Scarabés qui mangent l'écran

jj -  
jfkpresident Messages postés 13877 Statut Contributeur sécurité -
Bonjour,
Un copain m'a envoyé un diaporama et lorsque je l'ai ouvert, j'ai eu une alerte spyware et un message me disant qu'il fallait que je télécharge un certain logiciel anti spy ....... J'ai cliqué sur fermer (comme je fais toujours dans ces cas là et j'ai mon fond d'écran qui a disparu et est devenu tout bleu avec des scarabés qui sortent des cotés de l'écran et qui mangent le fond ou les icônes .........
J'ai scanné mon PC avec mon antivirus (celui d'Orange), puis avec 2 autres. A chaque fois, des virus ou spy ont été détectés et supprimés. J'ai remis mon fond d'écran avec Smitfraudfix car dans la fenêtre "Affichage", les onglets Bureau et écran de veille avaient disparu !!!
Tout est (apparemment) redevenu normal sauf que j'ai toujours les scrarabés qui sortent et "mangent" mon écran lorsque je reste un moment sans utiliser mon PC.
Que dois-je faire ?
Quelqu'un a-t-il déjà eu le problème ?
Est-ce qu'un programme, que les anti-virus ne détectent pas, est resté dans mon PC ? Comment l'enlever ?

Merci de vos réponses

JJ
Configuration: Windows XP
Internet Explorer 7.0

4 réponses

  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    Clique sur ce lien
    http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
    pour télécharger le fichier d'installation d'HijackThis.

    Enregistre HJTInstall.exe sur ton bureau.

    Double-clique sur HJTInstall.exe pour lancer le programme

    Par défaut, il s'installera là :
    C:\Program Files\Trend Micro\HijackThis

    Accepte la license en cliquant sur le bouton "I Accept"

    Ferme Hijackthis en cliquant sur la croix-rouge.

    Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien :

    http://www.techsupportforum.com/sectools/Deckard/dss.exe

    Choisis "Enregistrer" et "Bureau" comme emplacement.

    Ferme toutes les applications en cours (très important, sinon l'ordi peut planter).

    Double-clique sur DSS.exe pour lancer l'outil.

    S'il ne trouve pas HijackThis, clique sur Oui.

    Clique sur OK à chaque fois que cela sera demandé.

    L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse.

    Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt.

    _________________

    Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
    et télécharge SmitfraudFix.exe.

    Regarde le tuto
    Exécute le en choisissant l’option 1, il va générer un rapport
    Copie/colle le sur le poste stp.
    0
    1. JJ
       
      Bonsoir Lyonnais,
      voici le résultat: le fichier texte et le rapport
      Merci


      Fichier texte :


      Deckard's System Scanner v20071014.68
      Extra logfile - please post this as an attachment with your post.
      --------------------------------------------------------------------------------

      -- System Information ----------------------------------------------------------

      Microsoft Windows XP Édition familiale (build 2600) SP 3.0
      Architecture: X86; Language: French

      CPU 0: AMD Athlon(tm) 64 Processor 3200+
      Percentage of Memory in Use: 44%
      Physical Memory (total/avail): 1023.48 MiB / 571.61 MiB
      Pagefile Memory (total/avail): 2460.71 MiB / 2128.8 MiB
      Virtual Memory (total/avail): 2047.88 MiB / 1904.2 MiB

      C: is Fixed (NTFS) - 232.88 GiB total, 222.39 GiB free.
      D: is CDROM (Unformatted)
      E: is Removable (No Media)
      F: is Removable (No Media)
      G: is Removable (No Media)
      H: is Removable (No Media)
      I: is Removable (No Media)

      \\.\PHYSICALDRIVE0 - WDC WD2500JS-55NCB1 - 232.88 GiB - 1 partition
      \PARTITION0 (bootable) - Système de fichiers installable - 232.88 GiB - C:

      \\.\PHYSICALDRIVE1 - Generic STORAGE DEVICE USB Device

      \\.\PHYSICALDRIVE2 - Generic STORAGE DEVICE USB Device

      \\.\PHYSICALDRIVE3 - Generic STORAGE DEVICE USB Device

      \\.\PHYSICALDRIVE4 - Generic STORAGE DEVICE USB Device

      \\.\PHYSICALDRIVE5 - Generic STORAGE DEVICE USB Device



      -- Security Center -------------------------------------------------------------

      AUOptions is scheduled to auto-install.


      -- Environment Variables -------------------------------------------------------

      ALLUSERSPROFILE=C:\Documents and Settings\All Users
      APPDATA=C:\Documents and Settings\Jean-Jacques\Application Data
      CLIENTNAME=Console
      CommonProgramFiles=C:\Program Files\Fichiers communs
      COMPUTERNAME=JEAN-B403A0E143
      ComSpec=C:\WINDOWS\system32\cmd.exe
      FP_NO_HOST_CHECK=NO
      HOMEDRIVE=C:
      HOMEPATH=\Documents and Settings\Jean-Jacques
      LOGONSERVER=\\JEAN-B403A0E143
      NUMBER_OF_PROCESSORS=1
      OS=Windows_NT
      Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
      PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
      PROCESSOR_ARCHITECTURE=x86
      PROCESSOR_IDENTIFIER=x86 Family 15 Model 47 Stepping 2, AuthenticAMD
      PROCESSOR_LEVEL=15
      PROCESSOR_REVISION=2f02
      ProgramFiles=C:\Program Files
      PROMPT=$P$G
      SESSIONNAME=Console
      SystemDrive=C:
      SystemRoot=C:\WINDOWS
      TEMP=C:\DOCUME~1\JEAN-J~1\LOCALS~1\Temp
      TMP=C:\DOCUME~1\JEAN-J~1\LOCALS~1\Temp
      USERDOMAIN=JEAN-B403A0E143
      USERNAME=Jean-Jacques
      USERPROFILE=C:\Documents and Settings\Jean-Jacques
      windir=C:\WINDOWS


      -- User Profiles ---------------------------------------------------------------

      Jean-Jacques [I](admin)/I


      -- Add/Remove Programs ---------------------------------------------------------

      --> "C:\Program Files\Orange\AntivirusFirewall\fsuninst.exe" /UninstRegKey:"F-Secure Anti-Spyware Scanner"
      --> "C:\Program Files\Orange\AntivirusFirewall\fsuninst.exe" /UninstRegKey:"F-Secure Anti-Spyware"
      --> "C:\Program Files\Orange\AntivirusFirewall\fsuninst.exe" /UninstRegKey:"F-Secure Anti-Virus Client Security Installer"
      --> "C:\Program Files\Orange\AntivirusFirewall\fsuninst.exe" /UninstRegKey:"F-Secure Anti-Virus"
      --> "C:\Program Files\Orange\AntivirusFirewall\fsuninst.exe" /UninstRegKey:"F-Secure DAAS"
      --> "C:\Program Files\Orange\AntivirusFirewall\fsuninst.exe" /UninstRegKey:"F-Secure Diagnostics"
      --> "C:\Program Files\Orange\AntivirusFirewall\fsuninst.exe" /UninstRegKey:"F-Secure E-mail Scanning"
      --> "C:\Program Files\Orange\AntivirusFirewall\fsuninst.exe" /UninstRegKey:"F-Secure FWES"
      --> "C:\Program Files\Orange\AntivirusFirewall\fsuninst.exe" /UninstRegKey:"F-Secure GUI"
      --> "C:\Program Files\Orange\AntivirusFirewall\fsuninst.exe" /UninstRegKey:"F-Secure Help"
      --> "C:\Program Files\Orange\AntivirusFirewall\fsuninst.exe" /UninstRegKey:"F-Secure Internet Shield"
      --> "C:\Program Files\Orange\AntivirusFirewall\fsuninst.exe" /UninstRegKey:"F-Secure Management Agent"
      --> "C:\Program Files\Orange\AntivirusFirewall\fsuninst.exe" /UninstRegKey:"F-Secure Spam Control"
      --> "C:\Program Files\Orange\AntivirusFirewall\fsuninst.exe" /UninstRegKey:"F-Secure Spam Scanner"
      --> "C:\Program Files\Orange\AntivirusFirewall\fsuninst.exe" /UninstRegKey:"F-Secure TNB"
      --> "C:\Program Files\Orange\AntivirusFirewall\fsuninst.exe" /UninstRegKey:"News Service"
      --> C:\PROGRA~1\Yahoo!\Common\UNYT_W~1.EXE
      --> C:\Program Files\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
      --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
      802.11 USB Wireless LAN Adapter --> C:\WINDOWS\system32\unwlsdrv.exe SiS163u
      Adobe Reader 8.1.2 - Français --> MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81200000003}
      AntiVirus Firewall --> C:\PROGRA~1\Orange\ANTIVI~1\Common\fsbwih.exe /uninstall
      Audacity 1.2.6 --> "C:\Program Files\Audacity\unins000.exe"
      eMule --> "C:\Program Files\eMule\Uninstall.exe"
      Google Earth --> MsiExec.exe /I{97C0EA4A-1A0B-4C53-ACEB-49984DA79C90}
      Google Toolbar for Internet Explorer --> MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29}
      Google Toolbar for Internet Explorer --> regsvr32 /u /s "c:\program files\google\googletoolbar1.dll"
      High Definition Audio Driver Package - KB888111 -->
      HijackThis 2.0.2 --> "C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
      J2SE Runtime Environment 5.0 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150000}
      LG PC Suite --> C:\Program Files\InstallShield Installation Information\{993960EE-CA4D-443F-8F88-E24260DD5FD2}\setup.exe -runfromtemp -l0x040c -removeonly
      LG USB Modem driver --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C3ABE126-2BB2-4246-BFE1-6797679B3579}\setup.exe" -l0x40c LG -removeonly
      Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
      Microsoft Office Access MUI (French) 2007 --> MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
      Microsoft Office Excel MUI (French) 2007 --> MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
      Microsoft Office InfoPath MUI (French) 2007 --> MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
      Microsoft Office Outlook MUI (French) 2007 --> MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
      Microsoft Office PowerPoint MUI (French) 2007 --> MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
      Microsoft Office Professional Plus 2007 --> "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
      Microsoft Office Professional Plus 2007 --> MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
      Microsoft Office Proof (Arabic) 2007 --> MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
      Microsoft Office Proof (Dutch) 2007 --> MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
      Microsoft Office Proof (English) 2007 --> MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
      Microsoft Office Proof (French) 2007 --> MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
      Microsoft Office Proof (German) 2007 --> MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
      Microsoft Office Proof (Spanish) 2007 --> MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
      Microsoft Office Proofing (French) 2007 --> MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
      Microsoft Office Publisher MUI (French) 2007 --> MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
      Microsoft Office Shared MUI (French) 2007 --> MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
      Microsoft Office Word MUI (French) 2007 --> MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
      Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
      Mise à jour de sécurité pour Lecteur Windows Media 10 (KB936782) --> "C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe"
      Mise à jour de sécurité pour Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
      Mise à jour de sécurité pour Windows XP (KB950760) --> "C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
      Mise à jour de sécurité pour Windows XP (KB950762) --> "C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
      Mise à jour de sécurité pour Windows XP (KB951376) --> "C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
      Mise à jour de sécurité pour Windows XP (KB951698) --> "C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
      Mise à jour pour Windows XP (KB942763) --> "C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
      Mozilla Thunderbird (2.0.0.14) --> C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
      Multi Virus Cleaner 2008 --> "C:\Program Files\AxBx\Multi Virus Cleaner 2008\unins000.exe"
      Nero Suite --> C:\Program Files\Fichiers communs\Ahead\Uninstall\setup.exe /uninstall
      NVIDIA Drivers --> C:\WINDOWS\system32\nvudisp.exe UninstallGUI
      OLYMPUS CAMEDIA Master 4.2 --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{30BB4D60-81DB-11D5-BB77-00400536ABAC}\setup.exe" CAMEDIA Master 4.2
      Outil de mise à jour Google --> "C:\Program Files\Google\Google Updater\GoogleUpdater.exe" -uninstall
      QuickTime --> C:\WINDOWS\unvise32qt.exe C:\WINDOWS\system32\QuickTime\Uninstall.log
      Security Update for Excel 2007 (KB946974) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {85E83E2E-AF9B-439B-B4F9-EB9B7EF6A00E}
      Security Update for Microsoft Office Publisher 2007 (KB950114) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {F9C3CDBA-1F00-4D4D-959D-75C9D3ACDD85}
      Security Update for Microsoft Office system 2007 (KB951808) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {8F375E11-4FD6-4B89-9E2B-A76D48B51E00}
      Security Update for Microsoft Office Word 2007 (KB950113) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {AD72BABE-C733-4FCF-9674-4314466191B9}
      Security Update for Office 2007 (KB934062) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {305D509B-F194-4638-9F0F-D9E4C05F9D33}
      Security Update for Office 2007 (KB947801) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {02B5A17B-01BE-4BA6-95F1-1CBB46EBC76E}
      Security Update for Outlook 2007 (KB946983) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {66B9496E-C0C3-4065-9868-85CCA92126C3}
      Security Update for the 2007 Microsoft Office System (KB936960) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {5E5BD655-7AA9-47F9-BB6D-A1D8CE29AC86}
      Update for Office 2007 (KB932080) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {EDC9CA29-6BC1-471C-828C-7A36109005D7}
      Update for Office 2007 (KB946691) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {A420F522-7395-4872-9882-C591B4B92278}
      Update for Outlook 2007 Junk Email Filter (kb950378) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {F6296086-AED5-4EC0-938B-08EA0254F20E}
      VideoLAN VLC media player 0.8.6c --> C:\Program Files\VideoLAN\VLC\uninstall.exe
      Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
      Windows Media Format SDK Hotfix - KB891122 --> "C:\WINDOWS\$NtUninstallKB891122$\spuninst\spuninst.exe"
      Windows Messenger 5.1 --> MsiExec.exe /I{A433AE09-2126-4dad-9CBD-C1B05DC42787}
      Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
      Yahoo! Install Manager --> C:\WINDOWS\system32\regsvr32 /u C:\PROGRA~1\Yahoo!\Common\YINSTH~1.DLL
      Yahoo! Toolbar --> C:\PROGRA~1\Yahoo!\Common\UNYT_W~1.EXE


      -- Application Event Log -------------------------------------------------------

      Event Record #/Type545 / Warning
      Event Submitted/Written: 06/11/2008 07:53:36 PM
      Event ID/Source: 2002 / LoadPerf
      Event Description:
      Le fichier MOF créé pour le service Outlook n'a pas pu être chargé. Le
      code de l'erreur renvoyé par le compilateur MOF se trouve dans les données d'enregistrement.
      Avant que les compteurs de performance ne puissent être collectés par le WMI
      le fichier MOF devra être chargé manuellement. Contactez le vendeur de ce
      service pour des informations supplémentaires.

      Event Record #/Type530 / Error
      Event Submitted/Written: 06/10/2008 07:35:43 PM
      Event ID/Source: 103 / F-Secure Anti-Virus
      Event Description:
      4 2008-06-10 19:35:43+02:00 jean-b403a0e143 JEAN-B403A0E143\Jean-Jacques F-Secure Anti-Virus
      Manual scanning was finished - workstation was found infected!

      Event Record #/Type529 / Error
      Event Submitted/Written: 06/10/2008 07:35:39 PM
      Event ID/Source: 103 / F-Secure Anti-Virus
      Event Description:
      3 2008-06-10 19:35:39+02:00 jean-b403a0e143 JEAN-B403A0E143\Jean-Jacques F-Secure Anti-Virus
      Malicious code found in file C:\WINDOWS\XBQMFSED.EXE.
      Infection: Trojan.Win32.Vapsup.get

      Event Record #/Type528 / Error
      Event Submitted/Written: 06/10/2008 07:35:32 PM
      Event ID/Source: 103 / F-Secure Anti-Virus
      Event Description:
      2 2008-06-10 19:35:32+02:00 jean-b403a0e143 JEAN-B403A0E143\Jean-Jacques F-Secure Anti-Virus
      Manual scanning was finished - workstation was found infected!

      Event Record #/Type527 / Error
      Event Submitted/Written: 06/10/2008 07:35:24 PM
      Event ID/Source: 103 / F-Secure Anti-Virus
      Event Description:
      1 2008-06-10 19:35:24+02:00 jean-b403a0e143 JEAN-B403A0E143\Jean-Jacques F-Secure Anti-Virus
      Malicious code found in file C:\WINDOWS\ERSN.EXE.
      Infection: Trojan.Win32.Vapsup.get



      -- Security Event Log ----------------------------------------------------------

      No Errors/Warnings found.


      -- System Event Log ------------------------------------------------------------

      Event Record #/Type4146 / Error
      Event Submitted/Written: 06/12/2008 05:40:28 PM
      Event ID/Source: 7000 / Service Control Manager
      Event Description:
      Le service PCAMPR5 NDIS Protocol Driver n'a pas pu démarrer en raison de l'erreur :
      %%2

      Event Record #/Type4145 / Error
      Event Submitted/Written: 06/12/2008 05:40:28 PM
      Event ID/Source: 7000 / Service Control Manager
      Event Description:
      Le service PCAMPR5 NDIS Protocol Driver n'a pas pu démarrer en raison de l'erreur :
      %%2

      Event Record #/Type4144 / Error
      Event Submitted/Written: 06/12/2008 05:40:28 PM
      Event ID/Source: 7000 / Service Control Manager
      Event Description:
      Le service PCAMPR5 NDIS Protocol Driver n'a pas pu démarrer en raison de l'erreur :
      %%2

      Event Record #/Type4143 / Error
      Event Submitted/Written: 06/12/2008 05:40:28 PM
      Event ID/Source: 7000 / Service Control Manager
      Event Description:
      Le service PCAMPR5 NDIS Protocol Driver n'a pas pu démarrer en raison de l'erreur :
      %%2

      Event Record #/Type4142 / Error
      Event Submitted/Written: 06/12/2008 05:40:27 PM
      Event ID/Source: 7000 / Service Control Manager
      Event Description:
      Le service PCAMPR5 NDIS Protocol Driver n'a pas pu démarrer en raison de l'erreur :
      %%2



      -- End of Deckard's System Scanner: finished at 2008-06-12 19:00:29 ------------











      Le rapport :



      Deckard's System Scanner v20071014.68
      Run by Jean-Jacques on 2008-06-12 18:57:11
      Computer is in Normal Mode.
      --------------------------------------------------------------------------------

      -- System Restore --------------------------------------------------------------

      Successfully created a Deckard's System Scanner Restore Point.


      -- Last 5 Restore Point(s) --
      6: 2008-06-12 16:57:14 UTC - RP6 - Deckard's System Scanner Restore Point
      5: 2008-06-12 15:00:26 UTC - RP5 - Software Distribution Service 3.0
      4: 2008-06-10 18:57:22 UTC - RP4 - Software Distribution Service 3.0
      3: 2008-06-06 17:48:45 UTC - RP3 - F-Secure PersonalExpress 6.15 build 50 Installation
      2: 2008-06-06 16:30:04 UTC - RP2 - JJ 1


      -- First Restore Point --
      1: 2008-06-06 16:19:17 UTC - RP1 - Point de vérification système


      Backed up registry hives.
      Performed disk cleanup.



      -- HijackThis (run as Jean-Jacques.exe) ----------------------------------------

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 18:57:50, on 12/06/2008
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16674)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\PROGRA~1\Orange\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
      C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe
      C:\Program Files\Orange\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
      C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\FSGK32.EXE
      C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE
      C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fssm32.exe
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      C:\Program Files\Orange\AntivirusFirewall\Common\FSMB32.EXE
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Inventel\Gateway\wlancfg.exe
      C:\Program Files\Orange\AntivirusFirewall\Common\FCH32.EXE
      C:\Program Files\Orange\AntivirusFirewall\Common\FAMEH32.EXE
      C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsqh.exe
      C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsrw.exe
      C:\Program Files\Orange\AntivirusFirewall\FWES\Program\fsdfwd.exe
      C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsav32.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE
      C:\Program Files\Orange\AntivirusFirewall\FSGUI\ispnews.exe
      C:\PROGRA~1\Orange\ANTIVI~1\ANTI-S~1\fsaw.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\Orange\AntivirusFirewall\FSGUI\fsguidll.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\Orange\AntivirusFirewall\backweb\6588780\Program\fspex.exe
      C:\Documents and Settings\Jean-Jacques\Bureau\dss.exe
      C:\PROGRA~1\TRENDM~1\HIJACK~1\Jean-Jacques.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: QXK Olive - {3D917E3E-B3E8-4459-964A-84F2554E1E62} - C:\WINDOWS\nogxfvblrkd.dll (file missing)
      O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE" /splash
      O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Orange\AntivirusFirewall\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
      O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\Orange\AntivirusFirewall\FSGUI\FSSW.EXE" /reboot
      O4 - HKLM\..\Run: [News Service] "C:\Program Files\Orange\AntivirusFirewall\FSGUI\ispnews.exe"
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\Orange\AntivirusFirewall\backweb\6588780\Program\fspex.exe
      O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\Orange\AntivirusFirewall\Anti-Spyware\blockpopups.htm
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
      O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Orange\AntivirusFirewall\Anti-Spyware\ieshield.dll
      O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Orange\AntivirusFirewall\Anti-Spyware\ieshield.dll
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
      O21 - SSODL: adgpfoxs - {CED1277D-EED6-4701-882A-16C6C54AA413} - C:\WINDOWS\adgpfoxs.dll (file missing)
      O21 - SSODL: erpobmsw - {9564AEA7-508D-4B80-BF7C-437BCBA47C9E} - C:\WINDOWS\erpobmsw.dll (file missing)
      O23 - Service: Antivirus Firewall (BackWeb Plug-in - 6588780) - Securitoo Portal - C:\PROGRA~1\Orange\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
      O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe
      O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Orange\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
      O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\FWES\Program\fsdfwd.exe
      O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
      0
    2. JJ
       
      Rapport de smitfraudfix :
      Bonsoir
      JJ


      SmitFraudFix v2.323

      Rapport fait à 20:42:23,59, 12/06/2008
      Executé à partir de C:\Documents and Settings\Jean-Jacques\Bureau\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Le type du système de fichiers est NTFS
      Fix executé en mode normal

      »»»»»»»»»»»»»»»»»»»»»»»» Process

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\PROGRA~1\Orange\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
      C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe
      C:\Program Files\Orange\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
      C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\FSGK32.EXE
      C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE
      C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fssm32.exe
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      C:\Program Files\Orange\AntivirusFirewall\Common\FSMB32.EXE
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Inventel\Gateway\wlancfg.exe
      C:\Program Files\Orange\AntivirusFirewall\Common\FCH32.EXE
      C:\Program Files\Orange\AntivirusFirewall\Common\FAMEH32.EXE
      C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsqh.exe
      C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsrw.exe
      C:\Program Files\Orange\AntivirusFirewall\FWES\Program\fsdfwd.exe
      C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsav32.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE
      C:\Program Files\Orange\AntivirusFirewall\FSGUI\ispnews.exe
      C:\PROGRA~1\Orange\ANTIVI~1\ANTI-S~1\fsaw.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\Orange\AntivirusFirewall\FSGUI\fsguidll.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\Orange\AntivirusFirewall\backweb\6588780\Program\fspex.exe
      C:\Program Files\Mozilla Thunderbird\thunderbird.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Documents and Settings\Jean-Jacques\Bureau\SmitfraudFix\Policies.exe
      C:\WINDOWS\system32\cmd.exe

      »»»»»»»»»»»»»»»»»»»»»»»» hosts


      »»»»»»»»»»»»»»»»»»»»»»»» C:\


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Jean-Jacques


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Jean-Jacques\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\JEAN-J~1\Favoris


      »»»»»»»»»»»»»»»»»»»»»»»» Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      IEDFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» VACFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      404Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
      "System"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Rustock



      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      Description: 802.11 USB Wireless LAN Adapter - Miniport d'ordonnancement de paquets
      DNS Server Search Order: 192.168.1.1

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{25EC2748-8E02-4FCE-BED9-B3362155114D}: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{25EC2748-8E02-4FCE-BED9-B3362155114D}: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS3\Services\Tcpip\..\{25EC2748-8E02-4FCE-BED9-B3362155114D}: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin
      0
  2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
    et télécharge SmitfraudFix.exe.

    Regarde le tuto
    Exécute le en choisissant l’option 1, il va générer un rapport
    Copie/colle le sur le poste stp.
    0
  3. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    Relance le programme Smitfraud,
    Cette fois choisit l’option 2, répond oui a tous ;
    Sauvegarde le rapport copie/colle le rapport dans ta réponse.

    Imprime ces instructions car tu n'y auras pas accès durant le passage en mode sans échec.
    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié dans C:\. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
    • Appuie sur Y pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
    0
  4. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    bonsoir maitre jedi ,

    petit padawan pour suivre vilains cafards ........
    0