(SPYWARE) Warning Spyware detected on your...Fermé

Question

Bonjour,
Hier mon petit frère a choppé un virus sur l'ordi on ne sait pas comment. Il y a d'abord au l'alerte, puis un faux antivirus s'est installé Antivir XP 2008 ou un truc dans le genre. En surfant sur certains sites j'ai réussi à enlever ce programme mais il reste l'affichage en fond d'écran d'un message sur fond bleu "Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer"; on ne peut pas changer ce fond, puisque dans panne de configuration, le menu relatif au fond d'écran a disparu! Il doit aussi un cheval de troie je pense, en tous cas le reste du virus qui fait se déclencher l'antivirus sans qu'il ne puisse rien faire... Je suis infesté et je ne m'en sors pas!
Quelqu'un pourrait-il m'aider!?
Merci d'avance.

cassilolo · Answer

Installes ça :

- C cleaner
- Tune Up utilities
- JV 16 Power tools
- Malware byte's
- AVG antirootkit
- Diskeeper ( défrag )
- Spyware terminator
- Ad Aware
- Spybot S&D
- Hijackthis (le résultat du scan à analyser sur leur site)
- Anti trojan Shield 2 

Impossible qu'il n'y échappe :)

cassilolo · Answer

Tu en as pour un bon moment ^^

anthony5151 · Answer

Bonsoir,


@ cassilolo :
C'est n'importe quoi de donner une liste de programmes comme ça pour régler un problème au hasard !!! Faire un diagnostique pour utiliser des outils appropriés, ça te dit quelque chose ?  C'est la base d'une réparation, en informatique ou ailleurs...


@ help_please :

Pour faire un diagnostique, fais ceci stp 

Télécharge hijackthis sur ton bureau :  http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Installe le, puis fais ceci avant de le lancer :
Va dans le menu démarrer --> Poste de travail --> disque local C --> Program Files --> Trend Micro --> Hijackthis --> cherche hijackthis.exe et fais un clic droit dessus --> renomme le en Jack.exe

Ensuite lance le et clique sur "Do a system scan and save a logfile". 
Fais un copier-coller du rapport entier sur le forum

help_please · Answer

Oui, merci Anthony parce que j'suis pas une bête en informatique et ce que j'ai fait n'a pas changé grand chose! :S Bon, je vais esayer de faire ce que tu m'as dit et de te poster ensuite le rapport!

anthony5151 · Answer

Bien, commence par ceci stp :

Télécharge SmitfraudFix : 
http://siri.urz.free.fr/Fix/SmitfraudFix.exe 

- Enregistre-le sur le bureau 

- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée 

- Un rapport sera généré, poste-le dans ta prochaine réponse stp.

Tutorial ici pour t'aider : http://www.malekal.com//tutorial_SmitFraudfix.php

help_please · Answer

Ok, merci.
Voici le rapport généré!

>>

SmitFraudFix v2.333

Rapport fait à 10:41:52,51, 08/08/2008
Executé à partir de D:\Program Files\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\Fichiers communs\AOL\1168701412\ee\AOLSoftware.exe
C:\WINDOWS\system32\LVCOMSX.EXE
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
D:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\AOL 9.0 VR\waol.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\AOL 9.0 VR\shellmon.exe
D:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre1.6.0_05\bin\jucheck.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1	www.legal-at-spybot.info
127.0.0.1	legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Angel


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Angel\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Angel\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Fast Ethernet PCI de base SiS 900 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 10.0.0.138

HKLM\SYSTEM\CCS\Services\Tcpip\..\{449C4B8B-F094-4FEE-AC60-2E28C616179E}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS1\Services\Tcpip\..\{449C4B8B-F094-4FEE-AC60-2E28C616179E}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS2\Services\Tcpip\..\{449C4B8B-F094-4FEE-AC60-2E28C616179E}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.138


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

anthony5151 · Answer

Ok, tu peux passer à la suite :

1) Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du PC sans t’arrêter (avant le logo windows) 
Un menu va apparaitre, déplace-toi avec les flèches du clavier sur Démarrer en mode sans échec puis tape Entrée. 
Une fois sur le bureau, s’il n’y a pas toutes les couleurs et autres, c’est normal ! 

Relance le programme SmitfraudFix. 
Cette fois, choisis l’option 2, répond oui à tous; 
A la fin, sauvegarde le rapport, redémarre en mode normal, copie-colle le rapport sauvegardé sur le forum.


2) Télécharge et installe Malwarebyte's Anti-Malware : http://www.malwarebytes.org/mbam/program/mbam-setup.exe 
- A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée 
- Lance Malwarebyte's Anti-Malware, laisse les Mises à jour se télécharger et referme le programme

Redémarre en "Mode sans échec" : redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec".
Choisis ta session habituelle

Lance Malwarebyte's Anti-Malware 
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
- Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
- A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
- Suppression des éléments détectés --> clique sur Supprimer la sélection 
- S'il t'es demandé de redémarrer, clique sur Yes


Poste le rapport de scan après la suppression ici

help_please · Answer

Ca a l'air d'etre réglé, mais bon comme j'suis une buse en informatique, j'te laisse vérifier.


Malwarebytes' Anti-Malware 1.24
Version de la base de données: 1033
Windows 5.1.2600 Service Pack 2

19:48:20 08/08/2008
mbam-log-8-8-2008 (19-48-20).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 169754
Temps écoulé: 2 hour(s), 15 minute(s), 42 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 26
Fichier(s) infecté(s): 35

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\Microsoft Security Adviser (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Program Files\Instant Access (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\Instant Access\Center (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\Instant Access\Multi (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\Instant Access\Multi\20080606160602 (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\Instant Access\Multi\20080606160602\Common (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\Instant Access\Multi\20080606160602\js (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\Instant Access\Multi\20080606160602\medias (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\rhcj2mj0e96v (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Thibault - x3\Application Data\ShoppingReport (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\Thibault - x3\Application Data\ShoppingReport\cs (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\Thibault - x3\Application Data\ShoppingReport\cs\db (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\Thibault - x3\Application Data\ShoppingReport\cs\dwld (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\Thibault - x3\Application Data\ShoppingReport\cs\report (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\Thibault - x3\Application Data\ShoppingReport\cs\res1 (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\Invité\Application Data\rhcj2mj0e96v (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Invité\Application Data\rhcj2mj0e96v\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Invité\Application Data\rhcj2mj0e96v\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Invité\Application Data\rhcj2mj0e96v\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Invité\Application Data\rhcj2mj0e96v\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Invité\Application Data\rhcj2mj0e96v\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Invité\Application Data\rhcj2mj0e96v\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Invité\Application Data\rhcj2mj0e96v\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Invité\Application Data\rhcj2mj0e96v\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Invité\Application Data\rhcj2mj0e96v\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Invité\Application Data\rhcj2mj0e96v\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\Microsoft Security Adviser\msfw.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Microsoft Security Adviser\msiemon.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Microsoft Security Adviser\msctrl.log (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Program Files\Microsoft Security Adviser\mssadv.log (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Program Files\Microsoft Security Adviser\mssadv_sp.log (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Program Files\Instant Access\Center\sexe69.lnk (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\Instant Access\Multi\20080606160602\Common\module.php (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\Instant Access\Multi\20080606160602\js\js_api_dialer.php (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\Instant Access\Multi\20080606160602\medias\button1.jpg (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\Instant Access\Multi\20080606160602\medias\button2.jpg (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\Instant Access\Multi\20080606160602\medias\button3.jpg (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\Instant Access\Multi\20080606160602\medias\button4.jpg (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\Instant Access\Multi\20080606160602\medias\dialer.ico (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\rhcj2mj0e96v\MFC71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcj2mj0e96v\msvcp71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcj2mj0e96v\msvcr71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcj2mj0e96v\rhcj2mj0e96v.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcj2mj0e96v\rhcj2mj0e96v.exe.local (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcj2mj0e96v\Uninstall.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Thibault - x3\Application Data\ShoppingReport\cs\Config.xml (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\Thibault - x3\Application Data\ShoppingReport\cs\db\Aliases.dbs (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\Thibault - x3\Application Data\ShoppingReport\cs\db\Sites.dbs (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\Thibault - x3\Application Data\ShoppingReport\cs\dwld\WhiteList.xip (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\Thibault - x3\Application Data\ShoppingReport\cs\report\aggr_storage.xml (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\Thibault - x3\Application Data\ShoppingReport\cs\report\send_storage.xml (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\Thibault - x3\Application Data\ShoppingReport\cs\res1\WhiteList.dbs (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphcn2mj0e96v.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcn2mj0e96v.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\photos.zip (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Documents and Settings\Invité\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:\Documents and Settings\Invité\Local Settings\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Invité\Local Settings\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Invité\Local Settings\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Invité\Local Settings\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Invité\Local Settings\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

anthony5151 · Answer

Tu as fait aussi le nettoyage de SmitfraudFix ?  As-tu le rapport (sinon ce n'est pas grave, du moment que tu as fait le nettoyage).

Peux-tu poster un nouveau rapport hijackthis stp ?

help_please · Answer

désolé de répondre si tard.
Oui, j'ai fait le nettoyage avec smitfraudfix, j'ai oublié de récupérer le rapport et de te le poster... :S
Bon, le problème a l'air d'être résolu mais comme j'suis un peu une buse en informatique, je veux pas trop m'avancer (il y a néanmoins un truc bizarre, je vois plus les miniatures de mes albums photos entre autres).
Sinon, voilà le rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:09:33, on 10/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\Fichiers communs\AOL\1168701412\ee\AOLSoftware.exe
C:\WINDOWS\system32\LVCOMSX.EXE
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre1.6.0_05\bin\jucheck.exe
C:\Program Files\Trend Micro\HijackThis\Jack.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.talti.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1168701412\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Super Audio Grabber 3.0] "D:\Program Files\BlueSprite\Super Audio Grabber 3.0\SAGrab.exe"/a
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-57989841-1500820517-725345543-1012\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Thibault - x3')
O4 - HKUS\S-1-5-21-57989841-1500820517-725345543-1012\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'Thibault - x3')
O4 - HKUS\S-1-5-21-57989841-1500820517-725345543-1012\..\Run: [AOL Fast Start] "C:\Program Files\AOL 9.0 VR\AOL.EXE" -b (User 'Thibault - x3')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-57989841-1500820517-725345543-1012 Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Thibault - x3\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'Thibault - x3')
O4 - S-1-5-21-57989841-1500820517-725345543-1012 User Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Thibault - x3\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'Thibault - x3')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - https://www.musicnotes.com/download/mnviewer.cab
O21 - SSODL: syshelps - {F4BD6688-DDAF-491A-9E43-18D48875E9DC} - syshelps.dll (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

anthony5151 · Answer

Pour être certain que le problème est bien réglé, je vais te demander d'utiliser un autre logiciel si tu le veux bien.
Attention, car c'est un programme très puissant qui peut faire des dégâts 'il est mal utilisé !  Suis bien les recommandations pour éviter les problèmes.



Fais exactement ce qui suit : 

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide :  http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ---------------------------------------------------------- 
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu ==> Avast et peut-être aussi le pare-feu Windows dans ton cas) le temps de la manipulation : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !! 
---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre ... 

Tuto ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
--------------------------------------------------------------------------------------------------------------------------------- 

Ensuite : 
double-clique sur C-Fix.exe ( = combofix.exe ) . 

Appuie sur la touche Y (Yes) pour démarrer le scan . 

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi. 
---> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

help_please · Answer

Voilà le rapport! Tout c'est bien passé pendant que le programme marchait... Dis moi ce qu'il en est!!! ComboFix 08-08-10.04 - Adrien 2008-08-11 14:09:25.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.186 [GMT 2:00] Endroit: C:\Documents and Settings\Adrien\Bureau\C-Fix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Adrien\Application Data\macromedia\Flash Player\#SharedObjects\5RXCTCFJ\interclick.com C:\Documents and Settings\Adrien\Application Data\macromedia\Flash Player\#SharedObjects\5RXCTCFJ\interclick.com\ud.sol C:\Documents and Settings\Adrien\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com C:\Documents and Settings\Adrien\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol C:\Documents and Settings\Adrien\Application Data hcj2mj0e96v C:\Documents and Settings\Thibault - x3\Application Data\macromedia\Flash Player\#SharedObjects\8FPELL89\interclick.com C:\Documents and Settings\Thibault - x3\Application Data\macromedia\Flash Player\#SharedObjects\8FPELL89\interclick.com\ud.sol C:\Documents and Settings\Thibault - x3\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com C:\Documents and Settings\Thibault - x3\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol C:\WINDOWS\system32\3.tmp C:\WINDOWS\system32\dbcdcdeac_z.dll C:\WINDOWS\system32\MSINET.oca C:\WINDOWS\system32\wxmmin.dll . ((((((((((((((((((((((((((((( Fichiers créés 2008-07-11 to 2008-08-11 )))))))))))))))))))))))))))))))))))) . 2008-08-08 10:42 . 2008-08-08 16:58 3,490 --a------ C:\WINDOWS\system32 mp.reg 2008-08-07 12:26 . 2008-08-07 12:26 d-------- C:\Program Files\Trend Micro 2008-08-05 17:20 . 2008-08-05 17:20 d-------- C:\Documents and Settings\Angel\Application Data\Malwarebytes 2008-08-05 17:07 . 2008-08-05 17:07 23 --a------ C:\WINDOWS\system32\feeacf_z.ocx 2008-08-05 16:07 . 2008-08-05 16:07 d-------- C:\Documents and Settings\Angel\Application Data\TuneUp Software 2008-08-05 15:16 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-08-05 15:16 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-08-05 15:16 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-08-05 15:16 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-08-05 15:16 . 2008-07-02 13:33 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-08-05 15:16 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe 2008-08-05 15:16 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-08-05 15:16 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-08-05 15:16 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-08-05 14:41 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2008-08-05 14:33 . 2008-08-05 14:33 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2008-08-04 23:13 . 2008-08-05 00:25 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-08-04 21:50 . 2008-08-04 21:50 d-------- C:\Documents and Settings\Invité\Application Data\Malwarebytes 2008-08-04 00:03 . 2008-08-04 00:03 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-08-04 00:03 . 2008-08-04 00:03 d-------- C:\Documents and Settings\Adrien\Application Data\Malwarebytes 2008-08-01 16:16 . 2008-08-01 16:16 d-------- C:\Downloads 2008-08-01 16:16 . 2008-08-01 16:18 d-------- C:\Documents and Settings\Angel\Application Data\GetRightToGo . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-10 16:11 --------- d-----w C:\Documents and Settings\Angel\Application Data\AdobeUM 2008-08-10 16:03 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2008-08-10 16:00 --------- d-----w C:\Program Files\Norton Security Scan 2008-07-27 14:17 --------- d-----w C:\Program Files\VideoLAN 2008-07-27 14:16 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-07-27 14:16 --------- d-----w C:\Program Files\SanDisk 2008-07-27 14:02 --------- d-----w C:\Program Files\OpenOffice.org 2.3 2008-07-27 13:59 --------- d-----w C:\Documents and Settings\Adrien\Application Data\OpenOffice.org2 2008-07-15 13:17 --------- d-----w C:\Documents and Settings\Adrien\Application Data\AdobeUM 2008-07-05 19:02 --------- d-----w C:\Documents and Settings\Angel\Application Data\OpenOffice.org2 2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers cpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers cpip6.sys 2008-06-20 08:15 --------- d-----w C:\Documents and Settings\Invité\Application Data\ArcSoft 2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2001-11-23 04:08 712,704 -c--a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Super Audio Grabber 3.0"="D:\Program Files\BlueSprite\Super Audio Grabber 3.0\SAGrab.exe/a" [X] "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360] "updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15 106496] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648] "AOLSAV"="C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe" [2004-11-10 17:18 80384] "AOLDialer"="C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe" [2007-06-21 12:01 70952] "Omnipage"="C:\Program Files\ScanSoft\OmniPageSE\opware32.exe" [2002-02-20 21:01 49152] "Easy-PrintToolBox"="C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 03:10 409600] "HostManager"="C:\Program Files\Fichiers communs\AOL\1168701412\ee\AOLSoftware.exe" [2006-11-17 15:16 50736] "LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 18:32 221184] "avast!"="D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-02-01 00:13 385024] "iTunesHelper"="D:\Program Files\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2008-04-16 15:03 185896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 16:09 15360] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe [2005-09-23 22:05:26 29696] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.VP31"= vp31vfw.dll "VIDC.ACDV"= ACDV.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\AOL 9.0\waol.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\Program Files\Fichiers communs\AOL\ACS\AOLAcsd.exe"= "C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe"= "C:\Program Files\AOL 9.0a\waol.exe"= "C:\Program Files\AOL 9.0b\waol.exe"= "C:\Program Files\Fichiers communs\AOL\1168701412\ee\aolsoftware.exe"= "C:\Program Files\AOL 9.0 VR\waol.exe"= "C:\Program Files\Fichiers communs\AOL\TopSpeed\3.0\aoltpsd3.exe"= "C:\Program Files\Fichiers communs\AOL\Loader\aolload.exe"= "C:\Program Files\Fichiers communs\AOL\System Information\sinf.exe"= "D:\Program Files\Mozilla Firefox\firefox.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "D:\Program Files\iTunes\iTunes.exe"= R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37] S3 tsusbser;Toshiba TS705 Serial Port;C:\WINDOWS\system32\DRIVERS susbser.sys [2006-08-07 10:44] *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' 2008-07-28 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57] 2008-08-11 C:\WINDOWS\Tasks\Maintenance en 1 clic.job - D:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe [] 2008-08-10 C:\WINDOWS\Tasks\Norton Security Scan.job - C:\Program Files\Norton Security Scan\Nss.exe [2008-01-09 04:08] . - - - - ORPHANS REMOVED - - - - HKLM-Run-Cmaudio - cmicnfg.cpl Notify-WgaLogon - (no file) MSConfigStartUp-WeatherDPA - C:\Program Files\Zango\bin\10.3.37.0\Weather.exe . ------- Supplementary Scan ------- . FireFox -: Profile - C:\Documents and Settings\Adrien\Application Data\Mozilla\Firefox\Profiles\7yzbpcy5.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.msn.fr ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-11 14:17:30 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run AOLSAV = C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe?e????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? Balayage des fichiers cachés ... ************************************************************************** . Temps d'accomplissement: 2008-08-11 14:21:56 ComboFix-quarantined-files.txt 2008-08-11 12:20:53 Pre-Run: 571,617,280 octets libres Post-Run: 2,580,496,384 octets libres 155 --- E O F --- 2008-07-23 16:12:33

anthony5151 · Answer

Toujours avec toutes les protections désactivées et aucun programme ouvert, fais ceci :


Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
File:: 
C:\WINDOWS\system32\feeacf_z.ocx

Folder:: 
C:\Downloads

Registry:: 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"syshelps"=

------------------------------------------------------------------

- Enregistre ce fichier sur ton bureau (et pas ailleurs !) sous le nom CFScript.txt
- Quitte le Bloc Notes 

·  Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien :
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide. 
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal ! 
Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

help_please · Answer

Salut,
J'ai essayé de faire comme tu m'as dit mais ça n'a pas marché. J'ai bien créé le .txt et l'ai ensuite glissé sur l'icône du programme mais la fameuse fenêtre bleue n'est pas apparue, le programme a fait un examen comme la première fois... Comment cela se fait?

anthony5151 · Answer

Est-ce que tu peux poster le rapport qu'il a généré pour voir stp ?

As-tu bien nommé le fichier CFScript.txt ?
Tu n'avais pas laissé de ligne vide au début de ce fichier texte ?

help_please · Answer

Oui oui j'avais bien tout fait! :) Voici le rapport: ComboFix 08-08-11.01 - Adrien 2008-08-13 0:08:31.3 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.276 [GMT 2:00] Endroit: C:\Documents and Settings\Adrien\Bureau\C-Fix.exe Command switches used :: C:\Documents and Settings\Adrien\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: C:\WINDOWS\system32\feeacf_z.ocx . ((((((((((((((((((((((((((((( Fichiers créés 2008-07-12 to 2008-08-12 )))))))))))))))))))))))))))))))))))) . 2008-08-08 10:42 . 2008-08-08 16:58 3,490 --a------ C:\WINDOWS\system32 mp.reg 2008-08-07 12:26 . 2008-08-07 12:26 d-------- C:\Program Files\Trend Micro 2008-08-05 17:20 . 2008-08-05 17:20 d-------- C:\Documents and Settings\Angel\Application Data\Malwarebytes 2008-08-05 16:07 . 2008-08-05 16:07 d-------- C:\Documents and Settings\Angel\Application Data\TuneUp Software 2008-08-05 15:16 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-08-05 15:16 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-08-05 15:16 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-08-05 15:16 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-08-05 15:16 . 2008-07-02 13:33 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-08-05 15:16 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe 2008-08-05 15:16 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-08-05 15:16 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-08-05 15:16 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-08-05 14:41 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2008-08-05 14:33 . 2008-08-05 14:33 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2008-08-04 23:13 . 2008-08-05 00:25 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-08-04 21:50 . 2008-08-04 21:50 d-------- C:\Documents and Settings\Invité\Application Data\Malwarebytes 2008-08-04 00:03 . 2008-08-04 00:03 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-08-04 00:03 . 2008-08-04 00:03 d-------- C:\Documents and Settings\Adrien\Application Data\Malwarebytes 2008-08-01 16:16 . 2008-08-01 16:18 d-------- C:\Documents and Settings\Angel\Application Data\GetRightToGo . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-11 14:40 --------- d-----w C:\Program Files\Java 2008-08-11 12:33 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2008-08-10 16:11 --------- d-----w C:\Documents and Settings\Angel\Application Data\AdobeUM 2008-08-10 16:00 --------- d-----w C:\Program Files\Norton Security Scan 2008-07-27 14:17 --------- d-----w C:\Program Files\VideoLAN 2008-07-27 14:16 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-07-27 14:16 --------- d-----w C:\Program Files\SanDisk 2008-07-27 14:02 --------- d-----w C:\Program Files\OpenOffice.org 2.3 2008-07-27 13:59 --------- d-----w C:\Documents and Settings\Adrien\Application Data\OpenOffice.org2 2008-07-15 13:17 --------- d-----w C:\Documents and Settings\Adrien\Application Data\AdobeUM 2008-07-05 19:02 --------- d-----w C:\Documents and Settings\Angel\Application Data\OpenOffice.org2 2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers cpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers cpip6.sys 2008-06-20 08:15 --------- d-----w C:\Documents and Settings\Invité\Application Data\ArcSoft 2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2001-11-23 04:08 712,704 -c--a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL . ((((((((((((((((((((((((((((( snapshot@2008-08-11_14.20.09.67 ))))))))))))))))))))))))))))))))))))))))) . - 2008-02-21 23:23:35 135,168 -c--a-w C:\WINDOWS\system32\java.exe + 2008-06-09 23:21:01 135,168 ----a-w C:\WINDOWS\system32\java.exe - 2008-02-21 23:23:39 135,168 -c--a-w C:\WINDOWS\system32\javaw.exe + 2008-06-09 23:21:04 135,168 ----a-w C:\WINDOWS\system32\javaw.exe - 2008-02-22 00:33:32 139,264 -c--a-w C:\WINDOWS\system32\javaws.exe + 2008-06-10 00:32:34 139,264 ----a-w C:\WINDOWS\system32\javaws.exe - 2008-05-29 23:35:11 17,486,968 -c--a-w C:\WINDOWS\system32\MRT.exe + 2008-06-25 16:15:46 17,972,344 -c--a-w C:\WINDOWS\system32\MRT.exe + 2008-08-12 20:41:36 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_4e0.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Super Audio Grabber 3.0"="D:\Program Files\BlueSprite\Super Audio Grabber 3.0\SAGrab.exe/a" [X] "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360] "updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15 106496] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648] "AOLSAV"="C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe" [2004-11-10 17:18 80384] "AOLDialer"="C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe" [2007-06-21 12:01 70952] "Omnipage"="C:\Program Files\ScanSoft\OmniPageSE\opware32.exe" [2002-02-20 21:01 49152] "Easy-PrintToolBox"="C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 03:10 409600] "HostManager"="C:\Program Files\Fichiers communs\AOL\1168701412\ee\AOLSoftware.exe" [2006-11-17 15:16 50736] "LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 18:32 221184] "avast!"="D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-02-01 00:13 385024] "iTunesHelper"="D:\Program Files\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2008-04-16 15:03 185896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 16:09 15360] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe [2005-09-23 22:05:26 29696] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\WgaLogon] [BU] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.VP31"= vp31vfw.dll "VIDC.ACDV"= ACDV.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\AOL 9.0\waol.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\Program Files\Fichiers communs\AOL\ACS\AOLAcsd.exe"= "C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe"= "C:\Program Files\AOL 9.0a\waol.exe"= "C:\Program Files\AOL 9.0b\waol.exe"= "C:\Program Files\Fichiers communs\AOL\1168701412\ee\aolsoftware.exe"= "C:\Program Files\AOL 9.0 VR\waol.exe"= "C:\Program Files\Fichiers communs\AOL\TopSpeed\3.0\aoltpsd3.exe"= "C:\Program Files\Fichiers communs\AOL\Loader\aolload.exe"= "C:\Program Files\Fichiers communs\AOL\System Information\sinf.exe"= "D:\Program Files\Mozilla Firefox\firefox.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "D:\Program Files\iTunes\iTunes.exe"= R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37] S3 tsusbser;Toshiba TS705 Serial Port;C:\WINDOWS\system32\DRIVERS susbser.sys [2006-08-07 10:44] *Newly Created Service* - ATWPKT2 . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' 2008-08-11 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57] 2008-08-12 C:\WINDOWS\Tasks\Maintenance en 1 clic.job - D:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe [] 2008-08-10 C:\WINDOWS\Tasks\Norton Security Scan.job - C:\Program Files\Norton Security Scan\Nss.exe [2008-01-09 04:08] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-13 00:11:41 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run AOLSAV = C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe?e????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? Balayage des fichiers cachés ... ************************************************************************** . Temps d'accomplissement: 2008-08-13 0:14:50 ComboFix-quarantined-files.txt 2008-08-12 22:13:46 ComboFix2.txt 2008-08-12 13:06:32 ComboFix3.txt 2008-08-11 12:21:57 Pre-Run: 2,227,761,152 octets libres Post-Run: 2,217,742,336 octets libres 147 --- E O F --- 2008-08-11 12:48:34

anthony5151 · Answer

Excuse-moi, j'étais parti en vacances, et j'ai été un peu occupé depuis que je suis rentré.
Es-tu encore là, et as-tu encore des problèmes ?

Sinon, ton rapport Combofix ne montre plus rien de méchant, peux-tu poster un dernier rapport hijackthis stp ?

(SPYWARE) Warning Spyware detected on your...

17 réponses

Discussions similaires

Newsletters