[Pb] Comment supprimer xp securitycenterFermé

Question

Bonjour, j'ai un gros problème, xp securitycenter s'est installé tout seul sur mon PC. J'ai parcouru un peu le net et j'ai notamment vu que s'était un faux antivirus. J'ai aussi fais quelques manipulations conseillées et voici donc  mon rapport fait avec Malwarebytes' Anti-Malware. Pouvez vous m'aider s'il vous plait.
Merci d'avance !


Malwarebytes' Anti-Malware 1.23
Version de la base de données: 1010
Windows 5.1.2600 Service Pack 3

22:20:24 30/07/2008
mbam-log-7-30-2008 (22-20-24).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 115244
Temps écoulé: 42 minute(s), 11 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\karina.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\karina.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winivstr.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Etienne\Local Settings\Temp\uninst.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Etienne\Local Settings\Temporary Internet Files\Content.IE5\UX89KDW1\Install[1].exe (Rogue.Installer) -> Quarantined and deleted successfully.

itachi01 · Answer

Pourrais tu faire un scan hijackthis stp

Numaweb · Answer

XP SecurityCenter est un faux logiciel contre les espions, qui infecte les PC avec le Trojan Zlob.

Voici le petit programme pour enlever ça:  https://www.spyhunter.com/2QscnVd/

Bonne chance

Misada · Answer

Bonjour,

J'ai un collègue qui a eu le même souci,
je lui est conseillé de faire une "restauration du système" et ça a marché,
    *(Demarrer >> tous les programme >> accessoires >> outil système)


Bon courage,

PS: sauvegarde bien tes nouvelles données récemment enregistré,

itachi01 · Answer

Fais d'abord un rapport hijackthis et on vera pour la suite merci.

Misada · Answer

exacte fais ce que je t'es dit si jamais il n'y a plus d'autre moyen, le conseil de Numaweb est bon,

Reedo · Answer

Merci de me répondre aussi rapidement, je ferais un formatage de mon DD qu'en dernier recours. Sinon j'ai télécharger hijackthis sur telecharger.com mais je ne peut pas lancer l'application, je ne sais pas pourquoi.

Numaweb => il est payant le logiciel que tu me donnes non ?

Merci de m'aider !

Misada · Answer

Numaweb   est gratuit je viens de le testé ..

Reedo · Answer

Oui mais avec le logiciel, je fais un scan et apres je mets "remove" et on me dit de m'inscrire et d'acheter le logiciel spyhunter

Reedo · Answer

Bin pourtant moi je fais le scan et apres je mets remove mais il me dit qu'il faut s'inscrire et que je dois acheter spyhunter ! :s

Misada · Answer

à je vais te dire ça dans un instant je fini le scan là :p

sinon restaure le systeme, comme j'ai écrit au dessus,

itachi01 · Answer

Bon pour hijackthis .Donc pour le télécharger va sur ce lien http://www.infos-du-net.com/telecharger/HijackThis,0301-454.­html a la fin du téléchargement place le dossier dans ton bureau ensuite double clique sur l'icône, après tout cela tu clique sur exécuter renomme le dossier en cçm.exe. Ensuite tu suis la procédure et tu vas avoir une fenêtre qui va s'afficher tu cliqueras sur do a system scan and save a logfile. Attend, sa ne dur pas longtemps ensuite un rapport vas apparaitre sélectionne tous copie et colle le en réponse sur le forum.

Reedo · Answer

J'ai compris, je ce logiciel de merde (xp securitycenter) à cause d'un mail comme quoi soit disant ups avait un colis à m'nevoyer ... il y avait une pièce jointe et c'est un cheval de troie.

Combien prend la restauration du système ? :) 
Et est ce que je peux restaurer que ma partie qui contient windows xp ?


Merci

Reedo · Answer

Voici mon rapport hijackthis, merci itachi01 pour l'aide :)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:11:31, on 31/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\DllHost.exe
C:\WINDOWS\Explorer.EXE
c:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\TEMP\1.tmp
C:\WINDOWS\eHome\ehSched.exe
D:\Logiciels\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Logiciels\DAEMON Tools Lite\daemon.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
D:\Logiciels\OpenOffice.org 2.4\program\soffice.exe
D:\Logiciels\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Fileshcle7j0e78lhcle7j0e78l.exe
C:\WINDOWS\system32\pphcge7j0e78l.exe
C:\Documents and Settings\Etienne\Bureau\cçm.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.asus.com/fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32
tos.exe,
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
O4 - HKLM\..\Run: [lphcge7j0e78l] C:\WINDOWS\system32\lphcge7j0e78l.exe
O4 - HKLM\..\Run: [SMrhcle7j0e78l] C:\Program Fileshcle7j0e78lhcle7j0e78l.exe
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [XP SecurityCenter] "C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe" /hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Net4Switch] C:\Program Files\ASUS\Net4Switch\Net4Switch.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Logiciels\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = D:\Logiciels\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
O20 - AppInit_DLLs: karina.dat
O20 - Winlogon Notify: OneCard - c:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWLNPkg.dll
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NMSAccessU - Unknown owner - D:\Logiciels\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

itachi01 · Answer

Donc je voie que tu as plusieur probleme mais je te dirais tout se que tu a à faire dans 20 minute surtout ne bouge pas.

Reedo · Answer

Ok, vraiment sympa :)

Je vais par contre surment partir manger, j'essaie de revenir dans moins d'une heure !

Encore merci :)

Misada · Answer

Reedo ,

Ce que je te propose c'est de suivre les instruction de itachi01 et de voir si cela marchera ou pas,

Si cela ne marche pas, fait ce que je t'es proposé, "restauration de systeme" c simple tu suis les instructions c'est très bien expliqué, (un formatage pour un problème comme ça n'est pas tellement recommandée,)

Bon courage et tiens nous au courant,

Reedo · Answer

ok merci de votre en tout cas (je me répéte la :) )
Je vais manger là, mais sinon la restauration du systeme, ça supprime mes données ou pas ?

Misada · Answer

Par précaution il est mieux de sauvegardé c'est donnée perso,

(si tu veux ce systeme te permet de remonté dans le temp, pour avoir une image, et donc maintenant à toi de voir si tu as eu des données en plus par rapport à la derniere date)
Les étape sont bien expliqué, n'hésite pas à bien lire ce qu'il y a marqué,durant ces étape,

Bon courage,

itachi01 · Answer

C:\WINDOWS\system32\braviax.exe
O4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
O20 - AppInit_DLLs: karina.dat
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
 O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe (je suis pas sur pour celle la) Ces phrases ne m'inspire pas mais je vais te trouver une solution.

itachi01 · Answer

Essaye ceci 
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec comme indiqué ici http://www.microsoft.com/windows2000/fr/server/help/default.asp?url=/windows2(...)
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou autre.

Déroule la liste des instructions ci-dessous :
# Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
# Appuie sur Y pour commencer le processus de nettoyage.
# Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
# Appuie sur une touche pour redémarrer le PC.
# Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
# Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
# Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
# Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
# Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un rapport Hijackthis

Reedo · Answer

Misada => merci pour ton explication :) j'ai compris !

itachi01 => ok, en tout cas je sais que "karina" est un virus ! et je pense que nvidia display ... n'est pas un soucis (enfin j'espère) car je posséde une carte graph nvidia !

Reedo · Answer

ok je vais faire ce que tu me dis :)

itachi01 · Answer

Par contre télécharge le sur ce liens http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

itachi01 · Answer

Tu as raison pour la carte graphique je n'avais pas vue que c'étais Nvidia. Mais pour les autre normalement je dois avoir raison .

Reedo · Answer

je ne comprends pas, je telecharge SDFix sur mon bureau mais je ne peux pas lancer l'application. je double clic et rien ne se passe !

Reedo · Answer

C'est bon, j'ai rien dit :)

Reedo · Answer

Je suis en train de le faire sur mon pc. C'est assez long puisqu'il me dit que ça peut durer plus de 20 minutes. Je reposte quand j'ai fini.

Reedo · Answer

C'est bon, voici mon rapport avec SDFix et celui avec hijackthis. Par contre j'ai toujours antivirus xp 2008 et la croix rouge en bas à droite d'installer avec xp securitycenter.

RAPPORT SDFix :

[b]SDFix: Version 1.210 [/b]
Run by Etienne on 31/07/2008 at 13:17

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\Etienne\Bureau\Sdfix\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File
Restoring Default Desktop Wallpaper  

Rebooting


[b]Infected beep.sys Found![/b]

beep.sys File Locations:

"C:\WINDOWS\system32\drivers\beep.sys" 28160 30/07/2008 20:28 
"C:\WINDOWS\system32\dllcache\beep.sys" 28160 30/07/2008 20:28 

Infected File Listed Below:

C:\WINDOWS\system32\drivers\beep.sys
C:\WINDOWS\system32\dllcache\beep.sys

File copied to Backups Folder
Attempting to replace beep.sys with original version 


Original beep.sys Restored

"C:\WINDOWS\system32\drivers\beep.sys" 4224 30/07/2008 12:51
"C:\WINDOWS\system32\dllcache\beep.sys" 4224 30/07/2008 12:51



[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS\SYSTEM32\PPHCGE~1.EXE - Deleted
C:\WINDOWS\SYSTEM32\PHCGE7~1.BMP - Deleted
C:\DOCUME~1\Etienne\LOCALS~1\Temp\Binaries1.zip  - Deleted
C:\WINDOWS\system32\braviax.exe  - Deleted
C:\WINDOWS\system32\delself.bat  - Deleted
C:\WINDOWS\system32\winivstr.exe  - Deleted
C:\WINDOWS\system32\config\systemprofile\Application Data\wsnpoem\audio.dll - Deleted
C:\Documents and Settings\NetworkService\Application Data\wsnpoem\audio.dll - Deleted
C:\Documents and Settings\LocalService\Application Data\wsnpoem\audio.dll - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-31 13:26:28
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\system32\ntos.exe 557056 bytes
C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\system32\wsnpoem\audio.dll 16384 bytes
C:\WINDOWS\system32\wsnpoem\video.dll 16384 bytes

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 4


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\Program Files\Messenger\MSMSGS.EXE"="C:\Program Files\Messenger\MSMSGS.EXE:*:Enabled:Windows Messenger"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"D:\Jeux Video\F1 Challenge 99-02\F1 Challenge 99-02.exe"="D:\Jeux Video\F1 Challenge 99-02\F1 Challenge 99-02.exe:*:Enabled:F1 Challenge 99-02"
"D:\Logiciels\Azureus\Azureus.exe"="D:\Logiciels\Azureus\Azureus.exe:*:Enabled:Azureus"
"D:\Logiciels\Opera\opera.exe"="D:\Logiciels\Opera\opera.exe:*:Enabled:Opera Internet Browser"
"D:\Jeux Video\Titan Quest\TQ immortal throne\Tqit.exe"="D:\Jeux Video\Titan Quest\TQ immortal throne\Tqit.exe:*:Enabled:Tqit"
"D:\Jeux Video\Ubisoft\Splinter Cell Pandora Tomorrow\pandora.exe"="D:\Jeux Video\Ubisoft\Splinter Cell Pandora Tomorrow\pandora.exe:*:Enabled:pandora"
"D:\Jeux Video\Ubisoft\Splinter Cell Pandora Tomorrow\online\System\shadowstrike_static_retail.exe"="D:\Jeux Video\Ubisoft\Splinter Cell Pandora Tomorrow\online\System\shadowstrike_static_retail.exe:*:Enabled:shadowstrike_static_retail"
"D:\Jeux Video\Rogue Spear\RogueSpear.exe"="D:\Jeux Video\Rogue Spear\RogueSpear.exe:*:Enabled:RogueSpear"
"D:\Logiciels\Hamachi\hamachi.exe"="D:\Logiciels\Hamachi\hamachi.exe:*:Disabled:Hamachi"
"D:\Logiciels\hama\hamachi.exe"="D:\Logiciels\hama\hamachi.exe:*:Disabled:Hamachi Client"
"C:\Program Files\Hamachi\hamachi.exe"="C:\Program Files\Hamachi\hamachi.exe:*:Disabled:Hamachi Client"
"D:\Logiciels\GameCenter\GameCenter.exe"="D:\Logiciels\GameCenter\GameCenter.exe:*:Enabled:GameCenter"
"D:\Jeux Video\Pro Cycling Manager 2007\PCM.exe"="D:\Jeux Video\Pro Cycling Manager 2007\PCM.exe:*:Enabled:Pro Cycling Manager 2007"
"C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:æTorrent"
"D:\Jeux Video\PCM 2008\PCM.exe"="D:\Jeux Video\PCM 2008\PCM.exe:*:Enabled:Tour de France saison 2008 - Der Offizielle Radsport Manager"
"D:\Jeux Video\PCM 2008\Autorun\Exe\Autorun.exe"="D:\Jeux Video\PCM 2008\Autorun\Exe\Autorun.exe:*:Enabled:Tour de France saison 2008 - Der Offizielle Radsport Manager - AutoRun"
"D:\Jeux Video\[Demo] Pro Cycling Manager - Season 2008\Autorun\Exe\Autorun.exe"="D:\Jeux Video\[Demo] Pro Cycling Manager - Season 2008\Autorun\Exe\Autorun.exe:*:Enabled:[Demo] Pro Cycling Manager - Season 2008 - AutoRun"
"D:\Jeux Video\[Demo] Pro Cycling Manager - Season 2008\PCMDemo.exe"="D:\Jeux Video\[Demo] Pro Cycling Manager - Season 2008\PCMDemo.exe:*:Enabled:pcm"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\DOCUME~1\Etienne\Bureau\Sdfix\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:


[b]Finished![/b]













RAPPORT Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:32:30, on 31/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\DllHost.exe
C:\WINDOWS\Explorer.EXE
c:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
D:\Logiciels\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\lphcge7j0e78l.exe
C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\WINDOWS\system32\buritos.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Logiciels\DAEMON Tools Lite\daemon.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
D:\Logiciels\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
D:\Logiciels\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\rhcle7j0e78l\rhcle7j0e78l.exe
C:\WINDOWS\system32\pphcge7j0e78l.exe
C:\Documents and Settings\Etienne\Bureau\cçm.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.asus.com/fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [lphcge7j0e78l] C:\WINDOWS\system32\lphcge7j0e78l.exe
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [XP SecurityCenter] "C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe" /hide
O4 - HKLM\..\Run: [buritos] buritos.exe
O4 - HKLM\..\Run: [SMrhcle7j0e78l] C:\Program Files\rhcle7j0e78l\rhcle7j0e78l.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Net4Switch] C:\Program Files\ASUS\Net4Switch\Net4Switch.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Logiciels\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = D:\Logiciels\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
O20 - AppInit_DLLs: karina.dat
O20 - Winlogon Notify: OneCard - c:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWLNPkg.dll
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NMSAccessU - Unknown owner - D:\Logiciels\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

Reedo · Answer

Tu n'es plus là itachi ? ou quelqu'un d'autre pourrait m'aider s'il vous plait ? :)

Reedo · Answer

Je suis en train de formater mon pc, il fallait que je le fasse car j'avais desinstaller des logiciels pour mon pc portable et je ne pouvais plus les reinstaller !

Une fois formater, est ce que le virus sera parti ?

En tout cas je vous remercie grandement pour votre aide notamment itachi01.

Misada · Answer

Dommage, 

En principe c'est bon, mais bon c'est dommage d'en arrivé à là..

Tiens moi au courant commeme,

Bonne journée,

Reedo · Answer

C'est bon, formatage de la partition contenant windows terminé. Apparemment tout est rentré dans l'ordre.

Merci à tous ceux qui ont essayé de m'aider :)

Kokuro · Answer

Salut,

j'ai eu le meme problème, avast et spybot n ont pu rien y faire,le trojan apparaissait toujours.
Cependant je confirme, une restauration du système fonctionne très bien pour le supprimer.
Windows genere chaque jour un point de restauration, il n est pas obligatoire de restaurer à une date ulterieure.
Selectionnez la date du jour pour la restauration comme cela vous ne perdrez rien.
Et lorsque le pc redemarrera le trojan aura disparu comme par magie!

Bonne chance.

Kokuro · Answer

Ne reformatez surtout pas! utilisez spybot dans un premier temps puis ensuite restaurez le systeme.
Ce serait dommage que vous perdiez toutes vos données.

kiki-2a · Answer

Bonsoir, le pc de mon ami s est certainement pris ce fameux soit disant antivirus plus avec ses faux virus =( , nous avons donc scanner le pc, avec avira qui a trouvé des trojans et mis en quarantaine, scanner aussi avec malware, spybot enfin la totale quoi et tt nettoyé mais cette page warning revient tjrs et le scan security se met en marche et detecte une fois 24 trojans , l instant d apres + de 300 pfff , je ne sais plus quoi faire pour etre sur que son pc ne craint rien et pr supprimer cette chose =(
Quelqu un pourrait il m'aider a y voir plus clair, nous avons fait aussi en mode sans échec le smitfraudfix mais cela n a servi a rien , c est tjrs la!!!
D'avance, je vous remercie et vous souhaite une bonne soirée...

Corsica...

[Pb] Comment supprimer xp securitycenter

35 réponses

Newsletters