Sujet Précédent Sujet Suivant

Warning message

Résolu
pcmace Messages postés 8 Statut Membre -  
 pcmace -
Bonjour,

J'obtiens depuis aujourd'hui (30.08.2008) en fond d'écran à chaque redémarrage avec un fond tout bleu (ou blanc) et un encadré où est inscrit:

Warning! Spyware dectected on your computer! Install an antivirus or spyware remover to clean your computer.

Pourriez vous m'aider à l'éliminer. merci par avance pour vote aide et votre compétence.

Configuration: Windows XP
A voir également:

41 réponses

Précédent
Réponse 21 / 41
pcmace
 
petite question :

M'avez-vous bien envoyé toute la liste car je n'ai rien trouvé en gras ,
0
Utilisateur anonyme
 
charge aussi 1 pare feu:
ComodoFirewallPro 2.4 En Français et simple aussi.

* ComodoFirewallPro 2.4
* Téléchargement de Comodo
* Tuto de config'
tu n a ni pare feu ni anti virus...(sauf antivir si tu l as installé)
ss tt cela infection automatique.....
a+
0
Réponse 22 / 41
Utilisateur anonyme
 
repprenons....
tu peux me tutoyer... c est plutot la regle sur ce forum....
as tu vraiment telechargé ANTIVIR...,
0
Réponse 23 / 41
pcmace
 
oui mais je crois que j'ai un sérieux problème :

antivir m'affiche en boucle un trojan sys 32 hovzn.dll et même en cliquant sur delete, celui-ci ne disparait pas

même chose avec unlocker.

J'ai l'impression qu'à chaque redémarrage les 3 fichier suivants se réinstallent tous seuls :

- lphcl91j0EV57.exe
- hovznfi.dll
- antivirus xp 2008 se réinstalle sans que je fasse quoi que ce soit.

Je n'y comprends plus rien (surtout que je ne me connecte pas forcément à internet)

help !
0
Utilisateur anonyme
 
j avoue etre 1 peu desemparé....
ne t inquierte pas.....
j attends la solution
j ai transmit ton probleme a ceux qui sont + haut +fort ....etc
je te tiens au courrant
a+
0
Utilisateur anonyme
 
je t ai mis entre de bonnes mains.....LYONNAIS devrait tev repondre.....et definitevement t aider...
dit moi.....
a+
0
pcmace > Utilisateur anonyme
 
Merci beaucoup pour ton aide et celle de Lyonnais92.
Je n'ai plus de problème.

Bravo pour votre travail.

Bye
0
Réponse 24 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

à la demande de archet9.

J'ai besoin de vérifier certains fichiers.

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
========================================

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\hovznfi32.dll

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

Fais la même chose avec :

C:\WINDOWS\system32\hovznfi.dll
C:\WINDOWS\system32\windrv.sys
C:\WINDOWS\system32\drivers\Gou41.sys
C:\WINDOWS\System32\Drivers\Wel53.sys
C:\WINDOWS\system32\drivers\restore.sys
C:\WINDOWS\system32\pphcl91j0ev57.exe

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Déoche] « afficher les dossiers et fichiers cachés »

[Coche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
========================================
0
Utilisateur anonyme
 
merci a toi....
a+
0
pcmace
 
merci pour ton aide ,

voici le seul rapport :

0 bytes size received / Se ha recibido un archivo vacio

Je précise que j'ai testé "CA ANTIVIRUS SUITE, GRATUIT 30 jours" et le message "warning message" n'apparait plus.
Toutefois un message de fichier infecté s'affiche à chaque démarrage avec CA ANTIVIRUS SUITE.

Dois-je désintaller CA antivirus qui ne fera que retarder le retour du message ?

merci
0
pcmace
 
petite précision,

CA antivirus me précise à chaque démarrage que les fichiers suivants sont en quarantaine :
c:\windows\system32\drivers\tcpsr.sys
c:\windows\temp\tt3.tmp.vbs
c:\windows\system32\blphcl91j0ev57.scr

Mais même lorsque que je demande la suppression des fichiers en quarantaine, ces derniers reviennent en quarantaine à chaque démarrage
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

supprime ComboFix qui est sur ton Bureau.

refais le post 31 (ComboFix) de sorte que on ait la dernière version de l'outil.

0
Réponse 26 / 41
pcmace
 
message bien reçu,

(pour information, mon pare-feu me signale que
C:\WINDOWS\system32\lphcl91j0ev57.exe tente de se connecter à internet)
------------------------------------
voici le rapport combofix:

ComboFix 08-09-05.10 - jcm 2008-09-09 13:51:42.6 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.710 [GMT 2:00]
Endroit: C:\Documents and Settings\jcm\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\jcm\Application Data\rhcg91j0ev57
C:\WINDOWS\system32\blphcl91j0ev57.scr
C:\WINDOWS\system32\lphcl91j0ev57.exe
C:\WINDOWS\system32\phcl91j0ev57.bmp

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSREST.SYS
-------\Legacy_TCPSR
-------\Service_sysrest.sys
-------\Service_tcpsr

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-08-09 to 2008-09-09 ))))))))))))))))))))))))))))))))))))
.

2008-09-09 13:56 . 2008-09-09 13:56 625,208 --a------ C:\WINDOWS\system32\phcl91j0ev57.bmp
2008-09-09 13:56 . 2008-09-09 13:56 203,776 --a------ C:\WINDOWS\system32\lphcl91j0ev57.exe
2008-09-09 13:46 . 2008-09-09 13:46 <REP> d-------- C:\Program Files\Avira
2008-09-09 13:46 . 2008-09-09 13:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-09-09 13:43 . 2008-09-09 13:42 23,552 --a------ C:\WINDOWS\system32\sysrest32.exe
2008-09-09 13:43 . 2008-09-09 13:49 15,328 --a------ C:\WINDOWS\system32\sysrest.sys
2008-09-09 13:33 . 2008-09-09 13:56 21,504 --a------ C:\WINDOWS\system32\hovznfi32.dll
2008-09-08 17:35 . 2008-09-09 13:48 21,504 --a------ C:\WINDOWS\system32\hovznfi.dll
2008-09-06 18:37 . 2008-09-08 17:30 <REP> d-------- C:\WINDOWS\CAVTemp
2008-09-06 17:24 . 2008-09-06 17:24 13,622 --a------ C:\WINDOWS\system32\wpa.bak
2008-09-06 17:23 . 2008-09-08 14:12 13,680 --a------ C:\WINDOWS\system32\wpa.dbl
2008-09-06 17:13 . 2008-09-06 17:13 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-09-06 17:12 . 2008-04-17 16:22 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-09-06 17:12 . 2008-04-17 16:22 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-09-06 17:12 . 2008-04-17 15:28 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-09-06 17:12 . 2008-04-17 16:22 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-09-06 17:12 . 2008-04-17 16:22 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-09-06 17:12 . 2008-04-17 16:22 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-09-06 17:12 . 2008-04-17 16:22 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-09-06 17:12 . 2008-09-06 17:12 <REP> d-------- C:\Documents and Settings\Administrateur
2008-09-06 17:08 . 2008-09-06 17:09 <REP> d-------- C:\Program Files\RegCleaner
2008-09-06 15:59 . 2008-09-06 15:59 <REP> d-------- C:\Documents and Settings\jcm\Application Data\PCToolsFirewallPlus
2008-09-06 15:58 . 2008-09-08 17:31 <REP> d-------- C:\Program Files\PC Tools Firewall Plus
2008-09-06 15:58 . 2008-09-09 13:55 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-09-06 15:55 . 2008-09-06 15:55 <REP> d-------- C:\Program Files\Fichiers communs\PC Tools
2008-09-06 15:55 . 2008-07-28 11:29 160,792 --a------ C:\WINDOWS\system32\drivers\pctfw2.sys
2008-09-06 15:55 . 2008-07-17 16:53 93,952 --a------ C:\WINDOWS\system32\drivers\pctfw.sys
2008-09-06 15:55 . 2008-08-05 15:58 58,136 --a------ C:\WINDOWS\system32\drivers\FWAuthdriver.sys
2008-09-05 22:44 . 2008-09-05 22:44 <REP> d-------- C:\Documents and Settings\jcm\Application Data\Comodo
2008-09-05 22:44 . 2008-09-05 22:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Comodo
2008-09-05 21:08 . 2008-09-05 21:08 <REP> d-------- C:\_OTMoveIt
2008-09-02 10:53 . 2008-09-02 10:53 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-02 10:53 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-02 10:53 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-30 22:50 . 2005-02-25 05:35 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-08-30 22:49 . 2008-08-30 22:49 <REP> d-------- C:\WINDOWS\system32\bits
2008-08-30 22:49 . 2004-07-02 00:08 360,960 --a--c--- C:\WINDOWS\system32\dllcache\qmgr.dll
2008-08-30 22:49 . 2004-07-02 00:08 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2008-08-30 22:49 . 2004-07-02 00:08 331,776 --a--c--- C:\WINDOWS\system32\dllcache\winhttp.dll
2008-08-30 22:49 . 2004-07-02 00:08 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-08-30 22:49 . 2004-07-02 00:08 17,408 --a--c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2008-08-30 22:49 . 2004-07-02 00:08 7,680 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2008-08-30 22:49 . 2004-07-02 00:08 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2008-08-30 22:49 . 2004-07-02 00:08 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2008-08-30 22:49 . 2004-07-02 00:08 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2008-08-30 22:47 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2008-08-30 22:47 . 2007-07-30 19:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2008-08-30 22:47 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-08-30 22:47 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-08-30 22:47 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-08-30 22:47 . 2007-07-30 19:18 33,624 --a------ C:\WINDOWS\system32\wups.dll
2008-08-30 22:47 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-08-30 22:47 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-08-30 22:47 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-08-30 22:46 . 2008-08-30 22:46 <REP> d---s---- C:\Documents and Settings\jcm\UserData
2008-08-30 16:38 . 2008-08-30 16:38 <REP> d-------- C:\Documents and Settings\jcm\Application Data\Malwarebytes
2008-08-30 16:38 . 2008-08-30 16:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-24 12:08 . 2008-08-24 12:08 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-08-24 12:08 . 2008-08-24 12:08 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-08-23 22:38 . 2008-08-23 22:38 <REP> d-------- C:\WINDOWS\system32\Lang
2008-08-23 22:38 . 2008-08-23 22:38 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav
2008-08-23 22:38 . 2008-08-23 22:38 125,690 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2008-08-23 22:38 . 2008-08-23 22:43 60,416 --a------ C:\WINDOWS\ALCFDRTM.VER
2008-08-23 22:38 . 2008-08-23 22:38 60,416 --a------ C:\WINDOWS\ALCFDRTM.EXE
2008-08-23 08:35 . 2008-08-30 16:05 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-23 08:35 . 2008-08-23 08:35 1,409 --a------ C:\WINDOWS\QTFont.for
2008-08-20 21:38 . 2001-08-23 17:47 139,264 --a------ C:\WINDOWS\system32\sndvol32.exe
2008-08-20 21:38 . 2001-08-23 17:47 139,264 --a--c--- C:\WINDOWS\system32\dllcache\sndvol32.exe
2008-08-20 21:12 . 2008-09-08 14:31 <REP> d-------- C:\Documents and Settings\jcm\Application Data\MxBoost
2008-08-15 21:12 . 2008-08-15 21:26 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-08-13 23:27 . 2008-08-13 23:28 1,115,648 --a------ C:\WINDOWS\system32\sysdist.exe
2008-08-13 23:27 . 2008-08-17 21:49 390,949 --a------ C:\WINDOWS\system32\winpcap.exe
2008-08-13 23:26 . 2008-08-17 21:49 1,821,192 --a------ C:\WINDOWS\system32\vcdist.exe
2008-08-13 23:25 . 2008-08-17 21:49 110,811 --a------ C:\WINDOWS\system32\nmap-services
2008-08-13 23:24 . 2008-08-17 21:49 815,753 --a------ C:\WINDOWS\system32\nmap-service-probes
2008-08-13 23:23 . 2008-08-17 21:49 17,922 --a------ C:\WINDOWS\system32\nmap-rpc
2008-08-13 23:20 . 2008-08-17 21:49 188 --a------ C:\WINDOWS\system32\up_speed.reg
2008-08-13 23:18 . 2008-08-13 23:23 188,928 --a------ C:\WINDOWS\system32\ssleay32.dll
2008-08-13 23:13 . 2008-08-13 23:23 998,912 --a------ C:\WINDOWS\system32\libeay32.dll
2008-08-10 22:43 . 2008-08-16 11:07 144 --a------ C:\WINDOWS\cdplayer.ini
2008-08-10 20:50 . 2008-08-10 20:50 <REP> d-------- C:\Documents and Settings\jcm\Application Data\InfraRecorder
2008-08-10 11:19 . 2008-08-10 11:19 <REP> d-------- C:\Documents and Settings\jcm\Application Data\Panasonic
2008-08-10 11:18 . 2008-08-10 11:18 <REP> d-------- C:\Program Files\Panasonic
2008-08-10 10:52 . 2006-07-16 20:07 2,600,960 --a------ C:\Documents and Settings\jcm\Launchpad.exe
2008-08-10 10:52 . 2006-05-23 18:05 1,650,688 --a------ C:\Documents and Settings\jcm\LPSecurityExtension.dll
2008-08-10 10:52 . 2006-05-23 18:06 1,003,520 --a------ C:\Documents and Settings\jcm\u3dapi10.dll
2008-08-10 10:52 . 2006-05-23 18:05 110,592 --a------ C:\Documents and Settings\jcm\cleanup.exe
2008-08-10 10:52 . 2006-05-23 18:06 12 --a------ C:\Documents and Settings\jcm\version.dat

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-09 11:55 32,256 ----a-w C:\WINDOWS\system32\drivers\Gou41.sys
2008-09-04 17:19 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-08-31 16:02 --------- d-----w C:\Program Files\eMule
2008-08-30 14:31 --------- d-----w C:\Documents and Settings\jcm\Application Data\U3
2008-08-30 14:10 --------- d-----w C:\Program Files\Unlocker
2008-08-24 11:42 --------- d-----w C:\Documents and Settings\jcm\Application Data\Vso
2008-08-24 10:08 36,624 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-08-16 09:22 --------- d-----w C:\Documents and Settings\jcm\Application Data\VSO_HWE
2008-08-10 21:11 --------- d-----w C:\Program Files\Services en ligne
2008-08-10 20:08 --------- d-----w C:\Program Files\Astonsoft
2008-08-10 09:18 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-18 09:35 --------- d-----w C:\Program Files\Java
2008-07-18 09:33 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-07-15 22:16 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-07-15 22:16 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2008-07-15 22:16 --------- d-----w C:\Program Files\Real
2008-07-15 22:16 --------- d-----w C:\Program Files\Fichiers communs\xing shared
2008-07-15 22:16 --------- d-----w C:\Program Files\Fichiers communs\Real
2008-07-13 21:40 --------- d-----w C:\Program Files\ATI Technologies
2008-07-13 21:26 737,280 ----a-w C:\WINDOWS\iun6002.exe
2008-07-12 22:13 --------- d-----w C:\Documents and Settings\jcm\Application Data\ATI
2008-07-12 22:10 --------- d-----w C:\Program Files\RAM Def
2008-07-12 21:32 --------- d-----w C:\Program Files\Disney Interactive
2008-07-12 21:07 --------- d-----w C:\Program Files\alcohol
2008-07-12 21:06 --------- d-----w C:\Program Files\Internet Digital Radio Tuner
2008-07-12 21:06 --------- d-----w C:\Documents and Settings\jcm\Application Data\InstallShield
2008-07-12 21:06 --------- d-----w C:\Documents and Settings\jcm\Application Data\DataCast
2008-06-17 18:57 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"00PCTFW"="C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" [2008-08-05 2611096]
"lphcl91j0ev57"="C:\WINDOWS\System32\lphcl91j0ev57.exe" [2008-09-09 203776]
"inrhcg91j0ev57"="C:\WINDOWS\temp\.tt9.tmp.exe" [2008-09-09 1613529]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispBackgroundPage"= 1 (0x1)
"NoDispScrSavPage"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hovznfi]
2008-09-09 13:56 21504 C:\WINDOWS\system32\hovznfi32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Gou41.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hnt40.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Pwd07.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wel53.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 22336]
R0 Gou41;Gou41;C:\WINDOWS\System32\Drivers\Gou41.sys [2008-09-09 32256]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-05-09 45376]
R1 pctfw2;pctfw2;C:\WINDOWS\system32\drivers\pctfw2.sys [2008-07-28 160792]
R3 FWAuth;FWAuth Driver;C:\WINDOWS\System32\drivers\FWAuthDriver.sys [2008-08-05 58136]
R3 tcpsr;tcpsr;C:\WINDOWS\System32\drivers\tcpsr.sys [ ]
S0 Wel53;Wel53;C:\WINDOWS\System32\Drivers\Wel53.sys [ ]
S3 restore;restore;C:\WINDOWS\system32\drivers\restore.sys [ ]

*Newly Created Service* - TCPSR
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\jcm\Application Data\Mozilla\Firefox\Profiles\1opct8lo.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://lepoint.fr/
FF -: plugin - C:\Program Files\Adobe\Acrobat 5.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-09 13:55:26
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

C:\WINDOWS\system32\phcl91j0ev57.bmp 625208 bytes
C:\WINDOWS\system32\lphcl91j0ev57.exe 203776 bytes executable

Scan termin‚ avec succŠs
Les fichiers cach‚s: 2

**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\hovznfi.dll

PROCESS: C:\WINDOWS\system32\lsass.exe
PROCESS: C:\WINDOWS\system32\lsass.exe
PROCESS: C:\WINDOWS\system32\lsass.exe
PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\hovznfi32.dll
PROCESS: C:\WINDOWS\system32\lsass.exe
PROCESS: C:\WINDOWS\system32\lsass.exe
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\temp\jyo4.tmp
C:\WINDOWS\temp\.tt9.tmp
.
**************************************************************************
.
Temps d'accomplissement: 2008-09-09 14:00:44 - machine was rebooted
ComboFix-quarantined-files.txt 2008-09-09 12:00:41
ComboFix2.txt 2008-09-06 13:10:30

Pre-Run: 37,112,942,592 octets libres
Post-Run: 37,272,018,944 octets libres

231
0
Réponse 27 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

refuse totalement que ce programme accède à Internet.

Réponse complète ce soir (assez tard).
0
Réponse 28 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Driver::
Gou41
tcpsr
Wel53
restore

File::
C:\WINDOWS\system32\sysrest32.exe
C:\WINDOWS\system32\sysrest.sys
C:\WINDOWS\system32\hovznfi32.dll
C:\WINDOWS\system32\hovznfi.dll
C:\WINDOWS\system32\drivers\Gou41.sys

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lphcl91j0ev57"=-
"inrhcg91j0ev57"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hovznfi]

Enregistre ce fichier sous le nom CFscript

Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Fais redémarrer l'ordi.

Remets aussi un rapport Hijackthis

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
0
pcmace
 
Re,voici le rapport combofix :

ComboFix 08-09-05.10 - jcm 2008-09-10 11:27:48.7 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.711 [GMT 2:00]
Endroit: C:\Documents and Settings\jcm\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\jcm\Bureau\CFscript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\blphcl91j0ev57.scr
C:\WINDOWS\system32\drivers\Gou41.sys
C:\WINDOWS\system32\hovznfi.dll
C:\WINDOWS\system32\hovznfi32.dll
C:\WINDOWS\system32\lphcl91j0ev57.exe
C:\WINDOWS\system32\phcl91j0ev57.bmp
C:\WINDOWS\system32\sysrest.sys
C:\WINDOWS\system32\sysrest32.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GOU41
-------\Legacy_TCPSR
-------\Service_Gou41
-------\Service_restore
-------\Service_tcpsr
-------\Service_Wel53


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-08-10 to 2008-09-10 ))))))))))))))))))))))))))))))))))))
.

2008-09-09 16:35 . 2008-09-10 11:31 0 --a------ C:\WINDOWS\system.ini
2008-09-09 13:46 . 2008-09-09 13:46 <REP> d-------- C:\Program Files\Avira
2008-09-09 13:46 . 2008-09-09 13:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-09-06 18:37 . 2008-09-08 17:30 <REP> d-------- C:\WINDOWS\CAVTemp
2008-09-06 17:24 . 2008-09-06 17:24 13,622 --a------ C:\WINDOWS\system32\wpa.bak
2008-09-06 17:23 . 2008-09-08 14:12 13,680 --a------ C:\WINDOWS\system32\wpa.dbl
2008-09-06 17:13 . 2008-09-06 17:13 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-09-06 17:12 . 2008-04-17 16:22 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-09-06 17:12 . 2008-04-17 16:22 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-09-06 17:12 . 2008-04-17 15:28 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-09-06 17:12 . 2008-04-17 16:22 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-09-06 17:12 . 2008-04-17 16:22 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-09-06 17:12 . 2008-04-17 16:22 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-09-06 17:12 . 2008-04-17 16:22 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-09-06 17:12 . 2008-09-06 17:12 <REP> d-------- C:\Documents and Settings\Administrateur
2008-09-06 17:08 . 2008-09-06 17:09 <REP> d-------- C:\Program Files\RegCleaner
2008-09-06 15:59 . 2008-09-06 15:59 <REP> d-------- C:\Documents and Settings\jcm\Application Data\PCToolsFirewallPlus
2008-09-06 15:58 . 2008-09-08 17:31 <REP> d-------- C:\Program Files\PC Tools Firewall Plus
2008-09-06 15:58 . 2008-09-10 11:31 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-09-06 15:55 . 2008-09-06 15:55 <REP> d-------- C:\Program Files\Fichiers communs\PC Tools
2008-09-06 15:55 . 2008-07-28 11:29 160,792 --a------ C:\WINDOWS\system32\drivers\pctfw2.sys
2008-09-06 15:55 . 2008-07-17 16:53 93,952 --a------ C:\WINDOWS\system32\drivers\pctfw.sys
2008-09-06 15:55 . 2008-08-05 15:58 58,136 --a------ C:\WINDOWS\system32\drivers\FWAuthdriver.sys
2008-09-05 22:44 . 2008-09-05 22:44 <REP> d-------- C:\Documents and Settings\jcm\Application Data\Comodo
2008-09-05 22:44 . 2008-09-05 22:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Comodo
2008-09-05 21:08 . 2008-09-05 21:08 <REP> d-------- C:\_OTMoveIt
2008-09-02 10:53 . 2008-09-02 10:53 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-02 10:53 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-02 10:53 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-30 22:50 . 2005-02-25 05:35 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-08-30 22:49 . 2008-08-30 22:49 <REP> d-------- C:\WINDOWS\system32\bits
2008-08-30 22:49 . 2004-07-02 00:08 360,960 --a--c--- C:\WINDOWS\system32\dllcache\qmgr.dll
2008-08-30 22:49 . 2004-07-02 00:08 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2008-08-30 22:49 . 2004-07-02 00:08 331,776 --a--c--- C:\WINDOWS\system32\dllcache\winhttp.dll
2008-08-30 22:49 . 2004-07-02 00:08 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-08-30 22:49 . 2004-07-02 00:08 17,408 --a--c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2008-08-30 22:49 . 2004-07-02 00:08 7,680 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2008-08-30 22:49 . 2004-07-02 00:08 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2008-08-30 22:49 . 2004-07-02 00:08 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2008-08-30 22:49 . 2004-07-02 00:08 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2008-08-30 22:47 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2008-08-30 22:47 . 2007-07-30 19:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2008-08-30 22:47 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-08-30 22:47 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-08-30 22:47 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-08-30 22:47 . 2007-07-30 19:18 33,624 --a------ C:\WINDOWS\system32\wups.dll
2008-08-30 22:47 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-08-30 22:47 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-08-30 22:47 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-08-30 22:46 . 2008-08-30 22:46 <REP> d---s---- C:\Documents and Settings\jcm\UserData
2008-08-30 16:38 . 2008-08-30 16:38 <REP> d-------- C:\Documents and Settings\jcm\Application Data\Malwarebytes
2008-08-30 16:38 . 2008-08-30 16:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-24 12:08 . 2008-08-24 12:08 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-08-24 12:08 . 2008-08-24 12:08 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-08-23 22:38 . 2008-08-23 22:38 <REP> d-------- C:\WINDOWS\system32\Lang
2008-08-23 22:38 . 2008-08-23 22:38 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav
2008-08-23 22:38 . 2008-08-23 22:38 125,690 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2008-08-23 22:38 . 2008-08-23 22:43 60,416 --a------ C:\WINDOWS\ALCFDRTM.VER
2008-08-23 22:38 . 2008-08-23 22:38 60,416 --a------ C:\WINDOWS\ALCFDRTM.EXE
2008-08-23 08:35 . 2008-08-30 16:05 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-23 08:35 . 2008-08-23 08:35 1,409 --a------ C:\WINDOWS\QTFont.for
2008-08-20 21:38 . 2001-08-23 17:47 139,264 --a------ C:\WINDOWS\system32\sndvol32.exe
2008-08-20 21:38 . 2001-08-23 17:47 139,264 --a--c--- C:\WINDOWS\system32\dllcache\sndvol32.exe
2008-08-20 21:12 . 2008-09-08 14:31 <REP> d-------- C:\Documents and Settings\jcm\Application Data\MxBoost
2008-08-15 21:12 . 2008-08-15 21:26 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-08-13 23:27 . 2008-08-13 23:28 1,115,648 --a------ C:\WINDOWS\system32\sysdist.exe
2008-08-13 23:27 . 2008-08-17 21:49 390,949 --a------ C:\WINDOWS\system32\winpcap.exe
2008-08-13 23:26 . 2008-08-17 21:49 1,821,192 --a------ C:\WINDOWS\system32\vcdist.exe
2008-08-13 23:25 . 2008-08-17 21:49 110,811 --a------ C:\WINDOWS\system32\nmap-services
2008-08-13 23:24 . 2008-08-17 21:49 815,753 --a------ C:\WINDOWS\system32\nmap-service-probes
2008-08-13 23:23 . 2008-08-17 21:49 17,922 --a------ C:\WINDOWS\system32\nmap-rpc
2008-08-13 23:20 . 2008-08-17 21:49 188 --a------ C:\WINDOWS\system32\up_speed.reg
2008-08-13 23:18 . 2008-08-13 23:23 188,928 --a------ C:\WINDOWS\system32\ssleay32.dll
2008-08-13 23:13 . 2008-08-13 23:23 998,912 --a------ C:\WINDOWS\system32\libeay32.dll
2008-08-10 22:43 . 2008-08-16 11:07 144 --a------ C:\WINDOWS\cdplayer.ini
2008-08-10 20:50 . 2008-08-10 20:50 <REP> d-------- C:\Documents and Settings\jcm\Application Data\InfraRecorder
2008-08-10 11:19 . 2008-08-10 11:19 <REP> d-------- C:\Documents and Settings\jcm\Application Data\Panasonic
2008-08-10 11:18 . 2008-08-10 11:18 <REP> d-------- C:\Program Files\Panasonic
2008-08-10 10:52 . 2006-07-16 20:07 2,600,960 --a------ C:\Documents and Settings\jcm\Launchpad.exe
2008-08-10 10:52 . 2006-05-23 18:05 1,650,688 --a------ C:\Documents and Settings\jcm\LPSecurityExtension.dll
2008-08-10 10:52 . 2006-05-23 18:06 1,003,520 --a------ C:\Documents and Settings\jcm\u3dapi10.dll
2008-08-10 10:52 . 2006-05-23 18:05 110,592 --a------ C:\Documents and Settings\jcm\cleanup.exe
2008-08-10 10:52 . 2006-05-23 18:06 12 --a------ C:\Documents and Settings\jcm\version.dat

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-04 17:19 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-08-31 16:02 --------- d-----w C:\Program Files\eMule
2008-08-30 14:31 --------- d-----w C:\Documents and Settings\jcm\Application Data\U3
2008-08-30 14:10 --------- d-----w C:\Program Files\Unlocker
2008-08-24 11:42 --------- d-----w C:\Documents and Settings\jcm\Application Data\Vso
2008-08-24 10:08 36,624 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-08-16 09:22 --------- d-----w C:\Documents and Settings\jcm\Application Data\VSO_HWE
2008-08-10 21:11 --------- d-----w C:\Program Files\Services en ligne
2008-08-10 20:08 --------- d-----w C:\Program Files\Astonsoft
2008-08-10 09:18 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-18 09:35 --------- d-----w C:\Program Files\Java
2008-07-18 09:33 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-07-15 22:16 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-07-15 22:16 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2008-07-15 22:16 --------- d-----w C:\Program Files\Real
2008-07-15 22:16 --------- d-----w C:\Program Files\Fichiers communs\xing shared
2008-07-15 22:16 --------- d-----w C:\Program Files\Fichiers communs\Real
2008-07-13 21:40 --------- d-----w C:\Program Files\ATI Technologies
2008-07-13 21:26 737,280 ----a-w C:\WINDOWS\iun6002.exe
2008-07-12 22:13 --------- d-----w C:\Documents and Settings\jcm\Application Data\ATI
2008-07-12 22:10 --------- d-----w C:\Program Files\RAM Def
2008-07-12 21:32 --------- d-----w C:\Program Files\Disney Interactive
2008-07-12 21:07 --------- d-----w C:\Program Files\alcohol
2008-07-12 21:06 --------- d-----w C:\Program Files\Internet Digital Radio Tuner
2008-07-12 21:06 --------- d-----w C:\Documents and Settings\jcm\Application Data\InstallShield
2008-07-12 21:06 --------- d-----w C:\Documents and Settings\jcm\Application Data\DataCast
2008-06-17 18:57 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
.

((((((((((((((((((((((((((((( snapshot@2008-09-09_14.00.18.24 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-09-09 11:55:15 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-09-10 09:27:32 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-09-09 11:55:15 131,072 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-09-10 09:27:34 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-09-09 11:55:16 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008090920080910\index.dat
+ 2008-09-09 20:25:12 65,536 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008090920080910\index.dat
+ 2008-09-10 09:27:33 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008091020080911\index.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"00PCTFW"="C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" [2008-08-05 2611096]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispBackgroundPage"= 1 (0x1)
"NoDispScrSavPage"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Gou41.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hnt40.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Pwd07.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wel53.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-05-09 45376]
R1 pctfw2;pctfw2;C:\WINDOWS\system32\drivers\pctfw2.sys [2008-07-28 160792]
R3 FWAuth;FWAuth Driver;C:\WINDOWS\System32\drivers\FWAuthDriver.sys [2008-08-05 58136]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-10 11:31:38
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\system32\wdfmgr.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-09-10 11:35:37 - machine was rebooted
ComboFix-quarantined-files.txt 2008-09-10 09:35:34
ComboFix2.txt 2008-09-09 12:00:45
ComboFix3.txt 2008-09-06 13:10:30

Pre-Run: 57,553,600,512 octets libres
Post-Run: 57,584,693,248 octets libres

210


a+
0
Réponse 29 / 41
pcmace
 
voici le rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:51:36, on 10/09/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lepoint.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
0
Réponse 30 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

tu pourrais vérifier que ton rapport Hijackthis est complet et me le reposter si il ne l'est pas. Mereci.

Comment va l'ordi ?
0
Réponse 31 / 41
pcmace
 
voici le nouveau rapport highjackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:32:21, on 10/09/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lepoint.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
0
Réponse 32 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

pourquoi ton Windows n'est il pas à jour ?
0
Réponse 33 / 41
pcmace
 
Re,

Que veux-tu dire ?

pas à jour des mises à jour
ou pas enregistré comme il faut?

a+
0
Réponse 34 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

pas à jour des mises à jour (SP1 et non SP2 voire SP3).
0
Réponse 35 / 41
pcmace
 
Re,

j'ai effectué les mises à jour windows update.Depuis une dizaine de redémarrages, plus de problème.

Puis-je considérer que mon problème est résolu ou il y a t-il une dernière chose à faire ?

merci a+
0
Réponse 36 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

remets moi un rapport Hijackthis.
0
pcmace
 
ok, ci dessous le rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:44:53, on 11/09/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lepoint.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
0
Réponse 37 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

ton Windows n'est toujours pas à jour.

Démarrer, Aide et support, Maintenez votre ordinateur à jour avec Windows update.

Tu installes le SP3 puis Internet Explorer 7.

Tu remets un rapport Hijackthis quand c'est fait (après avoir fait redémarrer l'ordi).
0
Réponse 38 / 41
pcmace
 
R,
nécessaire fait : sp3 + IE7

voici le rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:50:55, on 11/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lepoint.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
0
Utilisateur anonyme
 
salut pcmace
je vois que vs règlez les derniers details....
salutations au lyonnais
a+
0
Réponse 39 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonsoir,

salut archet9,

Oui, on est dans les finitions.

Tout me semble OK.

Donc nettoyage des outils :

* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
0
pcmace
 
voici le rapport obtenu :

[ Rapport ToolsCleaner version 2.2.3 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Combofix.txt: trouvé !
C:\fixnavi.txt: trouvé !
C:\cleannavi.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\jcm\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\jcm\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\jcm\Bureau\HJTInstall.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\jcm\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\jcm\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\jcm\Bureau\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\fixnavi.txt: supprimé !
C:\cleannavi.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !


a+
0
Réponse 40 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

supprime ToolsCleaner sur ton Bureau et C:\TCleaner.txt.

Bon surf.
0
pcmace
 
OK,

Nécessaire fait,

Je ne rencontre plus de problème.
Merci infiniment pour ton aide ainsi qu'à archet9.

et grand bravo à toute l'équipe de commentçamarche.net

Bye
0

Discussions similaires

SMS message vocal arnaque ?
kikidefer -
Stepik -

10 réponses
Signification de ^^
takataka26 -
Adraen -

13 réponses
Diff message
zebulonmarie -
mumu -

18 réponses
Ca veut dire quoi ^^
Misty-in -
Mixou -

9 réponses
Message ne s'envoie pas données mobiles Redmi
Eric -
FalkenHarlais -

4 réponses