antivirus xp 2008Fermé

Question

Bonjour,

Cette nuit m'est arrivé un petit incident que j'ai mis près de trois heures à , je crois, régler.
L'apparition insistante d'un avertissement d'infection d'un programme que je n'avais jamais installé. 
Et lorsque je cliquaiis pour régler le problème, le renvoi sur une page d'achat via internet explorer.
J'éteins la machine, la relance pour un scan avec mon anti-virus habituel, et découvre changé mon fond d'écran.
Un message "Warrning, suivi du noms de deux malveillants et d'un superbe DANGER" propre à provoquer une panique déclencheuse d'achat.
Je lance une version free de Malabarebytes, nettoie ce que je peux de mon pc (il me reste quelques entrées de la base de registre).
Ce qui m'étonne, c'est la présence d'après ce dernier programme dans le répertoire Windows\system32 de
tdssadw.dll, tdssl.dll, tdssserf.dll, tdssmain.dll, tdssinit.dll, tdsslog.dll, tdssservers.dat
et windows\sys...\drivers de tdssserv.sys
Fichiers qu'aucun utilitaire style explorer ne liste.
Que sont ces fichiers ?
-----------------
ci dessous, le log de hijackthis
-----------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:21:05, on 02.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Motive\McciCMService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Visagesoft\eXPert PDF Creator\vspdfprsrv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\progrunit\Runit.exe
C:\Program Files\SpeedMenus\speedmenus.exe
C:\Program Files\Micro Application\36 Dictionnaires et Recueils de Correspondance\MediaDICO36.EXE
C:\Program Files\Micro Application\36 Dictionnaires et Recueils de Correspondance\Rac36.EXE
C:\progr\acd\ACDSee32.exe
c:\progr\psp\Psp.exe
c:\progr\psp\Psp.exe
C:\progr\acd\ACDSee32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com/spresults.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/sites-ok-2/laral/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: FlpLauncher Class - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - C:\PROGRA~1\E-BOOK~1\FLIPVI~1\fvbho140.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Program Files\Visagesoft\eXPert PDF Creator\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [FlipViewer Library] "C:\Program Files\E-Book Systems\FlipViewer\FlipViewerLibrary.exe" /showmode=hide
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SMrhcr1cj0er1q] C:\Program Fileshcr1cj0er1qhcr1cj0er1q.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MediaDICO36] C:\Program Files\Micro Application\36 Dictionnaires et Recueils de Correspondance\LanceMediaDICO36.exe Lancement
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Runit.exe.lnk = C:\progrunit\Runit.exe
O4 - Global Startup: speedmenus.exe.lnk = C:\Program Files\SpeedMenus\speedmenus.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
ppdf32.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McciCMService - Motive Communications, Inc. - C:\Program Files\Fichiers communs\Motive\McciCMService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

poker76000 · Answer

télécharge antivir et malwarebytes' et tu fais des analyse

jlpjlp · Answer

slt,

il reste ceci: analyse le fichier sur virus total: https://www.virustotal.com/gui/
C:\Program Files\rhcr1cj0er1q\rhcr1cj0er1q.exe 


_______________

tu as le rapport malwarebyte?


_____________



smit fraud fix (colle le rapport)

1/ telecharger :

http://siri.urz.free.fr/Fix/SmitfraudFix.php


2/ double clique sur smitfraudfix. puis sélectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes. 




_________________

Mettre a jour java:
https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/

mettre a jour internet explorer
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html

laral · Answer

il reste ceci: analyse le fichier sur virus total: https://www.virustotal.com/gui/
C:\Program Fileshcr1cj0er1qhcr1cj0er1q.exe

J'ai supprimé et le répertoire et les fichiers. Ils se "dispersaient" dans le système, en particulier en Windows et et Documents and settings.
Ce sont, je crois, eux qui généraient le fond d'écran "warning"

Bon diable, pour qui n'est pas habitué aux finesses informatiques, j'ai passé plus de temps cette nuit à comprendre ce qui concerne ces bestioles malveillantes (et ceux qui les propagent), qu'à mes travaux.
------------
tu as le rapport malwarebyte? 

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1103
Windows 5.1.2600 Service Pack 2

11:05:06 02.09.2008
mbam-log-09-02-2008 (11-05-00).txt

Type de recherche: Examen rapide
Eléments examinés: 41414
Temps écoulé: 3 minute(s), 23 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstallhcr1cj0er1q (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWAREhcr1cj0er1q (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion	dssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE	dss (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32	dssadw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32	dssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32	dssserf.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32	dssmain.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32	dssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32	dsslog.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32	dssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers	dssserv.sys (Trojan.Agent) -> No action taken.


-------------
smit fraud fix (colle le rapport) 

SmitFraudFix v2.345

Rapport fait à 11:01:53.95, 02.09.2008
Executé à partir de D:\Nouveau dossier\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est 
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Fichiers communs\Motive\McciCMService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Visagesoft\eXPert PDF Creator\vspdfprsrv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\progrunit\Runit.exe
C:\Program Files\SpeedMenus\speedmenus.exe
C:\progr\acd\ACDSee32.exe
c:\progr\psp\Psp.exe
C:\progr\acd\ACDSee32.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\progr\acd\ACDSee32.exe
D:\Nouveau dossier\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\a.exe PRESENT !
C:\WINDOWS\system32	dssservers.dat détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32	dssadw.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32	dssinit.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32	dssl.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32	dsslog.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32	dssmain.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32\drivers	dssserv.sys détecté, utilisez un scanner de Rootkit

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\luc


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\luc\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\luc\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: SiS 900-Based PCI Fast Ethernet Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B3206FF2-F41A-4B1B-B5FD-3F5CAA04B664}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B3206FF2-F41A-4B1B-B5FD-3F5CAA04B664}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


Bon, ben bonne lecture.
:-)

jlpjlp · Answer

il faut virer tout ce qui a été trouvé par malwarebyte

__________________

redémarre en mode sans échec (en appuyant sur F8 ou suppr, ou F5 au démarrage en général) puis lance smitfraudfix , sélectionne l'option 2 et appuyer sur entrée pour commencer la désinfection. lorsque le programme demande si tu veut nettoyer le registre mets oui en tapant 0 et entrée (colles le rapport)

____________________


télécharge OTMoveIt 
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.  Ou sur  https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer. 
copie la liste qui se trouve en citation ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. 

Citation : 


C:\WINDOWS\system32\a.exe 
C:\WINDOWS\system32	dssservers.dat 
C:\WINDOWS\system32	dssadw.dll
C:\WINDOWS\system32	dssinit.dll 
C:\WINDOWS\system32	dssl.dll 
C:\WINDOWS\system32	dsslog.dll 
C:\WINDOWS\system32	dssmain.dll 
C:\WINDOWS\system32\drivers	dssserv.sys 
C:\Program Fileshcr1cj0er1qhcr1cj0er1q.exe 
C:\Program Fileshcr1cj0er1q
clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

laral · Answer

Petit problème.
Le système refuse de se lancer en mode sans échec. 
J'ai tout de même tenter la procédure. Pas besoin de le préciser ? sans résultat.

J'ai tout de même supprimer manuellement le "a.exe" qui s'était logé dans windows\system32.

Le rapport de "Malwarebytes" n'a pas changé depuis hier.

Ce qui me turlupine, c'est l'impossibilité de me lancer en mode sans échec.

jlpjlp · Answer

télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :


C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32	dssservers.dat
C:\WINDOWS\system32	dssadw.dll
C:\WINDOWS\system32	dssinit.dll
C:\WINDOWS\system32	dssl.dll
C:\WINDOWS\system32	dsslog.dll
C:\WINDOWS\system32	dssmain.dll
C:\WINDOWS\system32\drivers	dssserv.sys
C:\Program Fileshcr1cj0er1qhcr1cj0er1q.exe
C:\Program Fileshcr1cj0er1q
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

poker76000 · Answer

la tu dit des chose ki ne serve a rien 

donc deja telecharge antivir
plus malwarebytes' fais des analyse avec les 2 et tu vera que ton pc sera nikelle 

Signé poker

poker76000 · Answer

je fais de la maintenance informatique

jlpjlp · Answer

hé bien alors si tu t'y connais pourquoi demande tu de faire malwarebyte alors qu'il l'a déjà fait juste au dessus? et pourquoi lui conseilles tu de mettre antivir sans penser a lui faire enlevé avast qu'il a ....

laral · Answer

à poker

J'ai bien lu ton message au début de ces échanges. Mais, comme tu l'as constaté, j'ai suivi les conseils de jlpjlp.
Certes la courtoisie aurait voulu que je te fasse un signe.
Mais vois-tu, si je constate que le gus, moi en l'occurence, suit la voie qu'un autre lui conseille, ben j'insiste pas.
Je laisse la chose suivre son cours. Si le problème est résolu. Tant mieux pour tous. Si par contre il y a encore des c..., là je me permets de revenir au premier plan.


à jlpjlp

Pour l'instant, je n'arrive toujours pas à supprimer ces fichiers :


C:\WINDOWS\system32	dssservers.dat
C:\WINDOWS\system32	dssadw.dll
C:\WINDOWS\system32	dssinit.dll
C:\WINDOWS\system32	dssl.dll
C:\WINDOWS\system32	dsslog.dll
C:\WINDOWS\system32	dssmain.dll
C:\WINDOWS\system32\drivers	dssserv.sys

C:\Program Fileshcr1cj0er1qhcr1cj0er1q.exe
C:\Program Fileshcr1cj0er1q 

(Pas possible de me lancer en mode sans échec.)

En fait, j'ai retiré manuellement a.exe et le répertoire rhcr1cj0er

Qu'est-ce que font ces fichiers, quels dommages peuvent-ils causer à un ordinateur ?
Entre les méchancetés qui délitent les fonctions de base d'un pc et ceux qui pillent des données, que dois-je craindre de la présence de ces fichiers "invisibles" sur mon ordi ?

Merci

jlpjlp · Answer

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. 
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : 
• Redémarre ton ordinateur 
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). 
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. 
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". 
• Choisis ton compte. 
Déroule la liste des instructions ci-dessous : 
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. 
• Appuie sur Y pour commencer le processus de nettoyage. 
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
• Appuie sur une touche pour redémarrer le PC. 
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

laral · Answer

Sdfix prêt au décollage.
Par contre, comme je l'ai précisé, et comme je suivais bien la procédure indiquée pour le démarrage en mode sans échec, ça risque de ne pas démarrer, justement.
Puis-je tenter le mode "ligne de commande" ?

jlpjlp · Answer

si tu ne peux faire  le mode sans echec fais ceci:




telecharge combofix:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Sauvegarde le sur ton bureau et pas ailleurs ! 



Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :






File::
C:\WINDOWS\system32	dssservers.dat
C:\WINDOWS\system32	dssadw.dll
C:\WINDOWS\system32	dssinit.dll
C:\WINDOWS\system32	dssl.dll
C:\WINDOWS\system32	dsslog.dll
C:\WINDOWS\system32	dssmain.dll
C:\WINDOWS\system32\drivers	dssserv.sys
C:\Program Fileshcr1cj0er1qhcr1cj0er1q.exe
C:\Program Fileshcr1cj0er1q 




Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

laral · Answer

Avec combofix, rien ne se passe.
J'ai bien placé le fichier sur l'icône. 
A part un léger tremblement du curseur de la souris.
Rien
Et aucun fichier comb...txt enregistré sur c:/

laral · Answer

Petite remarque en passant.
Depuis ce matin (faut quand même que je bosse, même si c'est sur un terrain instable), je constate que mon système est plus rapide.
Un exemple. J'utilise ACDSEE, une ancienne version, pour renommer de grandes quantités de fichiers.
Avant, lent, maintenant, pour plus de 1000 fichiers doc, ça ne prend guère plus d'une seconde.

laral · Answer

Ah, en passant, et quelque soit le résultat de vos tentatives, je vous remercie de porter autant d'attention aux problème que rencontre un simple inconnu.

jlpjlp · Answer

fais sdfix alors en mode normal pour voir

laral · Answer

J'ai téléchargé le programme, mais....
"Appuie sur Y pour commencer le processus de nettoyage. "
Il n'y a pas le choix Y.
1 à 4, divers téléchargements
a - création d'un rapport sur le système
b - ... d'une liste des drivers et services
c - ... catchme log
d - export safebot key

et 
h - add win defauts hosts file
r - repair safeboot key

u - un téléchargement

jlpjlp · Answer

colle le rapport d'un scan en ligne 
avec un des suivants: 


bitdefender en ligne : 
http://www.bitdefender.fr/scan_fr/scan8/ie.html 

Panda en ligne : 
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

laral · Answer

Alors alors alors...
1. j'ai désactivé Avast
2. lancé le scan en ligne de kaspersky pour les zones critiques 

3 le rapport

------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, September 03, 2008 12:19:24 AM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 2/09/2008
Enregistrements dans la base antivirus Kaspersky : 1055833
Paramètres d'analyse
Analyser avec la base antivirus suivante 	standard
Analyser les archives 	faux
Analyser les bases de messagerie 	faux
Cible de l'analyse 	Zones critiques
C:\WINDOWS
C:\DOCUME~1\luc\LOCALS~1\Temp\
Statistiques de l'analyse
Total d'objets analysés 	12168
Nombre de virus trouvés 	1
Nombre d'objets infectés 	2 / 0
Nombre d'objets suspects 	0
Durée de l'analyse 	00:06:04

Nom de l'objet infecté 	Nom du virus 	Dernière action
C:\WINDOWS\system32\config\system.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OVKUAK9J\ac[1].html 	Infecté : Trojan-Downloader.JS.Agent.cnn 	ignoré
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\H9RSIF1M\ac[1].html 	Infecté : Trojan-Downloader.JS.Agent.cnn 	ignoré
C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SYSTEM 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SOFTWARE 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\DEFAULT 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\Antivirus.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\CatRoot2\edbtmp.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\h323log.txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_42c.dat 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Debug\PASSWD.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Sti_Trace.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\wiaservc.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\wiadebug.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\WindowsUpdate.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\luc\LOCALS~1\Temp\ima2.tmp 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\luc\LOCALS~1\Temp\ima3.tmp 	L'objet est verrouillé 	ignoré
Analyse terminée.

jlpjlp · Answer

ok lance CCLENAER et nettoie ton ordi pour virer les fichiers temporaires infctés  ( il faut avant le nettoyage decocher la case : "effacer uniquement les fichier de plus de 48h  "  en allant dans option puis avancé)

https://www.malekal.com/tutoriel-ccleaner/


______________

encore des soucis???

poker76000 · Answer

ca ne sére a rien

poker76000 · Answer

passe un coup de malwarbytes' puis antivir et ton pc sera nikelle

laral · Answer

On peut tout arrêter.
Mon système s'est planté.

Bonne journée

jlpjlp · Answer

ok 

c'est dommage
bonne suite tout de meme

laral · Answer

Pas si grave que ça.
J'ai la manie des sauvegardes.
Aucun travail perdu.
Rien que du temps.

Bon, pendant que j'y suis, je compte abandonner cette p... m... de système Windows et me tourner vers Linux.
Que me conseillerez-vous, attendu que :
1. un système simple à l'installation. 
2. que je puisse travailler mes "docs", *rtf", "jpg" et autres images, ainsi que mes vidéos.

Merci de votre aide.

jlpjlp · Answer

slt je ne suis pas specialiste de linux...

unbutu je crois est bien

http://www.ubuntu-fr.org/

laral · Answer

Merci.
Je vais changer de système d'exploitation.
Win, tellement ouvert au virus, je l'appellerai désormais "l'attrape-mouches".

Bonne continuation

Antivirus xp 2008

28 réponses

Discussions similaires

Newsletters