Suis-je infecté ?

JLB -  
 JLB -
Bonjour,
Je dois être la victime d'un ver. XP est à jour, norton aussi, recherche de virus en ligne ! sur secuser, panda, norton mais rien n'y fait. Je pense que mon ordi sert de relais pour transmettre d'autres email et j'en suis submergé (des fenêtres apparaissent continuellement en bas et à droite de l'écran jusqu'à n'y voir plus grand chose).
Merci pour les réponses

13 réponses

  1. marco13 Messages postés 817 Statut Membre 98
     
    salut,
    Tu as quel firewall? Les fenêtres, en bas à droite, en très grand nombre, c'est plutôt des alertes du firewall qui te signale qu'il a bloqué des tentatives de connexion ou alors qui te demande si tu auorises tel programme à accéder au Net.
    0
    1. JLB
       
      Merci pour t'occuper de mon cas Marco,
      J'ai tout en Symantec (NAV, FIREWALL). Régulièrement, norton détecte une attaque que je bloque mais l'adresse IP de l'attaquant change à chaque fois. J'ai l'impression qu'en fermant M Messenger je suis moins ennuyé car les fenêtres en bas à droite n'apparaissent pas. Sinon les fenêtres sont les mêmes que si j'envoyais un email.
      Merci pour la réponse
      0
  2. marco13 Messages postés 817 Statut Membre 98
     
    je connais pas celui de symantec. Mais tu dois bien avoir une option pour désactiver les alertes, sauf celles générées par un programme.
    Fais un scan en ligne de tes ports,
    http://check.sdv.fr/
    0
    1. JLB
       
      resalut
      symantec en fait c'est norton, sinon je suis allé sur check...et il a testé les ports bloqués par le parefeu mais c'est resté bloqué à un moment sur l'adresse ci-dessous. 3658 est-ce un port ?
      Sinon depuis que j'ai fermé la session de Messenger il ne se passe rien ????? Merci
      http://check.sdv.fr:3658/cgi/scan?
      0
  3. marco13 Messages postés 817 Statut Membre 98
     
    oui Norton c Symantec (j'ai NAV 2004). Mais je connais pas NIS, par exemple. L'adresse du site que tu donnes, c'est pour démarrer le scan des ports immédiatement. Sans passer par la page d'accueil. Alors, le résultat du scan? Tous les ports invisibles? Essaie d'en faire un avec Messenger ouvert.
    Est ce que tu as supprimé le parefeu de windows sur XP? Si c'est non, tu fais panneau de config-->connexions reseau-->clic droit s/ta connexion-->propriétés-->onglet avancé-->décocher "protéger mon ordinateur etc...".
    0
    1. JLB
       
      Alors... pas de résultat de scan, j'ai l'impression que ça plante au bout de 7 à 8 tests de port auxquels norton me met un msg d'alerte. J'ai réactivé messenger mais pas de fenêtre, quoi penser ? le parefeu de xp est désactivé puisque j'ai celui de NIS
      Je dirais que c le bordel j'ai aussi essayé trojan remover mais 0, spybot qui m'a éliminer tous les spywares sauf ceux de download accelertator sinon je n'ai rien fait de spécial
      D'avance merci
      0
  4. marco13 Messages postés 817 Statut Membre 98
     
    essaies de faire le scan sur ce site,
    http://www.secuser.com/dossiers/firewall_personnel.htm

    à gauche, dans le paragraphe Protection. Si ça marche pas non plus, c'est norton qui doit les bloquer. Mais je connais pas sa configuration.
    0
    1. jlb
       
      Tout d'abord merci pour tous ces renseignements et le temps que tu auras passé pour moi.
      J'ai fait le test parefeu sur secuser mais aussi sur symantec : RAS
      je ne sais plus quoi en penser , j'ai le parefeu de norton au maxi et de nouveau une fenêtre apparait de temps en temps mais aussi une petite enveloppe dans le systray et lorsuqe je veux cliquer dessus elle disparait étonnant non ?
      0
    2. jlb
       
      de nouveau je suis inondé voila le type de fenetre que je reçois

      Proxy de messagerie symantec

      Votre message destiné à (en blanc)
      dont le sujet est (en blanc)
      n'a pas pu être envoyé car la connexion avec votre serveur de messagerie a été interrompue. Ouvrez votre client de messagerieet renvoyez l'emailà partir du dossier email envoyés.

      Mais je n'ai pas d'email à envoyer et là ou c'est en blanc parfois il y a des noms ou des adresses!!!
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. marco13 Messages postés 817 Statut Membre 98
     
    Bon si c'est RAS pas de problème. Aux prochaines alertes de Norton, fais une capture d'écran pour bien lire ce qui est écrit.
    La petite enveloppe dans le systray, c'est une icone qui signale le départ (avec la loupe) ou l'arrivée (avec la flèche) d'un mail.
    Effectivement, lorsqu'on clic dessus, elle disparait.
    0
  7. marco13 Messages postés 817 Statut Membre 98
     
    Quand même, par précaution, en attendant de savoir ce qu'y est écrit dans les fenêtres, fais un scan en ligne avec secuser.com (c la même adresse que le message n°7) ou RAV Antivirus.
    0
  8. JLB
     
    Apparement les 2 msg se sont croisés 9 et 10, la réponse du 11 se trouve dans le 10
    0
  9. marco13 Messages postés 817 Statut Membre 98
     
    tu as un virus. Fais le scan comme je t'ai dit avec RAV Antivirus (j'ai pas le lien, fais "rechercher"). Quand tu es sur la page d'accueil, tu clic s/ "click here" (en bleu), tu attends que l'activeX se charge (ça peut être un peu long si tu es en 56K), quand "ready" s'affiche dans la paragraphe status, tu clic s/autoclean et scan my PC (dans cet ordre). Ensuite tu copies-colles le rapport en totalité (il y a un curseur à droite pour voir le rapport en entier) dans un message.
    0
  10. Terdef Messages postés 1034 Statut Contributeur sécurité 133
     
    Bonjour JLB,

    Non, ce n'est pas un virus. Tu as eu un virus qui a agit en cheval de Troie pour implanter un micro serveur SMTP et un backdoor afin de zombiifier ta machine qui sert désormais de relais pour inonder le monde des internautes, nous, de spam.

    Ce qui m'étonne c'est que ton antivirus n'ai pas empêché le virus initial de passer - juste entre 2 mises à jour, peut-être. Ou alors par P2P.

    La propagation des spam utilise 2 voies
    http://assiste.com/p/frameset/06_chaine_du_spam.php

    La zombiification de ta machine représente la forme de propagation de plus de 50% du spam actuel
    http://assiste.com/p/frameset/06_38.php

    Utilise LA MANIP
    Certaines étapes te concernent mais l'utiliser en totalité, pas à pas, y compris dans ses recommendations, est un must. Ca veut dire, appliquer les patchs de sécurité, interdire à IE l'accès au Net et utiliser une alternative moins dangereuse, désactiver les services dangereux et inutiles (au moins avec safeXP et XP-antispy si on ne veut pas mettre les doigts dans le cambouis, appliquer les mesures préventives de vaccination etc. ...
    http://assiste.com/manip.html

    Pierre (aka Terdef)
    0
    1. JLB
       
      Tout d'abord un grand merci à Marco13 et TERDEF, vous êtes des chefs!!!!
      J'ai enfin réussi à lancer RAVANTIVIRUS qui a été très efficace contrairement à d'autres il a détecté 2 trojan dans c:\windows\downloaded program files mais les 2 fichiers vérolés n'apparaissent pas dans l'explorateur, dois-je les supprimer en mode sans échec ou avec la ligne de commande ou ...?(trojan remover n'a rien détecté lui!!!)
      Merci pour la réponse
      0
    2. JLB
       
      Salut terdef,
      comme j'ai pu l'écrire à marco13, je suis de nouveau ennuyé avec le même ver. Ravantivirus m'en avait trouvé deux que j'ai supprimés manuellement (2 DLL et 2 INF) mais le problème est réapparu! et Ravantivirus ne me détecte plus rien? je te joins le log de highjack au cas où... Merci
      Logfile of HijackThis v1.97.7
      Scan saved at 13:03:52, on 25/06/2004
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
      C:\Program Files\Norton AntiVirus\navapsvc.exe
      C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
      C:\Program Files\Norton AntiVirus\SAVScan.exe
      C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\AGRSMMSG.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\Program Files\SpywareGuard\sgmain.exe
      C:\Program Files\SpywareGuard\sgbhp.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      F:\Fichiers communs\HijackThis.exe
      F:\Fichiers communs\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr8l.hpwis.com
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = https://register.hp.com/servlet/WebReg.servlets.ProdReg1Servlet?appID=java_wreg_wreg_genpg&product_name=Compaq%20Presario%20X1000%20DL681A#ABF&PROD_SERIAL_ID=CND33101PP&PURCH_DT_MONTH=10&PURCH_DT_DAY=29&PURCH_DT_YEAR=2003&gwCountry=FR
      O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
      O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
      O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
      O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
      O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
      O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
      O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [jpeufse] rundll32 C:\WINDOWS\System32:jpeufse.dll,Init 1
      O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
      O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\mozilla.org\Mozilla\Mozilla.exe" -turbo
      O4 - HKLM\..\RunOnce: [*jpeufse] rundll32 C:\WINDOWS\System32:jpeufse.dll,Init 1
      O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
      O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O9 - Extra button: Messenger (HKLM)
      O9 - Extra 'Tools' menuitem: Messenger (HKLM)
      O14 - IERESET.INF: START_PAGE_URL=http://qfr8l.hpwis.com
      O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
      O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_cracks.cab
      O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/08563d74e0fa44b5e017/netzip/RdxIE601_fr.cab
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
      O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
      O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4367/mcfscan.cab
      O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwnad.com/cab/crack.CAB
      O17 - HKLM\System\CCS\Services\Tcpip\..\{1C6B9B99-5108-42F0-B00C-B6B5E2C39B79}: NameServer = 80.10.246.5 80.10.246.136
      0
  11. marco13 Messages postés 817 Statut Membre 98
     
    fais copier/coller du rapport de RAV sur ton message.
    0
  12. marco13 Messages postés 817 Statut Membre 98
     
    quand tu as fait ça, tu en profites pour faire ce que Terdef t'a dit en attendant qu'on te réponde.
    0
  13. marco13 Messages postés 817 Statut Membre 98
     
    0
    1. JLB
       
      Salut marco13
      Toujours les memes soucis. J'avais pensé etre débarassé du PB mais c'était un rêve. J'ai téléchargé Mozilla mais dès la 1ère utilisation c'est revenu, suis retourné sur Explorer, tranquille pendant qq temps mais pas suffisament. J'avais supprimpé 4 fichiers en mode commande mais peut etre ça n'a pas suffit...je te joins un log de highjack au cas où sinon je crois que je vais reformater de DD.
      Merci pour ta réponse
      Logfile of HijackThis v1.97.7
      Scan saved at 13:03:52, on 25/06/2004
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
      C:\Program Files\Norton AntiVirus\navapsvc.exe
      C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
      C:\Program Files\Norton AntiVirus\SAVScan.exe
      C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\AGRSMMSG.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\Program Files\SpywareGuard\sgmain.exe
      C:\Program Files\SpywareGuard\sgbhp.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      F:\Fichiers communs\HijackThis.exe
      F:\Fichiers communs\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr8l.hpwis.com
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = https://register.hp.com/servlet/WebReg.servlets.ProdReg1Servlet?appID=java_wreg_wreg_genpg&product_name=Compaq%20Presario%20X1000%20DL681A#ABF&PROD_SERIAL_ID=CND33101PP&PURCH_DT_MONTH=10&PURCH_DT_DAY=29&PURCH_DT_YEAR=2003&gwCountry=FR
      O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
      O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
      O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
      O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
      O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
      O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
      O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [jpeufse] rundll32 C:\WINDOWS\System32:jpeufse.dll,Init 1
      O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
      O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\mozilla.org\Mozilla\Mozilla.exe" -turbo
      O4 - HKLM\..\RunOnce: [*jpeufse] rundll32 C:\WINDOWS\System32:jpeufse.dll,Init 1
      O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
      O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O9 - Extra button: Messenger (HKLM)
      O9 - Extra 'Tools' menuitem: Messenger (HKLM)
      O14 - IERESET.INF: START_PAGE_URL=http://qfr8l.hpwis.com
      O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
      O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_cracks.cab
      O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/08563d74e0fa44b5e017/netzip/RdxIE601_fr.cab
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
      O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
      O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4367/mcfscan.cab
      O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwnad.com/cab/crack.CAB
      O17 - HKLM\System\CCS\Services\Tcpip\..\{1C6B9B99-5108-42F0-B00C-B6B5E2C39B79}: NameServer = 80.10.246.5 80.10.246.136
      0
    2. JL
       
      Salut marco
      toujours ennuyé avec le meme pb. je ne parviens pas à lire la réponse 2O peux tu me la renvoyer ?
      je commence à craquer....
      merci
      0
  14. Terdef Messages postés 1034 Statut Contributeur sécurité 133
     
    Bonjour,

    Fixe les lignes en gras. C'est une coupe sévère.

    Logfile of HijackThis v1.97.7
    Scan saved at 13:03:52, on 25/06/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
    C:\Program Files\Norton AntiVirus\SAVScan.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\AGRSMMSG.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\SpywareGuard\sgmain.exe
    C:\Program Files\SpywareGuard\sgbhp.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    F:\Fichiers communs\HijackThis.exe
    F:\Fichiers communs\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr8l.hpwis.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = https://register.hp.com/servlet/WebReg.servlets.ProdReg1Servlet?appID=java_wreg_wreg_genpg&product_name=Compaq%20Presario%20X1000%20DL681A#ABF&PROD_SERIAL_ID=CND33101PP&PURCH_DT_MONTH=10&PURCH_DT_DAY=29&PURCH_DT_YEAR=2003&gwCountry=FR


    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)

    O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

    O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

    O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
    O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
    O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

    O4 - HKLM\..\Run: [jpeufse] rundll32 C:\WINDOWS\System32:jpeufse.dll,Init 1

    O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
    ??? C'est quoi, ça ?

    O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe

    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    Dangereux ça

    O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\mozilla.org\Mozilla\Mozilla.exe" -turbo

    O4 - HKLM\..\RunOnce: [*jpeufse] rundll32 C:\WINDOWS\System32:jpeufse.dll,Init 1

    O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe

    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O14 - IERESET.INF: START_PAGE_URL=http://qfr8l.hpwis.com
    O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
    O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_cracks.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/08563d74e0fa44b5e017/netzip/RdxIE601_fr.cab


    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4367/mcfscan.cab

    O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwnad.com/cab/crack.CAB

    O17 - HKLM\System\CCS\Services\Tcpip\..\{1C6B9B99-5108-42F0-B00C-B6B5E2C39B79}: NameServer = 80.10.246.5 80.10.246.136

    Pierre (aka Terdef)
    0
    1. JLB
       
      Merci pour ton aide Terdef, je vais voir ce que ça donne
      A+
      0