Sujet Précédent Sujet Suivant

Gros problème de fenetres intempestives

Résolu
phoenix man Messages postés 22 Statut Membre -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
Ayant un gros problème de fenetres intempestives sur mon PC, j'ai consulté des forums et je suis tombé sur le lien expliquant l'utilisation de navilog1. J'ai donc suivi les étapes qui m'amènent jusqu'a ce forum ou l'on me dit de publier le résultat du scan de navilog1 afin de me confirmer que je peux enclencher l'option 2 (désinfection automatique).
J'espere de tout coeur que quelqu'un pourra m'aider et me guider car ces fenetres intempestives sont souvent des sites de rencontre avec des images X qui risquent de heurter la sensibilité de ma fille, et qui sont tres désagréable pour nous parent.
Voici donc le résultat du scan:

Search Navipromo version 3.5.8 commencé le 10/06/2008 à 22:29:30,45

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "--------"

Mise à jour le 06.06.2008 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans "C:\WINDOWS" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1.win\applic~1" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1.win\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\-------------\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\--------\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\--------\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\-------------\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\--------\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\----------\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\----------------\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\----------\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\---------------\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\----------------------\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\---------------\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\--------------\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

* Dans "C:\Documents and Settings\------------------\locals~1\applic~1" :

* Dans "C:\DOCUME~1\-----------\locals~1\applic~1" :

* Dans "C:\DOCUME~1\----------------\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32\cLllonmp.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\lSAJmnpo.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\mSruxyxx.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\pXEKnUvw.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\rsstutwa.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\sAyxyccf.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\vFfilUvw.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\XHiiQqss.ini2 trouvé ! infection Vundo possible non traitée par cet outil !

*** Analyse terminée le 10/06/2008 à 22:40:56,43 ***

Merci d'avance à vous tous, les experts, qui nous aide à profiter de cette merveilleuse invention qu'est internet sans sombrer dans le désespoir devant des problèmes qui nous paraissent insoluble.
Configuration: Windows XP
Internet Explorer 7.0

41 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Des fenêtres intempestives apparaissent sur un PC sous Windows XP, et un scan Navilog1 signale des infections potentielles type Vundo, ce qui motive à demander une aide technique et à éviter une désinfection précipitée.
Plusieurs éléments de réponse préconisent des outils d’analyse et de nettoyage comme Malwarebytes' Anti-Malware, HijackThis et ComboFix, ainsi que ToolsCleaner, avec des rapports à produire et des précautions à observer avant toute suppression.
Des consignes complémentaires recommandent de désactiver la restauration système, d’effectuer des scans répétés et de corriger ou supprimer les éléments suspects avec prudence, puis de vérifier l’absence de fichiers malveillants restants.

Généré automatiquement par IA
sur la base des meilleures réponses
Réponse 1 / 41
nico-81 Messages postés 1633 Statut Membre 98
 
je préfère ce logiciel : http://www.commentcamarche.net/telecharger/telechargement 34055379 malwarebyte s anti malware
met le à jour, démarre en mode sans echec. et fais un scan puis poste le rapport.
0
Réponse 2 / 41
Utilisateur anonyme
 
pour suivre :)
0
Réponse 3 / 41
nico-81 Messages postés 1633 Statut Membre 98
 
lol
0
Réponse 4 / 41
phoenix man Messages postés 22 Statut Membre
 
voici le rapport (excuse le délai, mais il était trop tard hier pour attendre la fin du scan):

Malwarebytes' Anti-Malware 1.17
Version de la base de données: 846

07:17:53 11/06/2008
mbam-log-6-11-2008 (07-17-39).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 167766
Temps écoulé: 1 hour(s), 26 minute(s), 56 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 22

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{65bfa841-c5a1-41d6-ad7f-8797348852c1} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{65bfa841-c5a1-41d6-ad7f-8797348852c1} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM7fa6fc81 (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\onoyshaj.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jahsyono.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\pmnollLc.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\cLllonmp.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\cLllonmp.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\tuvpwgjk.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\kjgwpvut.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\usanjywc.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\cwyjnasu.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\xxyxurSm.dll_old (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mSruxyxx.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mSruxyxx.ini2 (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\XXXXX\Local Settings\Temporary Internet Files\Content.IE5\J87IRDNN\kb456456[2] (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\XXXXXXX\Local Settings\Temp\ginstall.dll (Adware.WebHancer) -> No action taken.
C:\Program Files\Systerac XP Tools 4\iea.exe (Rogue.PornCleanser) -> No action taken.
C:\System Volume Information\_restore{9D0D2F85-BB43-489A-BF08-EB22C9DB95FC}\RP407\A0092029.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{9D0D2F85-BB43-489A-BF08-EB22C9DB95FC}\RP407\A0092051.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{9D0D2F85-BB43-489A-BF08-EB22C9DB95FC}\RP412\A0092359.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\kxlsitcl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\fccyyYQG.dll (Trojan.Vundo) -> No action taken.

POur info, j'ai remplacé deux données perso par des X. J'espere que cela ne te gènera pas dans analyse du rapport.
Merci encore de ton aide.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 41
nico-81 Messages postés 1633 Statut Membre 98
 
alors supprime tout ça :
C:\WINDOWS\system32\onoyshaj.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jahsyono.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\pmnollLc.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\cLllonmp.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\cLllonmp.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\tuvpwgjk.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\kjgwpvut.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\usanjywc.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\cwyjnasu.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\xxyxurSm.dll_old (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mSruxyxx.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mSruxyxx.ini2 (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\XXXXX\Local Settings\Temporary Internet Files\Content.IE5\J87IRDNN\kb456456[2] (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\XXXXXXX\Local Settings\Temp\ginstall.dll (Adware.WebHancer) -> No action taken.
C:\Program Files\Systerac XP Tools 4\iea.exe (Rogue.PornCleanser) -> No action taken.
C:\System Volume Information\_restore{9D0D2F85-BB43-489A-BF08-EB22C9DB95FC}\RP407\A0092029.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{9D0D2F85-BB43-489A-BF08-EB22C9DB95FC}\RP407\A0092051.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{9D0D2F85-BB43-489A-BF08-EB22C9DB95FC}\RP412\A0092359.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\kxlsitcl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\fccyyYQG.dll (Trojan.Vundo) -> No action taken.

ensuite tu fais démarrer, executer, tu tape regedit et tu cherche les clés et tu les supprime : (clic droit et supprimé)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{65bfa841-c5a1-41d6-ad7f-8797348852c1}
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6­5bfa841-c5a1-41d6-ad7f-8797348852c1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM7fa6fc81
0
Réponse 6 / 41
nico-81 Messages postés 1633 Statut Membre 98
 
puis refais un scan et reposte pour être sur.
0
phoenix man Messages postés 22 Statut Membre
 
Salut nico, je rentre du boulot et je viens de trouver tes messages. OK je vais suivre tes instructions, mais avant je voudrais savoir si je dois supprimer les lignes une par une en les recherchant, ou bien est-ce-que mbam peut le faire plus rapidement.
J'attend quelques minutes ta réponse ensuite si tu n'est pas là je vais essayer de me débrouiller tout seul.
A tout de suite j'espere.
0
Réponse 7 / 41
nico-81 Messages postés 1633 Statut Membre 98
 
relancer MBAM et à la fin du scan de cliquer sur supprimer, parce que la, MBAM a juste un réalisé un scan.
mais tu peux aussi les supprimer une par une.
0
phoenix man Messages postés 22 Statut Membre
 
voilà, ouf enfin j'y arrive:

Malwarebytes' Anti-Malware 1.17
Version de la base de données: 848

23:35:06 11/06/2008
mbam-log-6-11-2008 (23-35-06).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 167819
Temps écoulé: 1 hour(s), 27 minute(s), 37 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{9D0D2F85-BB43-489A-BF08-EB22C9DB95FC}\RP413\A0094520.dll (Trojan.Vundo) -> Not selected for removal.
C:\System Volume Information\_restore{9D0D2F85-BB43-489A-BF08-EB22C9DB95FC}\RP413\A0094524.dll (Trojan.Vundo) -> Not selected for removal.
C:\System Volume Information\_restore{9D0D2F85-BB43-489A-BF08-EB22C9DB95FC}\RP413\A0094526.dll (Trojan.Vundo) -> Not selected for removal.
C:\System Volume Information\_restore{9D0D2F85-BB43-489A-BF08-EB22C9DB95FC}\RP413\A0094529.dll (Adware.WebHancer) -> Not selected for removal.
C:\System Volume Information\_restore{9D0D2F85-BB43-489A-BF08-EB22C9DB95FC}\RP413\A0094530.exe (Rogue.PornCleanser) -> Not selected for removal.
0
Réponse 8 / 41
phoenix man Messages postés 22 Statut Membre
 
enfin me revoilà après 3 heures de scan. zut, je n'arrive pas à retrouver le rapport. Je lance une recherche.
0
Réponse 9 / 41
phoenix man Messages postés 22 Statut Membre
 
j'ai fait un point de restauration après le rapport. est -ce que j'ai bien fait ou pas ?
0
Réponse 10 / 41
nico-81 Messages postés 1633 Statut Membre 98
 
après le rapport, et avant de supprimer tous ça : MAUVAIT
après le rapport, et après avoir supprimer tout ça : innutile

:D
0
Réponse 11 / 41
nico-81 Messages postés 1633 Statut Membre 98
 
refais un rappor :)
(tenshi002)
0
phoenix man Messages postés 22 Statut Membre
 
excuse moi je ne traduit pas tout sur ton dernier message.
tu souhaite que je refasse un scan avec mbam?
0
Réponse 12 / 41
nico-81 Messages postés 1633 Statut Membre 98
 
OUI
0
phoenix man Messages postés 22 Statut Membre
 
OK, je vais relancer un scan, par contre je te le publierai que demain car il se fait tard.
Merci de ton aide.
A+ nico
0
Réponse 13 / 41
nico-81 Messages postés 1633 Statut Membre 98
 
Ok bonne nuit.
0
Réponse 14 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

un nouveau rapport MBAM est totalement inutile.

Ce qui reste est dans la restauration système.

fais ça :

Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

les fichiers mentionnés ont été supprimés.

par contre, il faut voir s'il y a d'autres infections.

Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Ferme Hijackthis en cliquant sur la croix-rouge.

Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien :

http://www.techsupportforum.com/sectools/Deckard/dss.exe

Choisis "Enregistrer" et "Bureau" comme emplacement.

Ferme toutes les applications en cours (très important, sinon l'ordi peut planter).

Double-clique sur DSS.exe pour lancer l'outil.

S'il ne trouve pas HijackThis, clique sur Oui.

Clique sur OK à chaque fois que cela sera demandé.

L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse.

Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt.
0
Réponse 15 / 41
phoenix man Messages postés 22 Statut Membre
 
Merci de ton message lyonnais92 (quel magnifique pseudo allez lyon).
Avant de me coucher je fais ce petit message pour savoir ce qu'en pense mon premier professeur Nico.
Cela dit, je suis daccord pour suivre ta démarche.
Merci encore à vous, je reviendrai demain
bye
0
Réponse 16 / 41
nico-81 Messages postés 1633 Statut Membre 98
 
oui te faut désactiver la restauration system pour supprimé les ancienne et la remetre et ensuite faire un scan MBAM, puis un hijackthis, je te l'annalyse demain ton scan hijack
c'est mon avis.
0
phoenix man Messages postés 22 Statut Membre
 
Salut nico, me revoilà avec mes petits problèmes. Je te post dabord le rapport de mbam. Je viens de telecharger hijackthis et je vais le lancer maintenant. Je reviendrai tout à l'heure le poster.

Malwarebytes' Anti-Malware 1.17
Version de la base de données: 848

19:17:07 12/06/2008
mbam-log-6-12-2008 (19-16-56).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 151340
Temps écoulé: 55 minute(s), 54 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{65bfa841-c5a1-41d6-ad7f-8797348852c1} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Systerac XP Tools 4\iea.exe (Rogue.PornCleanser) -> No action taken.

A+
0
Réponse 17 / 41
phoenix man Messages postés 22 Statut Membre
 
voici le deuxieme rapport:

Deckard's System Scanner v20071014.68
Run by nicky on 2008-06-12 19:38:46
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.

-- Last 2 Restore Point(s) --
2: 2008-06-12 17:38:52 UTC - RP416 - Deckard's System Scanner Restore Point
1: 2008-06-12 16:06:33 UTC - RP415 - Point de vérification système

Backed up registry hives.
Performed disk cleanup.

-- HijackThis (run as nicky.exe) -----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:40:07, on 12/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\Program Files\TuneUp Utilities 2008\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Securitoo\av_fw\fswsclds.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\nicky\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\nicky.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {da30eff8-ccc6-4162-a20d-67402a26a215} - (no file)
O2 - BHO: (no name) - {17CCEB96-27DE-4C84-BDB7-CEA7E89DF276} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {65BFA841-C5A1-41D6-AD7F-8797348852C1} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O2 - BHO: {8ef21195-18c7-d4da-be44-64559161dd9c} - {c9dd1619-5546-44eb-ad4d-7c8159112fe8} - C:\WINDOWS\system32\gugbciky.dll
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {da30eff8-ccc6-4162-a20d-67402a26a215} - (no file)
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Program Files\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe
O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Program Files\EmpirePokerMaster\EmpirePoker\RunEPoker.exe
O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Program Files\EmpirePokerMaster\EmpirePoker\RunEPoker.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O20 - Winlogon Notify: nnnmmNfC - nnnmmNfC.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
0
Réponse 18 / 41
nico-81 Messages postés 1633 Statut Membre 98
 
Bon fait démarrer, executer, tu tape regedit, tu cherche :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{65bfa841-c5a1-41d6-ad7f-8797348852c1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan

et clic droit, supprimé.

Pour Hijackthis, fixe :
O20 - Winlogon Notify: nnnmmNfC - nnnmmNfC.dll (file missing)

si t'as pas de jeu de poker tu peux fixer ça :
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe
O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Program Files\EmpirePokerMaster\EmpirePoker\RunEPoker.exe
O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Program Files\EmpirePokerMaster\EmpirePoker\RunEPoker.exe
0
Réponse 19 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le Bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
0
phoenix man Messages postés 22 Statut Membre
 
Salut lyonnais, merci d'être toujours là. Je ne sais pas trop qui suivre entre vous deux, je compte sur vous pour me guider un peu. Je vais commencer par les manip de nico. Elles me paraissent plus rapide dans un premier temps, car si je dois faire encore des scans comme hier, j'y ai passé des heures et pendant ce temps je ne peut pas communiquer avec vous.
merci encore, je suivrais ta manip ensuite!
0
Réponse 20 / 41
phoenix man Messages postés 22 Statut Membre
 
OK c'est fait pour les clés mais peut tu m'expliquer quand tu dit "fixe" pour hijackthis.
je veux pas faire de connerie.
0
  • 1
  • 2
  • 3

Discussions similaires

Problème de clavier, des fenêtre s'ouvrent !!
Lyon691D -
tanteelise -

5 réponses
Caler une adresse au niveau de la fenêtre d'une enveloppe
®omain -
kent -

15 réponses
Clavier ouvre raccourcis
angellee -
Clemence -

11 réponses
Conhost.exe
ThaBestGamer -
bazfile -

3 réponses
Mon pc ouvre des fenêtres et le clavier écrit
Louise19 -
Arkami -

3 réponses