleaner sur ton bureau. 
--> https://www.commentcamarche.net/telecharger/ 34055291 toolsclean(...) 
# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 

ps : pas besoin de m´envoyer le rapport si tout a ete supprimer ;-) 
____________

c'est bon pour toi

sauf un detail tu as encore adobe acrobat: vire le via ton panneau de configuration (ajout/suppression de programme)

puis

mets la derniere version ici:
https://get2.adobe.com/reader/otherversions/


______________
















pour protéger gratos ton ordi

http://www.commentcamarche.net/telecharger/logiciel 4 securite

mettre un antivirus

AVAST en français   ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions :
MalwareByte's Anti-Malware + SPYBOT +/-    si tea timer non active de spybot et ordi puissant: 
 WINDOWS    DEFENDER ou  SPYWARE TERMINATOR

+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation  : il suffit de faire "update" pour mettre à jour tous les mois  et ensuite" enable all protection" pour immuniser)...

Rq : spybot et ad-aware ont sorti de nouvelles versions cette année vérifiez que vous avez la dernière version 
--------
un pare feu :
celui de (Windows) ou mieux Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) 

http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

 https://forum.pcastuces.com/sujet.asp?f=25&s=35606 
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

-----------
CCLEANER pour effacer les traces de surf
---------
naviguer avec firefox ou safari ou opera et non internet explorer plus  touché par les virus
http://www.mozilla-europe.org/fr/products/firefox/

alex · Answer

bonjour, 
j passais juste pour vous informer que j ai encore de temps en temps le message suivant qui s'affiche:

"Rundll32.exe composant introuvable.
Cette application n'a pu démarrer car MADCHOOK est introuvable, la réinstallation peut corriger ce problème." j précise que ça ne m'empêche pas de faire quoi que ce soit , c'est juste que le message apparait de temps en temps.

Problème nettement plus gênant: il est de plus en plus difficile d'allumer mon PC depuis quelques jours, lors du bios, 8 fois sur 10, l'ordi se bloque sur "detecting IDE drives", d'après ce que j'ai lu sur le net, c'est dût à un problème matériel, mais ça peut avoir différentes origines, vous me conseillez quoi? En attendant, j le met systématiquement en veille plutôt que l 'éteindre.


a+

Alexis

jlpjlp · Answer

analyse ce ficheir sur virus total et colle le rapport:  https://www.virustotal.com/gui/

C:\WINDOWS\system32\madCHook.dll

______________

repare windows:
https://www.pcastuces.com/pratique/windows/xp/default.htm
_______________

remplace avast par antivir et colle un rapport:

https://www.malekal.com/avira-free-security-antivirus-gratuit/

__________________


pour ceci effectivement je penche sur un souci materiel renseigne toi dans la partie materiel du site

Problème nettement plus gênant: il est de plus en plus difficile d'allumer mon PC depuis quelques jours, lors du bios, 8 fois sur 10, l'ordi se bloque sur "detecting IDE drives", d'après ce que j'ai lu sur le net, c'est dût à un problème matériel, mais ça peut avoir différentes origines, vous me conseillez quoi? En attendant, j le met systématiquement en veille plutôt que l 'éteindre.

Invasion Trojan-PSW.Win32.OnLineGames

105 réponses

Discussions similaires