Spyware fond d'écranRésolu/Fermé

Question

Bonjour,

Depuis quelques jours je me retrouve avec un fond d'écran bleu avec des inscriptions warning spyware theard have been detected in your pc. 
De plus j'ai plusieurs message qui apparaisse dans la barre des icones avec un symbole d'attention jaune avec les textes suivant: 
Your computer is working slowly. 
your computer is not proteced. 
internet attack attempt detected. 

Et je reçois aussi plein de pub me disant que mon pc est infecté par tel et tel virus. 

Mon pc rame à mort.

Je m'en sort plus je sais pas quoi faire. 

Aidez moi par pitié

sniper94 · Answer

Salut,

    * Faire un clic droit sur ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
    * Enregistrez la cible (du lien) sous... et enregistrez-le sur le bureau.
    * Faire un clic droit sur navilog1.zip et choisir "tout extraire"
    * Double-cliquez sur navilog1.exe
    * Arriver au menu principal, choisir l'option 1 et valider.
    * Patientez jusqu'au message : Analyse Termine le ...
    * Le rapport sera en outre sauvegardé à la racine du disque (fixnavi.txt)

Coller le rapport.

g!rly · Answer

Salut, 

c´est pas le bon fix sniper...

tomyrider,

télécharges smitfraudfix de S!Ri, balltrap34 et moe31 

En image :
http://siri.urz.free.fr/Fix/SmitfraudFix.php

tu doubles cliques sur smitfraudfix.cmd et tu choisi l option 1
cela vas générer un rapport.

Copie/colle le rapport sur le forum stp.

@+

sniper94 · Answer

Mdr,

J'ai tout confondu avec tout les problèmes similaires, la preuve que je me suis trompé la voila : 

http://www.commentcamarche.net/forum/affich 6589791 probleme de virus#0

Car la j'ai traité le meme problème (et j'ai utilisé smitfraudfix).

Désolé.

Ps : Si ton antivirus détecte un virus dans smitfraudfix autorise le car ce n'est pas un virus.

sniper94 · Answer

Il ne faudrai pas supprimer tout ceux present dans c:\windows avec MoveIT ?

tomyrider · Answer

SmitFraudFix v2.323

Rapport fait à 21:27:15,60, 27/05/2008
Executé à partir de C:\Documents and Settings\Cyril\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\vbpdtvdp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\Access
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Documents and Settings\All Users\Application Data\yjkxalar\uhirgpmz.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\WINDOWS\Dragdiag.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe
C:\WINDOWS\system32\urkxytyr.exe
C:\Documents and Settings\Cyril\Application Data\Microsoft\dtsc\31639.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Cyril\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\accesss.exe PRESENT !
C:\WINDOWS\astctl32.ocx PRESENT !
C:\WINDOWS\avpcc.dll PRESENT !
C:\WINDOWS\clrssn.exe PRESENT !
C:\WINDOWS\cpan.dll PRESENT !
C:\WINDOWS\default.htm PRESENT !
C:\WINDOWS\iexplorer.exe PRESENT !
C:\WINDOWS\loader.exe PRESENT !
C:\WINDOWS\mtwirl32.dll PRESENT !
C:\WINDOWS
otepad32.exe PRESENT !
C:\WINDOWS\olehelp.exe PRESENT !
C:\WINDOWS\systeem.exe PRESENT !
C:\WINDOWS\systemcritical.exe PRESENT !
C:\WINDOWS	ime.exe PRESENT !
C:\WINDOWS\users32.exe PRESENT !
C:\WINDOWS\waol.exe PRESENT !
C:\WINDOWS\win32e.exe PRESENT !
C:\WINDOWS\win64.exe PRESENT !
C:\WINDOWS\winajbm.dll PRESENT !
C:\WINDOWS\window.exe PRESENT !
C:\WINDOWS\winmgnt.exe PRESENT !
C:\WINDOWS\x.exe PRESENT !
C:\WINDOWS\xplugin.dll PRESENT !
C:\WINDOWS\xxxvideo.hta PRESENT !
C:\WINDOWS\y.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Cyril


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Cyril\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Cyril\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\vbpdtvdp.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 86.64.145.148
DNS Server Search Order: 84.103.237.148

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C3498307-38D7-4350-AEB5-1F053E0C7B46}: NameServer=86.64.145.148 84.103.237.148
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C3498307-38D7-4350-AEB5-1F053E0C7B46}: NameServer=86.64.145.148 84.103.237.148


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

sniper94 · Answer

1/# Télécharge OTMoveIt2.exe (de Old_Timer) sur ton Bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous ( en gras )
et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move (sous la barre bleu clair) .

C:\WINDOWS\accesss.exe 
C:\WINDOWS\astctl32.ocx 
C:\WINDOWS\avpcc.dll 
C:\WINDOWS\clrssn.exe 
C:\WINDOWS\cpan.dll 
C:\WINDOWS\default.htm 
C:\WINDOWS\iexplorer.exe 
C:\WINDOWS\loader.exe 
C:\WINDOWS\mtwirl32.dll 
C:\WINDOWS
otepad32.exe 
C:\WINDOWS\olehelp.exe 
C:\WINDOWS\systeem.exe 
C:\WINDOWS\systemcritical.exe 
C:\WINDOWS	ime.exe 
C:\WINDOWS\users32.exe 
C:\WINDOWS\waol.exe 
C:\WINDOWS\win32e.exe 
C:\WINDOWS\win64.exe
C:\WINDOWS\winajbm.dll 
C:\WINDOWS\window.exe 
C:\WINDOWS\winmgnt.exe 
C:\WINDOWS\x.exe 
C:\WINDOWS\xplugin.dll 
C:\WINDOWS\xxxvideo.hta 
C:\WINDOWS\y.exe  

clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

g!rly · Answer

Le mieux c´est de passer smitfraudfix option 2

Redémarre le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou F5 ) dès le démarrage et tu choisis le mode sans échec)

- Ouvre le dossier "SmitfraudFix" et double clique sur "Smitfraudfix.cmd", choisit l 'option 2 et tu réponds oui à tout.

Enregistre le rapport puis Copie/colle le rapport sur le forum stp.

@+

sniper94 · Answer

Ouai.

Relance la meme application sauf qu'au menu (de smitfraudfix) choisi l'option 2.


Pour MoveIT il ne fallait pas coller les "présent" mdr.

g!rly · Answer

sniper
oui mais il ne va pas tout supprimer forcement parfois il demande un reboot et n´y arrive meme pas;  et puis quand tu fais un copié collé evite "PRESENT !"
smitfraud supprime tout en mode sans echec, donc pas de doute, les fichiers vont bien etre supprimés...

sniper94 · Answer

Loooool qui ca evite PRESENT ! moi ?

g!rly · Answer

bah oui, lol
File/Folder C:\WINDOWS\accesss.exe PRESENT ! not found.

sniper94 · Answer

Oui mais j'ai modifier le message de suite. C'est parce que j'ai besoin de sommeil ^^ d'ailleurs je vais regarder le match puis dodo ^^ Bonne soirée.

g!rly · Answer

ok ;-) tomyrider :

Télécharge HijackThis ici : 

-> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/Hijenr.gif 

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Post le rapport généré ici stp...

ps : bonne nuit sniper ;)

g!rly · Answer

y a encore des infections...

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe     

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Post egalement un nouveau rapport hijack this stp

@+

g!rly · Answer

ok

la suite :

Copie le texte ci-dessous :

File::
C:\WINDOWS\ctrlpan.dll
C:\WINDOWS\sistem.exe
C:\WINDOWS\system32	mp.reg
C:\WINDOWS\system32\VCCLSID.exe
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32\VACFix.exe
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\404Fix.exe
C:\WINDOWS\system32\Process.exe
C:\WINDOWS\system32\dumphive.exe
C:\WINDOWS\system32\WS2Fix.exe
C:\WINDOWS\internet.exe
C:\WINDOWS\mssys.exe
C:\WINDOWS\iedll.exe
C:\WINDOWSundll16.exe
C:\WINDOWS\quicken.exe
C:\WINDOWS\editpad.exe
C:\WINDOWS\svchost32.exe
C:\WINDOWS\msupdate.exe
C:\WINDOWS\msconfd.dll
C:\WINDOWS\system32	uVpPGaY.dll
C:\WINDOWS\system32\urkxytyr.exe
C:\WINDOWS\system32\vbpdtvdp.exe
C:\WINDOWS\system32\hljwugsf.bin
C:\WINDOWS\system32\swcvasgyf.exe
C:\WINDOWS\y.exe
C:\WINDOWS\x.exe
C:\WINDOWS\iexplorer.exe
C:\WINDOWS\explore.exe
C:\WINDOWS\system32\iifgGvsQ.dll
C:\Documents and Settings\All Users\Application Data\yjkxalar\uhirgpmz.exe

Folder::
C:\Documents and Settings\All Users\Application Data\yjkxalar
C:\Documents and Settings\Cyril\Application Data\Microsoft\dtsc
C:\WINDOWS\system32\xnA
C:\WINDOWS\system32\vntiho06
C:\WINDOWS\system32\3056v
C:\Temp\vtmp2

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorerun]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}"=-
"QcrElMec1d"=-
"Microsoft Windows Installer"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\iifgGvsQ]

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

@+

tomyrider · Answer

Ca à l'air d'être rentré dans l'ordre.

Je te remercie mille fois G!rly de ton aide très précieuse.

g!rly · Answer

moi je suis sur que pas regarde le post i dessus mais n´en tiens pas compte je dois le corriger, je le reposte ci dessous

g!rly · Answer

ok c´est bon je viens de corriger, j´avais mal copié/collé l´emplacement des clés de registre, maintenant c´est ok ;)

la suite :

Copie le texte ci-dessous :

File::
C:\WINDOWS\ctrlpan.dll
C:\WINDOWS\sistem.exe
C:\WINDOWS\system32	mp.reg
C:\WINDOWS\system32\VCCLSID.exe
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32\VACFix.exe
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\404Fix.exe
C:\WINDOWS\system32\Process.exe
C:\WINDOWS\system32\dumphive.exe
C:\WINDOWS\system32\WS2Fix.exe
C:\WINDOWS\internet.exe
C:\WINDOWS\mssys.exe
C:\WINDOWS\iedll.exe
C:\WINDOWSundll16.exe
C:\WINDOWS\quicken.exe
C:\WINDOWS\editpad.exe
C:\WINDOWS\svchost32.exe
C:\WINDOWS\msupdate.exe
C:\WINDOWS\msconfd.dll
C:\WINDOWS\system32	uVpPGaY.dll
C:\WINDOWS\system32\urkxytyr.exe
C:\WINDOWS\system32\vbpdtvdp.exe
C:\WINDOWS\system32\hljwugsf.bin
C:\WINDOWS\system32\swcvasgyf.exe
C:\WINDOWS\y.exe
C:\WINDOWS\x.exe
C:\WINDOWS\iexplorer.exe
C:\WINDOWS\explore.exe
C:\WINDOWS\system32\iifgGvsQ.dll
C:\Documents and Settings\All Users\Application Data\yjkxalar\uhirgpmz.exe

Folder::
C:\Documents and Settings\All Users\Application Data\yjkxalar
C:\Documents and Settings\Cyril\Application Data\Microsoft\dtsc
C:\WINDOWS\system32\xnA
C:\WINDOWS\system32\vntiho06
C:\WINDOWS\system32\3056v
C:\Temp\vtmp2

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Windows Installer"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorerun]
"QcrElMec1d"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\iifgGvsQ]

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

@+

tomyrider · Answer

ComboFix 08-05-26.2 - Cyril 2008-05-27 23:07:29.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.232 [GMT 2:00] Endroit: C:\Documents and Settings\Cyril\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\Cyril\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: C:\Documents and Settings\All Users\Application Data\yjkxalar\uhirgpmz.exe C:\WINDOWS\ctrlpan.dll C:\WINDOWS\editpad.exe C:\WINDOWS\explore.exe C:\WINDOWS\iedll.exe C:\WINDOWS\iexplorer.exe C:\WINDOWS\internet.exe C:\WINDOWS\msconfd.dll C:\WINDOWS\mssys.exe C:\WINDOWS\msupdate.exe C:\WINDOWS\quicken.exe C:\WINDOWS undll16.exe C:\WINDOWS\sistem.exe C:\WINDOWS\svchost32.exe C:\WINDOWS\system32\404Fix.exe C:\WINDOWS\system32\dumphive.exe C:\WINDOWS\system32\hljwugsf.bin C:\WINDOWS\system32\IEDFix.exe C:\WINDOWS\system32\iifgGvsQ.dll C:\WINDOWS\system32\Process.exe C:\WINDOWS\system32\SrchSTS.exe C:\WINDOWS\system32\swcvasgyf.exe C:\WINDOWS\system32 mp.reg C:\WINDOWS\system32 uVpPGaY.dll C:\WINDOWS\system32\urkxytyr.exe C:\WINDOWS\system32\VACFix.exe C:\WINDOWS\system32\vbpdtvdp.exe C:\WINDOWS\system32\VCCLSID.exe C:\WINDOWS\system32\WS2Fix.exe C:\WINDOWS\x.exe C:\WINDOWS\y.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\All Users\Application Data\yjkxalar C:\Documents and Settings\All Users\Application Data\yjkxalar\uhirgpmz.exe C:\Documents and Settings\Cyril\Application Data\Microsoft\dtsc C:\Documents and Settings\Cyril\Application Data\Microsoft\dtsc\31639.exe C:\Documents and Settings\Cyril\Application Data\Microsoft\dtsc\id C:\Temp\vtmp2 C:\Temp\vtmp2\ktnv33.log C:\WINDOWS\ctrlpan.dll C:\WINDOWS\editpad.exe C:\WINDOWS\iedll.exe C:\WINDOWS\internet.exe C:\WINDOWS\msconfd.dll C:\WINDOWS\mssys.exe C:\WINDOWS\msupdate.exe C:\WINDOWS\quicken.exe C:\WINDOWS undll16.exe C:\WINDOWS\sistem.exe C:\WINDOWS\svchost32.exe C:\WINDOWS\system32\3056v C:\WINDOWS\system32\404Fix.exe C:\WINDOWS\system32\dumphive.exe C:\WINDOWS\system32\hljwugsf.bin C:\WINDOWS\system32\IEDFix.exe C:\WINDOWS\system32\iifgGvsQ.dll C:\WINDOWS\system32\ljJDVnlI.dll C:\WINDOWS\system32\Process.exe C:\WINDOWS\system32\SrchSTS.exe C:\WINDOWS\system32\swcvasgyf.exe C:\WINDOWS\system32 mp.reg C:\WINDOWS\system32 uVpPGaY.dll C:\WINDOWS\system32\urkxytyr.exe C:\WINDOWS\system32\VACFix.exe C:\WINDOWS\system32\vbpdtvdp.exe C:\WINDOWS\system32\VCCLSID.exe C:\WINDOWS\system32\vntiho06 C:\WINDOWS\system32\WS2Fix.exe C:\WINDOWS\system32\xnA . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-27 to 2008-05-27 )))))))))))))))))))))))))))))))))))) . 2008-05-27 22:52 . 2008-05-27 22:52 d-------- C:\Documents and Settings\All Users\Application Data\CfgDb 2008-05-27 22:52 . 2008-05-27 22:52 d-------- C:\Documents and Settings\All Users\Application Data\AplInfoEn 2008-05-27 22:52 . 2008-05-27 22:52 122,880 --a------ C:\WINDOWS\system32\ynulmjab.exe 2008-05-27 22:45 . 2008-05-27 22:45 d-------- C:\Program Files\seba14mods 2008-05-27 22:02 . 2008-05-27 22:02 d-------- C:\Program Files\Trend Micro 2008-05-27 21:35 . 2008-05-27 21:35 d-------- C:\_OTMoveIt 2008-05-26 19:25 . 2008-05-26 22:23 d-------- C:\Program Files\Spyware Doctor 2008-05-26 19:25 . 2008-05-26 19:25 d-------- C:\Documents and Settings\Cyril\Application Data\PC Tools 2008-05-26 19:25 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-05-26 19:25 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-05-26 19:25 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-05-26 19:25 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-05-26 07:02 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2008-05-26 02:30 . 2008-05-26 02:30 d-------- C:\Documents and Settings\All Users\Application Data\MntStrInfo 2008-05-26 02:30 . 2008-05-26 02:30 d-------- C:\Documents and Settings\All Users\Application Data\aplhlp 2008-05-25 19:57 . 2008-05-25 19:57 dr------- C:\Documents and Settings\LocalService\Favoris 2008-05-25 19:56 . 2008-05-27 23:08 d-------- C:\Temp 2008-05-25 19:55 . 2008-05-25 19:55 d-------- C:\Program Files\uTorrent 2008-05-25 19:55 . 2008-05-25 19:55 25,857 --a------ C:\WINDOWS\Access 2008-05-12 16:19 . 2008-05-13 04:07 d-------- C:\Documents and Settings\All Users\Application Data\Codemasters 2008-05-12 16:18 . 2008-05-12 16:18 d-------- C:\Program Files\OpenAL 2008-05-01 12:33 . 2008-05-01 12:33 d-------- C:\WINDOWS\system32\RNBOSENT 2008-05-01 12:33 . 2000-10-24 04:39 73,216 --a------ C:\WINDOWS\system32\drivers\SENTINEL.SYS 2008-05-01 12:33 . 2000-10-24 04:39 49,152 --a------ C:\WINDOWS\system32\SNTI386.DLL 2008-05-01 12:33 . 2000-10-24 04:39 17,920 --a------ C:\WINDOWS\system32\RNBOVDD.DLL 2008-05-01 12:33 . 2000-10-24 04:39 9,949 --------- C:\WINDOWS\system32\SENTINEL.HLP 2008-05-01 12:31 . 2008-05-01 12:31 36 --a------ C:\WINDOWS\PMLoc2.ini 2008-05-01 12:27 . 2000-11-07 17:36 1,044,480 --a------ C:\WINDOWS\system\ROBOEX32.DLL 2008-05-01 12:25 . 2008-05-01 12:25 36 --a------ C:\WINDOWS\PFloc.ini 2008-05-01 09:35 . 2008-05-01 09:35 d-------- C:\Program Files\Windows Defender . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-27 21:15 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP 2008-05-27 21:13 --------- d-----w C:\Documents and Settings\Cyril\Application Data\uTorrent 2008-05-27 20:54 --------- d-----w C:\Documents and Settings\Cyril\Application Data\Azureus 2008-05-27 19:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater 2008-05-27 05:17 --------- d-----w C:\Program Files\eMule 2008-05-13 02:08 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-04-24 17:13 --------- d-----w C:\Program Files\Ubisoft 2008-04-22 17:25 --------- d-----w C:\Program Files\Microprose 2008-04-21 05:04 --------- d-----w C:\Program Files\Azureus 2008-04-20 19:16 --------- d-----w C:\Program Files\Fichiers communs\xing shared 2008-04-20 19:15 --------- d-----w C:\Program Files\Fichiers communs\Real 2008-04-13 09:54 --------- d-----w C:\Program Files\BT Engine 2008-04-13 09:05 --------- d-----w C:\Program Files\PhotoFiltre Studio 2008-04-13 05:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\SlySoft 2008-04-12 16:52 --------- d-----w C:\Program Files\SlySoft 2008-04-12 07:43 --------- d-----w C:\Program Files\Electronic Arts 2008-04-11 17:34 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-04-01 01:06 --------- d-----w C:\Program Files\Java 2008-03-29 11:44 --------- d-----w C:\Program Files\Bit Che 2008-03-29 11:44 --------- d-----w C:\Documents and Settings\Cyril\Application Data\Convivea 2007-04-06 19:00 1,315 -c--a-w C:\Documents and Settings\Cyril\Application Data\SAS7_000.DAT 2007-03-29 20:54 92,064 -c--a-w C:\Documents and Settings\Cyril\mqdmmdm.sys 2007-03-29 20:54 9,232 -c--a-w C:\Documents and Settings\Cyril\mqdmmdfl.sys 2007-03-29 20:54 79,328 -c--a-w C:\Documents and Settings\Cyril\mqdmserd.sys 2007-03-29 20:54 66,656 -c--a-w C:\Documents and Settings\Cyril\mqdmbus.sys 2007-03-29 20:54 6,208 -c--a-w C:\Documents and Settings\Cyril\mqdmcmnt.sys 2007-03-29 20:54 5,936 -c--a-w C:\Documents and Settings\Cyril\mqdmwhnt.sys 2007-03-29 20:54 4,048 -c--a-w C:\Documents and Settings\Cyril\mqdmcr.sys 2007-03-29 20:54 25,600 -c--a-w C:\Documents and Settings\Cyril\usbsermptxp.sys 2007-03-29 20:54 22,768 -c--a-w C:\Documents and Settings\Cyril\usbsermpt.sys 2007-07-22 06:46 12,208 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( snapshot@2008-05-27_22.23.53.40 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-27 19:51:20 61,188 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-05-27 21:08:29 61,188 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-05-27 19:51:20 72,340 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2008-05-27 21:08:30 72,340 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2008-05-27 19:51:20 399,658 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-05-27 21:08:29 399,658 ----a-w C:\WINDOWS\system32\perfh009.dat - 2008-05-27 19:51:20 464,814 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-05-27 21:08:30 464,814 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-05-27 21:17:17 49,152 ----a-w C:\WINDOWS emp\CompiledAdapter.dll + 2008-05-27 21:15:19 16,384 ----atw C:\WINDOWS emp\Perflib_Perfdata_260.dat + 2008-05-27 21:15:10 16,384 ----atw C:\WINDOWS emp\Perflib_Perfdata_4a0.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="C:\PROGRA~1\WI1F86~1\MESSEN~1\msnmsgr.exe" [2007-10-18 12:34 5724184] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 22:00 15360] "H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-24 15:20 401491] "TomTomHOME.exe"="C:\Program Files\TomTom HOME 2\HOMERunner.exe" [2008-05-06 10:42 202088] "AnyDVD"="C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-03-07 12:26 1694656] "vadussov"="C:\WINDOWS\system32\urkxytyr.exe" [ ] "pecwwkbf"="C:\WINDOWS\system32\ynulmjab.exe" [2008-05-27 22:52 122880] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 15:01 67584] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776] "nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32 wiz.exe] "ntiMUI"="c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7 tiMUI.exe" [2005-05-11 17:15 45056] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-10 22:00 208952] "IMEKRMIG6.1"="C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-10 22:00 44032] "MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 22:00 59392] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-10 22:00 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-10 22:00 455168] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "Acer Empowering Technology Monitor"="C:\WINDOWS\system32\SysMonitor.exe" [2006-04-18 20:54 49152] "eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 16:00 345088] "eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 15:40 413696] "SpeedTouch USB Diagnostics"="C:\WINDOWS\Dragdiag.exe" [2002-06-06 12:15 861184] "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-11 01:26 406016] "ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2006-05-16 11:58 213936] "ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2006-05-16 11:58 86960] "SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 17:00 155648] "PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 19:17 57393] "IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 19:30 40960] "BrMfcWnd"="C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe" [2006-03-28 15:48 622592] "SetDefPrt"="C:\Program Files\Brother\Brmfl06a\BrStDvPt.exe" [2005-01-26 18:02 49152] "ControlCenter3"="C:\Program Files\Brother\ControlCenter3\brctrcen.exe" [2006-04-10 14:58 61440] "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 16:57 133016] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920] "RTHDCPL"="RTHDCPL.EXE" [2008-01-29 16:47 16859648 C:\WINDOWS\RTHDCPL.exe] "Creative WebCam Tray"="C:\Program Files\Creative\WebCam Control\CAMTRAY.EXE" [1999-04-27 03:00 18944] "ISUSPM"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" [2006-05-16 11:58 213936] "CloneCDTray"="C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 21:21 57344] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2008-04-20 21:15 185896] "ISTray"="C:\Program Files\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 22:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.MJPG"= Pvmjpg30.dll "vidc.ffds"= C:\PROGRA~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll "MSACM.CEGSM"= mobilev.acm "SENTINEL"= snti386.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Azureus\Azureus.exe"= "C:\Program Files\Pinnacle\Studio 10\programs\RM.exe"= "C:\Program Files\Pinnacle\Studio 10\programs\Studio.exe"= "C:\Program Files\Pinnacle\Studio 10\programs\PMSRegisterFile.exe"= "C:\Program Files\Pinnacle\Studio 10\programs\umi.exe"= "C:\Program Files\eMule\emule.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Real\RealPlayer\realplay.exe"= "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= "C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\uTorrent\uTorrent.exe"= "C:\Program Files\VideoLAN\VLC\vlc.exe"= R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16] R3 HCWBT8XX;Hauppauge WinTV 848/9 WDM Video Driver;C:\WINDOWS\system32\drivers\HCWBT8XX.sys [2006-01-25 23:14] R3 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 15:46] R3 psdfilter;psdfilter;C:\WINDOWS\system32\Drivers\psdfilter.sys [2006-04-07 21:17] R3 psdvdisk;psdvdisk;C:\WINDOWS\system32\Drivers\psdvdisk.sys [2006-03-08 18:10] S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\DRIVERS\BrScnUsb.sys [2004-10-15 12:50] S3 P101bVID;Creative WebCam;C:\WINDOWS\system32\DRIVERS\P101bVid.sys [2002-04-28 14:00] S3 P2PFire;P2PFire;C:\DOCUME~1\Cyril\LOCALS~1\Temp\Rar$EX00.750\P2P Hazard 2 [Com listas P2P Actualizadas - Dezembro 2007]\P2PFire.sys [] S3 ProtoWall;ProtoWall Network Service;C:\WINDOWS\system32\DRIVERS\ProtoWall.sys [] S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-10-28 11:38] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-05-27 21:18:18 C:\WINDOWS\Tasks\MP Scheduled Scan.job" - C:\Program Files\Windows Defender\MpCmdRun.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-27 23:15:33 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** "ImagePath"="\??\C:\DOCUME~1\Cyril\LOCALS~1\Temp\Rar$EX00.750\P2P Hazard 2 [Com listas P2P Actualizadas - Dezembro 2007]\P2PFire.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\P2PFire] "ImagePath"="\??\C:\DOCUME~1\Cyril\LOCALS~1\Temp\Rar$EX00.750\P2P Hazard 2 . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Windows Defender\MsMpEng.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Acer\Empowering Technology\ePerformance\MemCheck.exe C:\WINDOWS\ehome\ehrecvr.exe C:\WINDOWS\ehome\ehSched.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\WINDOWS\system32 vsvc32.exe C:\Program Files\Spyware Doctor\pctsAuxs.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\ehome\mcrdsvc.exe C:\Program Files\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe C:\WINDOWS\system32 undll32.exe C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe C:\Program Files\Google\Google Updater\GoogleUpdater.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\dllhost.exe C:\Program Files\Spyware Doctor\pctsSvc.exe C:\WINDOWS\ehome\ehmsas.exe . ************************************************************************** . Temps d'accomplissement: 2008-05-27 23:21:06 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-27 21:21:00 ComboFix2.txt 2008-05-27 20:24:32 Pre-Run: 46,770,253,824 octets libres Post-Run: 46,763,950,080 octets libres 295 --- E O F --- 2008-05-23 04:05:24

g!rly · Answer

re,

* Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

n´y touche pas 

redemarre en mode sans echec:

Comment redémarrer en mode sans echec? 

   Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
   Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
   capture d´ecran : http://www.coupdepoucepc.com/images_cdppc4/fichespratiques/windowsxp/modese/modese2.jpg
   Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
   Ps : si F8 ne marche pas utilise la touche F5.

Note : en mode sans echec tu n´auras plus acces au net alors imprime ou copie les instructions ci dessous dans un fichier texte que tu pourras consulter a souhait
une fois en mode sans echec.


Fix.reg

Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(x)) :

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"vadussov"=-
"pecwwkbf"=-

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Note : Regedit4 est sur la premiere ligne dans le bloc note et il y a une ligne blanche a la fin. 
Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

ca doit ressembler a ca une fois enrregistré :

http://img520.imageshack.us/img520/4251/screenshot005ps2.png

double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

C:\WINDOWS\system32\urkxytyr.exe
C:\WINDOWS\system32\ynulmjab.exe

* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

Redemarre normalement et post le rapport de ot_move it ici stp ainsi qu´un nouveau rapport hijack this.

puis passe ceci :

Fais un scan avec cet antispyware :

Telecharge malwarebytes + tutoriel :

-> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examun complet".

Puis click sur "rechercher".

Laisse le scanner le pc... 

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.

@´+

tomyrider · Answer

File/Folder C:\WINDOWS\system32\urkxytyr.exe not found.
C:\WINDOWS\system32\ynulmjab.exe moved successfully.
 
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 05272008_234929

tomyrider · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:53:38, on 27/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\WINDOWS\Dragdiag.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Creative\WebCam Control\CAMTRAY.EXE
C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://neufportail.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 1
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\WINDOWS\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\WebCam Control\CAMTRAY.EXE
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\WI1F86~1\MESSEN~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Liens de téléchargement avec Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

g!rly · Answer

ok

passe malwarebytes et post son rapport

je repasserais demain

bon courrage`> c´est long...

@+

g!rly · Answer

merci`
sweet dreams`

tomyrider · Answer

Malwarebytes' Anti-Malware 1.12
Version de la base de données: 793

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 118724
Temps écoulé: 27 minute(s), 32 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\QooBox\Quarantine\C\Documents and Settings\All Users\Application Data\yjkxalar\uhirgpmz.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\ljJDVnlI.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\urkxytyr.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP142\A0040872.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP142\A0040894.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP142\A0040901.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\KCMDNIns.exe (Trojan.Inject) -> Quarantined and deleted successfully.
C:\_OTMoveIt\MovedFiles\05272008_234929\WINDOWS\system32\ynulmjab.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

g!rly · Answer

Salut tomyrider.

ok ;-)

post un nouveau rapport hijack this et precise comment va ton pc

@+

g!rly · Answer

ok tomy

pour s´assurer que tout est ok :

regarde ceci concernant avast :

antivir vs avast :

-> http://forum.malekal.com/ftopic3528.php

alors je te conseille de le desinstaller et d´installer antivir a la place

Telecharge et instales l'antivirus Antivir Personal Edition Classic :

->https://www.malekal.com/avira-free-security-antivirus-gratuit/

https://www.avira.com/en/prime

http://mickael.barroux.free.fr/securite/antivir.php 
http://speedweb1.free.fr/frames2.php?page=tuto5
<- tutoriel configuration du scanner...

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes : 
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

Je te dis tous ca car j´aimerais que tu performes un scan entier de ta machine a l´aide d´antivir avec les reglages stipulés ci dessus et que tu post le rapport généré ici stp

si jamais pour une raison ou une autre tu ne voulais pas remplacer avast par antivir ( ce qui serait bete ) performes un scan en ligne ici :

Scan en ligne bitdefender :

https://www.bitdefender.com/toolbox/

Clicker sur " I agree " et suivre les indications 

A faire imperativement sous internet explorer, en acceptant l´activ x

tutoriel en image en image

http://pageperso.aol.fr/rginformatique/mapage/defender.htm

ou

Fais un scan en ligne Kaspersky avec Internet Explorer :
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
-> Click sur Démarrer Online-Scanner
-> Click maintenant sur J'accepte.
-> Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
-> Patiente pendant l'installation des Mises à jour.
-> Choisis par la suite l'analyse du Poste de travail.
-> Sauvegarde puis colle le rapport généré en fin d'analyse.

le truc c´est qu´en fesant antivir tu peux le faire en mode sans echec > donc plus performant; de plus tu te separes a tout jamais d´avast qui est une m````.

donc si tu fais antivir fais le en mode sans echec et post le rapport généré

puis apres il faudra installer des meilleures protections sur ton pc, car la c´est vraiment pas ca !

puis y a des mises a jour a faire egalement...

@+

g!rly · Answer

re,

ca aurait ete mieux en mode sans echec

post un dernier rapport hijack this stp

@+

g!rly · Answer

ok

coche et fix :

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

comment fixer :

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

instale :

Comodo 3 pro :

http://www.commentcamarche.net/telecharger/telecharger 34055041 comodo firewall pro

tuto : https://www.malekal.com/tutorial-comodo-firewall/

spyware gard :

https://www.zebulon.fr/dossiers/securite/47-spywareguard.html

spywareblaster :

http://www.brightfort.com/spywareblaster.html

fais les mises a jour suivantes :

regarde ce tutorial pour mettre ta console java a jour :
 
https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/

ta version de acrobat reader n´est pas a jour, tu veux la version 8.1 derniere en date alors desinstale ta version par le panneau de configuration / ajoue et suppression de programme

et instale la derniere :

https://get2.adobe.com/reader/otherversions/

ou oublie completement acrobat reader et instales foxit plus léger a la place:

https://www.clubic.com/telecharger-fiche13808-foxit-reader.html

pourquoi ne pas surfer avec firefox? = plus sur,  tout en gardant ie 7.0 pour les mises a jour windows car impossible a effectuer sous firefox

http://www.mozilla-europe.org/fr/

plugins : no script, ad block plus, ect...

https://www.hugedomains.com/domain_profile.cfm?d=geckozone&e=org

dis moi quoi

@+

tomyrider · Answer

Je dois installer tous ces antispyware ?

g!rly · Answer

il n´y en a que deux et c´est des residents ?!

g!rly · Answer

oui c´est normal...

g!rly · Answer

je l´ai supprimé car c´est superflu...
tu as un soft qui l útilise?
c´est quelle page qui veux te l´installer?

g!rly · Answer

mais tu as installer ce truc ou tu as un logiciel (scansoft) qui l´utilise ?

fais ceci :

tu ouvres hijack this et tu click sur main menu puis sur view the list of back ups puis dans la liste tu repere et selectionnes :

O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

puis tu click sur restore...

dis moi quoi

@+

g!rly · Answer

interdie la

g!rly · Answer

commodo te fait une alerte non ?!
tu block et coche la case ne plus me demander...

g!rly · Answer

bon 

fix cette ligne avec hijack this : O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

supprime ce programme : C:\Program Files\ScanSoft

et

redis moi quoi

@+

g!rly · Answer

ok cool ;-)

bah il est pas terrible, privilégie plutot malwarebytes pour scanner de temps en temps...

@+

g!rly · Answer

oui ca va le fait maintenant lol 

passe ceci pour supprimer les fix et logiciels utilisés :

Télécharge ToolsCleaner sur ton bureau.
--> http://www.commentcamarche.net/telecharger/telechargement 34055291 toolsclean(...)
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 

@+

g!rly · Answer

ok tom,

bon il me reste plus qu´a te souhaiter une bonne continuation ;-)

tu sais ou me trouver au cas ou...

bye`

g!rly`

g!rly · Answer

De rien ;-)
Au plaisir`
Bye`

Spyware fond d'écran

41 réponses

Discussions similaires

Newsletters