Microsoft WARNING Spyware

Question

Bonsoir à tous;

J'ai un message Microsoft sous forme d'image fixe ineffaçable au centre de l'écran, sur laquelle est indiqué

          WARNING Spyware detected on your computeur !


      - Warning ! Win 32/Adware.Virtumonde         detected on your computeur                  Danger !

      - Warning ! Win 32/PrivacyRemover.M64        detected on your computeur                  Danger !


J'ai Spybot - Search & Destroy qui ne trouve pas de défaut
Et j'ai  Ad-Aware  qui s'arrête à mi-chemin et l'ordinateur s'éteint et se rallume


Donc, au secours car je n'y comprends rien et je ne sais pas comment m'en sortir

NB: Microsoft me proose de m'abonner à son antivirus

Destrio5 · Answer

Salut,

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

esej · Answer

C'est vraiment incompréhensible Endroit: C:\Documents and Settings\espeja1\Bureau\combofix.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\Documents and Settings\All Users\Bureau\Antivirus XP 2008.lnk C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008.lnk C:\Documents and Settings\espeja1\Application Data hcrn1j0en53 C:\Documents and Settings\LocalService\Application Data\658087141.exe C:\Documents and Settings\LocalService\Application Data hcrn1j0en53 C:\Program Files\Internet Explorer\setupapi.dll C:\WINDOWS\system32\blphcvn1j0en53.scr C:\WINDOWS\system32\lphcvn1j0en53.exe C:\WINDOWS\system32\phcvn1j0en53.bmp C:\WINDOWS\system32\pphcvn1j0en53.exe . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_CBEVTSVC ((((((((((((((((((((((((((((( Fichiers créés 2008-07-23 to 2008-08-23 )))))))))))))))))))))))))))))))))))) . 2008-08-23 23:36 . 2008-08-23 23:36 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-08-23 17:19 . 2008-08-24 01:45 86,804 --a------ C:\WINDOWS\system32\drivers\2671c692.sys 2008-07-30 07:38 . 2008-07-30 07:38 d-------- C:\Program Files\Sun . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-23 23:44 --------- d-----w C:\Program Files\Wanadoo 2008-08-23 23:39 --------- d-----w C:\Program Files\Eraser 2008-08-23 21:37 --------- d-----w C:\Program Files\Lavasoft 2008-08-23 19:56 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-08-23 19:39 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2008-08-23 18:53 --------- d-----w C:\Program Files\Java 2008-07-25 21:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-07-17 10:29 --------- d-----w C:\Program Files\eMule 2008-07-08 12:04 --------- d-----w C:\Program Files\CapAlpha 2008-07-01 06:00 --------- d-----w C:\Documents and Settings\espeja1\Application Data\vlc 2008-06-24 06:32 --------- d-----w C:\Documents and Settings\espeja1\Application Data\dvdcss 2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-18 09:19 560 ----a-w C:\Documents and Settings\espeja1\Application Data\ViewerApp.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360] "Eraser"="C:\Program Files\Eraser\eraser.exe" [2003-07-25 11:15 536576] "WOOKIT"="C:\Program Files\Wanadoo\GestMaj.exe" [2004-10-14 16:55 32768] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-28 20:24 68856] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 18:41 1832272] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "FLMOFFICE4DMOUSE"="C:\Program Files\Browser Mouse\moffice.exe" [2007-04-18 16:41 806912] "SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 11:38 866816] "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49 20480] "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55 32768] "UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2006-09-07 19:19 15872] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 18:42 75392] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ e-Carte Bleue Caisse d'Epargne.lnk - C:\Program Files\e-Carte Bleue Caisse d'Epargne\ecbl-cnce.exe [2008-06-09 16:33:53 278528] Picture Package Menu.lnk - C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe [2007-04-18 23:03:39 151552] Picture Package VCD Maker.lnk - C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe [2007-04-18 23:03:38 106496] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"= ctwdm32.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\WINDOWS\system32\sessmgr.exe"= "C:\Program Files\eMule\emule.exe"= [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c367774a-ecbc-11db-9f70-806d6172696f}] \Shell\AutoRun\command - E:\setuppro.EXE /AUTORUN \Shell\configure\command - E:\setuppro.EXE \Shell\install\command - E:\setuppro.EXE . . ------- Supplementary Scan ------- . R0 -: HKCU-Main,Start Page = https://www.boursorama.com/ R0 -: HKCU-Main,Search Page = hxxp://www.google.com R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 -: { - C:\Program Files\Messenger\msmsgs.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-24 01:45:53 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\2671c692] "ImagePath"="\SystemRoot\System32\drivers\2671c692.sys" . Temps d'accomplissement: 2008-08-24 1:47:16 ComboFix-quarantined-files.txt 2008-08-23 23:46:59 Pre-Run: 33,767,784,448 octets libres Post-Run: 33,757,450,240 octets libres 112 --- E O F --- 2008-07-09 22:08:36

Destrio5 · Answer

- Télécharge et installe MalwareByte's Anti-Malware :
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm

- Mets-le à jour

- Redémarre en mode sans échec (Recommandé) :
https://www.malekal.com/demarrer-windows-mode-sans-echec/

- Choisis ta session habituelle

- Fais un scan complet avec MalwareByte's Anti-Malware

- Supprime tout ce que le logiciel trouve, enregistre le rapport

- Redémarre en mode normal et poste le rapport ici

Tutorial :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

esej · Answer

En mode sans échec on me demande :


Si vous connaissez votre nom d'utilisateur et votre mot de passe (qui peut être vide), saisissez ces informations puis cliquez sur OK.
Sinon tentez comme utilisateur Administrateur et aucun mot de passe


Nom d'utilisateur pas de pble mais mot de passe je ne m'en souviens plus  ...............

Destrio5 · Answer

En mode normal alors.

esej · Answer

Voilà le rapport





Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1062
Windows 5.1.2600 Service Pack 2

02:57:47 24/08/2008
mbam-log-08-24-2008 (02-57-34).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 71943
Temps écoulé: 17 minute(s), 56 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\etlrlws.bmdr (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\etlrlws.bopn (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\etlrlws.toolbar.1 (Trojan.FakeAlert) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{21DFF357-AF73-4DFF-B76E-8D6310E149E2}\RP429\A0060449.dll (Trojan.Zlob) -> No action taken.
C:\WINDOWS\fmsxwqs.exe (Trojan.FakeAlert) -> No action taken.

Destrio5 · Answer

Tu peux appuyer sur Supprimer la sélection.

esej · Answer

Merci pour tout Destrio

J'ai donc appuyer et fait disparaître les " mauvais esprits " de l'ordinateur, résultat:

   - "l'image Microsoft " a disparu
   - mais j'ai toujours Ad-Aware qui s'arrête à mi-chemin et l'ordinateur s'éteint et se rallume

Destrio5 · Answer

Je te fais un script pour ComboFix.

Destrio5 · Answer

1/

---> Clique sur Démarrer, Exécuter, tape notepad clique sur OK.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :



KillAll::

File::
C:\WINDOWS\System32\drivers\2671c692.sys

Driver::
2671c692

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"swg"=-
"SpybotSD TeaTimer"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Adobe Reader Speed Launcher"=-
"SunJavaUpdateSched"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c367774a-ecbc-11db-9f70-806d6172696f}] 
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\2671c692] 



---> Colle la sélection dans le bloc-notes

---> Enregistre ce fichier sur le bureau (Impératif)

---> Nom du fichier : CFScript
---> Type du fichier : tous les fichiers
---> Clique sur Enregistrer
---> Quitte le bloc-notes


2/

---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://img.photobucket.com/albums/v666/sUBs/CFScriptB-4.gif

[*] Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

[*] Une fois le scan achevé, un rapport va s'afficher : poste-le

[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt

esej · Answer

Je suis allé faire un petit dodo, voilà le rapport Command switches used :: C:\Documents and Settings\espeja1\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: C:\WINDOWS\System32\drivers\2671c692.sys . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\System32\drivers\2671c692.sys . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_2671c692 ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-24 to 2008-08-24 )))))))))))))))))))))))))))))))))))) . 2008-08-24 03:00 . 2008-08-24 03:01 1,374 --a------ C:\WINDOWS\imsins.BAK 2008-08-24 02:31 . 2008-08-24 02:32 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-08-24 02:31 . 2008-08-24 02:31 d-------- C:\Documents and Settings\espeja1\Application Data\Malwarebytes 2008-08-24 02:31 . 2008-08-24 02:31 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-08-24 02:31 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-24 02:31 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-23 23:36 . 2008-08-23 23:36 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-08-23 15:47 . 2008-05-01 16:31 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll 2008-07-30 07:38 . 2008-07-30 07:38 d-------- C:\Program Files\Sun . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-24 07:50 --------- d-----w C:\Program Files\Wanadoo 2008-08-24 01:47 --------- d-----w C:\Program Files\Eraser 2008-08-23 21:37 --------- d-----w C:\Program Files\Lavasoft 2008-08-23 19:56 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-08-23 19:39 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2008-08-23 18:53 --------- d-----w C:\Program Files\Java 2008-07-25 21:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-07-17 10:29 --------- d-----w C:\Program Files\eMule 2008-07-08 12:04 --------- d-----w C:\Program Files\CapAlpha 2008-07-01 06:00 --------- d-----w C:\Documents and Settings\espeja1\Application Data\vlc 2008-06-24 06:32 --------- d-----w C:\Documents and Settings\espeja1\Application Data\dvdcss 2008-06-18 09:19 560 ----a-w C:\Documents and Settings\espeja1\Application Data\ViewerApp.dat . ((((((((((((((((((((((((((((( snapshot_2008-08-24_ 9.37.55.68 ))))))))))))))))))))))))))))))))))))))))) . + 2008-08-24 07:49:37 16,384 ----atw C:\WINDOWS emp\Perflib_Perfdata_614.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360] "Eraser"="C:\Program Files\Eraser\eraser.exe" [2003-07-25 11:15 536576] "WOOKIT"="C:\Program Files\Wanadoo\GestMaj.exe" [2004-10-14 16:55 32768] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "FLMOFFICE4DMOUSE"="C:\Program Files\Browser Mouse\moffice.exe" [2007-04-18 16:41 806912] "SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 11:38 866816] "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49 20480] "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55 32768] "UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2006-09-07 19:19 15872] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 18:42 75392] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"= ctwdm32.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\WINDOWS\system32\sessmgr.exe"= "C:\Program Files\eMule\emule.exe"= . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-24 09:49:47 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\FTRTSVC.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\PROGRA~1\Wanadoo\TaskBarIcon.exe C:\WINDOWS\system32\devldr32.exe C:\Program Files\Browser Mouse\mouse32a.exe C:\Program Files\Wanadoo\GestionnaireInternet.exe C:\Program Files\e-Carte Bleue Caisse d'Epargne\ecbl-cnce.exe C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe C:\Program Files\Wanadoo\ComComp.exe C:\PROGRA~1\Wanadoo\Toaster.exe C:\PROGRA~1\Wanadoo\Inactivity.exe C:\PROGRA~1\Wanadoo\PollingModule.exe C:\WINDOWS\system32\ALERTM~1\ALERTM~1.EXE C:\WINDOWS\system32\verclsid.exe . ************************************************************************** . Temps d'accomplissement: 2008-08-24 9:52:16 - machine was rebooted [espeja1] ComboFix-quarantined-files.txt 2008-08-24 07:52:12 ComboFix2.txt 2008-08-23 23:47:17 Pre-Run: 33,626,738,688 octets libres Post-Run: 33,618,067,456 octets libres 119 --- E O F --- 2008-08-24 01:01:23

Destrio5 · Answer

- Télécharge HijackThis V 2.02 (HijackThis Installer) :
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

- Fais un double-clic sur HJTInstall.exe afin de lancer l'installation

- Clique sur Install ensuite sur I Accept

- Clique sur Do a scan system and save log file

- Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse.

esej · Answer

Voilà la suite 


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:11:02, on 24/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Browser Mouse\moffice.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eraser\eraser.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\e-Carte Bleue Caisse d'Epargne\ecbl-cnce.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\Program Files\Browser Mouse\MOUSE32A.EXE
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Wanadoo\Watch.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.boursorama.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6f74-2d53-2644-206d7942484f} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Browser Mouse\moffice.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: e-Carte Bleue Caisse d'Epargne.lnk = C:\Program Files\e-Carte Bleue Caisse d'Epargne\ecbl-cnce.exe
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O11 - Options group: [java_sun] Java (Sun)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {cafeefac-0016-0000-0005-abcdeffedcba} (Java Plug-in 1.6.0_05) - 
O17 - HKLM\System\CCS\Services\Tcpip\..\{14FE5AA9-8475-4EB3-A6BC-6BD5F22E892B}: NameServer = 80.10.246.1 81.253.149.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{14FE5AA9-8475-4EB3-A6BC-6BD5F22E892B}: NameServer = 80.10.246.1 81.253.149.2
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O24 - Desktop Component 0: (no name) - https://www.entreparticuliers.com//img/indiceprixtrimestri.GIF

Destrio5 · Answer

Désinstalle Avast et installe Antivir :
http://dl1.avgate.net/down/windows/antivir_workstation_winu_fr_h.exe

esej · Answer

J'ai remplacé Avast par Antivir

Je récapitule
   -  je n'ai plus cette "image Microsoft"
   -  je peux dérouler Ad-Aware complètement

Donc, ces 2 ples sont maintenant réglés et je te remercie le plus sincèrement.

Destrio, je ne voudrais pas abuser, mais maintenant notamment dans ma messagerie lorsque je reçois des e-mails avec des liens internet ; je n'arrive plus à les ouvrir . Les liens qiue tu m'as donnés dans ton aide, j'arrive à les ouvrir très bien.

Destrio5 · Answer

Tu utilises un logiciel pour ta messagerie ?

esej · Answer

J'ai une messagerie "orange"; je suis resté wanadoo
Peut-être interférence avec Internet explorer
En cas lorsque je clique c'est une page web vierge qui apparaît sans savoir si c'est sur internet explorer ou orange

Je dis peut-être des choses complètement nulles

Destrio5 · Answer

Tu utilises Internet Explorer pour aller sur le site Orange pour consulter tes mails ?

esej · Answer

Avant c'était avec orange

Destrio5 · Answer

Comment ça ?

esej · Answer

Lorsque je clique sur "les messages" de la boîte de réception orange; ce qui s'ouvre c'est la boîte de réception Outlook Express

Destrio5 · Answer

Je vois.

Depuis quand as-tu ce problème ?

esej · Answer

Depuis les manips que l'on a faites

esej · Answer

L'explication en réponse 21 c'est ce qui c'est tjrs passé
La "nouveauté" c'est que je ne puisse pas ouvrir la page web correspondant au lien sur lequel je clique

esej · Answer

même les raccoursis bureaux, je n'arrive pas à ouvrir la page web correspondante
Un message me dit Windows ne trouve pas "le lien" vérifiez que vous avez bien entré le nom correctement et essayez à nouveau

Destrio5 · Answer

Fais cette manip' :

* Télécharge SDFix (par Andy Manchesta) et sauvegarde-le sur ton bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

* Double-clique sur SDFix.exe et choisis Install pour l'extraire dans son dossier sur le bureau.
* Redémarre le PC en mode sans échec :
https://www.malekal.com/demarrer-windows-mode-sans-echec/
* Choisis ton compte.

Déroule la liste des instructions ci-dessous :
* Ouvre le dossier SDFix qui vient d'être créé sur le bureau et double-clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le nettoyage.
* Quand il te le demandera, appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long à redémarrer car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du bureau, l'outil aura terminé et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton bureau.
* Le rapport SDFix s'ouvrira et il sera enregistré dans le dossier SDFix sous le nom Report.txt.
* Enfin, copie/colle le rapport du fichier Report.txt.

esej · Answer

Pour le sans échec , je n'ose pas me lancer car je ne me souviens plus du mot de passe
Puis-je le faire fermeture et allumage "classique" ?

Destrio5 · Answer

Mode sans échec obligatoire.

Prends ta session où tu connais le mot de passe.

esej · Answer

Pour la session : je ne l'ouvre et la ferme jamais
désolé ce n'est pas de la mauvaise volonté

Destrio5 · Answer

Tu fais comment alors pour démarrer le PC ?

esej · Answer

j'appuie sur le bouton d'allumage et c'est parti

Destrio5 · Answer

Tu choisis pas ta session ?

esej · Answer

non

Destrio5 · Answer

Donc il n'y a pas de mot de passe.

esej · Answer

et s'il en a un ; je suis coincé ? je ne pourrais pas m'en sortir ?

Destrio5 · Answer

Pas de raison qu'il y en ait. Ne prends pas la session Administrateur.

De toute façon, au pire, tu fais Redémarrer et il redémarrera en mode normal.

esej · Answer

ok je me lance

esej · Answer

"Je reviens de l'enfer"

Voilà le rapport


[b]SDFix: Version 1.219 [/b]
Run by Administrateur on 24/08/2008 at 22:16

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-24 22:45:18
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0

Destrio5 · Answer

Pourquoi de l'enfer ?

esej · Answer

c'était la 1ère fois que j'allais dans le bios et je n'arrivait plus à revenir à la config normale ; enfin j'y suis arrivé

Destrio5 · Answer

Pourquoi tu parles du BIOS ??

esej · Answer

pardon je voulais dire  mode sans échec , bios m'est venu comme cela

Destrio5 · Answer

Toujours le problème des liens ?

esej · Answer

oui tjrs !
Le mieux ne serait-il pas de repartir d'une sauvegarde antérieure à ces ples de liens mais postérieure à mes pbles de spywares et régler ces derniers autrement maintenant que l'on a les réponses ?

esej · Answer

Le retour à la sauvegarde pas possible: trop de modifs
Le rapport précédent disait qque chose ?

Destrio5 · Answer

Mets à jour Internet Explorer :
http://www.microsoft.com/downloads/details.aspx?FamilyId=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=fr

esej · Answer

Ca semble marcher
C'est ce que je comptais faire ce matin en me levant

Je réitère mes remerciements à ton égard et tu as fait oeuvre d'une grande patience pour aller au bout
C'est la première fois que j'utilise ce forum et c'est une réussite

Pour moi le pble est donc clos

Destrio5 · Answer

Bien.

---> Télécharge Tools Cleaner sur ton bureau.
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
Clique sur Recherche et laisse le scan agir.
Clique sur Suppression pour finaliser. 
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter pour obtenir le rapport. 
Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger :
http://www.infos-du-net.com/forum/272480-11-desactiver-activer-restauration-systeme

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
https://www.vulgarisation-informatique.com/creer-point-restauration.php

;)

esej · Answer

voilà le rapport


-->- Recherche: 

C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\espeja1\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\espeja1\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\espeja1\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\espeja1\Bureau\HJTInstall.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\espeja1\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\espeja1\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\espeja1\Bureau\ComboFix.exe: Erreur de suppression !
C:\Documents and Settings\espeja1\Bureau\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Destrio5 · Answer

Supprime ComboFix qui est sur ton bureau.

esej · Answer

j'ai respecté tes instructions

Il me reste sur mon bureau ; ToolsCleaner2  et  Malwarebytes' Anti-Malware = je les garde ?

Destrio5 · Answer

ToolsCleaner2, tu peux virer.

MBAM, ça peut toujours servir.

esej · Answer

Merci l'ami pour tout

Microsoft WARNING Spyware

53 réponses

Votre réponse

Newsletters