Virus Raila Odinga

cta -  
verni29 Messages postés 6805 Statut Contributeur sécurité -
Bonjour,

papafang, le samedi 13 octobre 2007 à 10:47:55
Bonjour,
moi aussi j'ai un problème avec le virus Raila Odinga parce que à chaque fois que je connecte un lecteur usb, il ya tjs des fichiers word qui s'affichent mais avec extension .exe
J'ai déjà formaté le lecteur mais ca revient toujours et il ya aussi ce virus Raila Odinga qui s'affiche sur mon bureau.
Je le supprime mais à peine 3 secondes après, il reapparait.
Comment dois je faire pour éradiquer ce virus sur mon ordinateur
voila la raport de scan:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:08:48, on 09/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Windows Live\Contrôle parental\fssui.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\RACHIDA.exe
C:\documents and settings\c.t.a rachid1973\local settings\application data\egcigmo.exe
C:\Program Files\Menara\dslmon.exe
C:\WINDOWS\system32\drivers\RACHIDA.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox 3 Beta 1\firefox.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Menara
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Windows Live OneCare Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Contrôle parental\fssbho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Program Files\HP\Smart Web Printing\SmartWebPrinting.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Contrôle parental\fssui.exe" -autorun
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\nsinet.exe /res
O4 - HKCU\..\Run: [DriverUpdaterPro] C:\Program Files\XPC Tools\Driver Updater Pro\DriverUpdaterPro.exe -t
O4 - HKCU\..\Run: [ares] "E:\Ares.exe" -h
O4 - HKCU\..\Run: [] C:\WINDOWS\system32\drivers\RACHIDA
O4 - HKCU\..\Run: [egcigmo] "c:\documents and settings\c.t.a rachid1973\local settings\application data\egcigmo.exe" egcigmo
O4 - Startup: RACHIDA.lnk = ?
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A883E3A-926B-40A5-8AFC-F10C2660CA9A}: NameServer = 196.217.246.211 212.217.0.13
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe

--
End of file - 5983 bytes
Configuration: Windows XP
Firefox 3.0.1

17 réponses

  1. g!rly Messages postés 18462 Statut Contributeur 407
     
    Salut,

    Fais un clic droit sur ce lien :
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
    Copie-colle l'intégralité dans une réponse. Referme le blocnote.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

    @+
    0
  2. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonjour, cta

    Ton problème n'est pas seulement le virus Ralia Odinga, c'est qu'il n'y a aucune protection sur ton PC.
    Pas d'antivirus, pas de parefeu, seulement un antispyware.

    Commence par ceci.

    1) Installe Antivir.
    tuto antivir :
    https://www.malekal.com/avira-free-security-antivirus-gratuit/

    2) Installe un parefeu :

    pare-feu gratuits :

    Zone alarm :
    https://www.malekal.com/tutoriel-zonealarm-firewall/

    - Comodo™ Firewall ( version 3.0 en anglais, sinon 2.4 multi-langues )
    https://www.malekal.com/tutorial-comodo-firewall/
    http://www.personalfirewall.comodo.com/download_firewall.html#fw2.4

    - Kerio Personal Firewall
    https://www.malekal.com/tutorial-et-guide-counterspy/

    3) il y a une infection navipromo sur ton PC :

    Télécharge navilog d'il mafioso.
    http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe
    Tu l’installes.
    Double-clique sur le raccourci qui a été crée sur le bureau.
    Choisis l'option 1.

    Une fois l’analyse terminée, un rapport va s’ouvrir dans le bloc-notes.
    Tu copies et colles le texte de ce rapport dans ton prochain message.

    On verra après pour le virus olinga.

    A+
    0
    1. cta
       
      bonjour,
      merci beaucoup pour ton aide
      voila le raportv de navilog:
      Search Navipromo version 3.6.5 commencé le 10/09/2008 à 10:37:42,62

      !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
      !!! Postez ce rapport sur le forum pour le faire analyser !!!
      !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

      Outil exécuté depuis C:\Program Files\navilog1
      Session actuelle : "c.t.a rachid1973"

      Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO


      Microsoft Windows XP [version 5.1.2600]
      Internet Explorer : 6.0.2900.2180
      Système de fichiers : NTFS

      Recherche executé en mode normal

      *** Recherche Programmes installés ***

      Favorit

      *** Recherche dossiers dans "C:\WINDOWS" ***


      *** Recherche dossiers dans "C:\Program Files" ***


      *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


      *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


      *** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


      *** Recherche dossiers dans "C:\Documents and Settings\c.t.a rachid1973\applic~1" ***


      *** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


      *** Recherche dossiers dans "C:\Documents and Settings\c.t.a rachid1973\locals~1\applic~1" ***


      *** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


      *** Recherche dossiers dans "C:\Documents and Settings\c.t.a rachid1973\menudm~1\progra~1" ***


      *** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


      *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
      pour + d'infos : http://www.gmer.net



      *** Recherche avec GenericNaviSearch ***
      !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
      !!! A vérifier impérativement avant toute suppression manuelle !!!

      * Recherche dans "C:\WINDOWS\system32" *

      * Recherche dans "C:\Documents and Settings\c.t.a rachid1973\locals~1\applic~1" *

      * Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *



      *** Recherche fichiers ***


      C:\WINDOWS\system32\nvs2.inf trouvé !

      *** Recherche clés spécifiques dans le Registre ***


      *** Module de Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Recherche nouveaux fichiers Instant Access :


      2)Recherche Heuristique :

      * Dans "C:\WINDOWS\system32" :


      * Dans "C:\Documents and Settings\c.t.a rachid1973\locals~1\applic~1" :

      egcigmo.dat trouvé !
      egcigmo.exe trouvé !
      egcigmo_nav.dat trouvé !
      egcigmo_navps.dat trouvé !

      * Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


      3)Recherche Certificats :

      Certificat Egroup trouvé !
      Certificat Electronic-Group trouvé !
      Certificat Montorgueil absent !
      Certificat OOO-Favorit trouvé !
      Certificat Sunny-Day-Design-Ltd absent !

      4)Recherche fichiers connus :



      *** Analyse terminée le 10/09/2008 à 10:43:13,01 ***
      0
    2. cta
       
      bsr,bonne année pliene de joie et d'amour,
      j'ai un probléme avec mon ordinateur qui ne fonctionne pas bien peut-etres il est pliene de virus.vieullez m'aider cvp merci.
      0
      1. verni29 Messages postés 6805 Statut Contributeur sécurité 180 > cta
         
        salut, cta

        Télécharge et installe HijackThis .
        http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

        Choisir « Download Hijackthis Installer »
        Après l'installation, un raccourci sera crée sur le bureau. Double-clique dessus pour le lancer ( si sous Vista --> Click droit et executer en tant qu’administrateur )

        Choisir l'option Do a system scan and save a logfile.
        Le rapport va s'ouvrir. Tu copies/colles le contenu de ce rapport dans ton prochain message

        A+
        0
  3. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    As-tu installé un antivirus et un parefeu ? C'est important pour la suite.

    Tu relances Navilog et tu choisis l'option 2.

    Ton PC va redémarrer. C'est normal. Pour cela, tu fermes toutes les fenêtres ouvertes.
    Après redémarrage, choisis ton compte.

    Un rapport va s'afficher.
    Tu copies/ colles ce rapport dans ton prochain message, ainsi qu'un rapport HijackThis.

    Désinstalle ensuite Navilog : panneau de configuration --> Ajout/Suppression de programmes

    A+
    0
  4. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Cta,
    A raison d'une réponse par jour, on est encore là à Noel.
    Peux-tu me dire si tu as une disponibilité ? Si oui, quand ?
    Il faut une bonne demi-journée pour mener à bout la désinfection de ton PC.

    A+
    0
    1. cta
       
      ok je suis préte
      du houjourd'huit je suis toujour connéctée.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    OK, Commence par le message
    http://www.commentcamarche.net/forum/affich 8340634 virus raila odinga#4

    Tu as toujours tes problèmes avec Ralia Odinga ?
    0
    1. cta
       
      oui et voila les raport que tu m'avez demander
      ***navilog1:***

      Clean Navipromo version 3.6.5 commencé le 11/09/2008 à 9:42:54,25

      Outil exécuté depuis C:\Program Files\navilog1
      Session actuelle : "c.t.a rachid1973"

      Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO


      Microsoft Windows XP [version 5.1.2600]
      Internet Explorer : 6.0.2900.2180
      Système de fichiers : NTFS

      Mode suppression automatique
      avec prise en charge résultats Catchme et GNS


      Nettoyage exécuté au redémarrage de l'ordinateur


      *** fsbl1.txt non trouvé ***
      (Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


      *** Suppression avec sauvegardes résultats GenericNaviSearch ***

      * Suppression dans "C:\WINDOWS\System32" *


      * Suppression dans "C:\Documents and Settings\c.t.a rachid1973\locals~1\applic~1" *


      * Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


      *** Suppression dossiers dans "C:\WINDOWS" ***


      *** Suppression dossiers dans "C:\Program Files" ***


      *** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


      *** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


      *** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


      *** Suppression dossiers dans "C:\Documents and Settings\c.t.a rachid1973\applic~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


      *** Suppression dossiers dans "C:\Documents and Settings\c.t.a rachid1973\locals~1\applic~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


      *** Suppression dossiers dans "C:\Documents and Settings\c.t.a rachid1973\menudm~1\progra~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***



      *** Suppression fichiers ***

      C:\WINDOWS\system32\nvs2.inf supprimé !

      *** Suppression fichiers temporaires ***

      Nettoyage contenu C:\WINDOWS\Temp effectué !
      Nettoyage contenu C:\Documents and Settings\c.t.a rachid1973\locals~1\Temp effectué !

      *** Traitement Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

      2)Recherche, création sauvegardes et suppression Heuristique :


      * Dans "C:\WINDOWS\system32" *


      * Dans "C:\Documents and Settings\c.t.a rachid1973\locals~1\applic~1" *


      egcigmo.exe trouvé !
      Copie egcigmo.exe réalisée avec succès !
      egcigmo.exe supprimé !

      egcigmo.dat trouvé !
      Copie egcigmo.dat réalisée avec succès !
      egcigmo.dat supprimé !

      egcigmo_nav.dat trouvé !
      Copie egcigmo_nav.dat réalisée avec succès !
      egcigmo_nav.dat supprimé !

      egcigmo_navps.dat trouvé !
      Copie egcigmo_navps.dat réalisée avec succès !
      egcigmo_navps.dat supprimé !

      C:\WINDOWS\prefetch\egcigmo*.pf trouvé !
      Copie C:\WINDOWS\prefetch\egcigmo*.pf réalisée avec succès !
      C:\WINDOWS\prefetch\egcigmo*.pf supprimé !


      * Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


      *** Sauvegarde du Registre vers dossier Safebackup ***

      sauvegarde du Registre réalisée avec succès !

      *** Nettoyage Registre ***

      Nettoyage Registre Ok


      *** Certificats ***

      Certificat Egroup supprimé !
      Certificat Electronic-Group supprimé !
      Certificat Montorgueil absent !
      Certificat OOO-Favorit supprimé !
      Certificat Sunny-Day-Design-Ltdt absent !

      *** Nettoyage terminé le 11/09/2008 à 9:47:56,82 ***


      ****raport HijackThis****

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 09:51:46, on 11/09/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\SOUNDMAN.EXE
      C:\WINDOWS\system32\igfxtray.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
      C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      C:\Program Files\Windows Live\Contrôle parental\fssui.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\Program Files\Menara\dslmon.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Menara
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
      O2 - BHO: Windows Live OneCare Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Contrôle parental\fssbho.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Program Files\HP\Smart Web Printing\SmartWebPrinting.dll
      O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Contrôle parental\fssui.exe" -autorun
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
      O4 - HKCU\..\Run: [DriverUpdaterPro] C:\Program Files\XPC Tools\Driver Updater Pro\DriverUpdaterPro.exe -t
      O4 - HKCU\..\Run: [ares] "E:\Ares.exe" -h
      O4 - HKCU\..\Run: [] C:\WINDOWS\system32\drivers\RACHIDA
      O4 - Startup: RACHIDA.lnk = ?
      O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
      O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
      O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
      O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      0
  7. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    On nettoie une autre infection sur ton PC et après on s'attache à raila odinga.

    1) Tu vas télécharger ComBoFix sur le bureau ( important ).
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    déconnecte toi du net.
    Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
    Lance Combofix.exe et suis les invites.
    Une fois le scan fini, un rapport va apparaitre.

    Copie/colle ce rapport dans ta prochaine réponse.
    Si tu ne le trouves pas, il est à C:\ComboFix.txt.

    réactive alors tes protections.

    2) Poste moi également un rapport Hijackthis.

    A+
    0
    1. cta
       
      bobjour ca va?
      voila les rapports:

      ComboFix 08-09-10.04 - c.t.a rachid1973 2008-09-12 10:21:23.1 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.88 [GMT 0:00]
      Endroit: C:\Documents and Settings\c.t.a rachid1973\Bureau\ComboFix.exe
      * Création d'un nouveau point de restauration

      [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\Documents and Settings\c.t.a rachid1973\Bureau\Raila Odinga.gif

      .
      ((((((((((((((((((((((((((((( Fichiers créés 2008-08-12 to 2008-09-12 ))))))))))))))))))))))))))))))))))))
      .

      2008-09-11 09:20 . 2008-09-12 10:25 217,120 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
      2008-09-11 09:20 . 2008-09-11 09:44 1,748 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
      2008-09-11 09:07 . 2008-09-11 09:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
      2008-09-11 09:07 . 2008-07-09 09:05 75,248 --a------ C:\WINDOWS\zllsputility.exe
      2008-09-11 09:07 . 2008-07-09 09:05 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
      2008-09-11 09:07 . 2008-07-09 09:05 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll
      2008-09-11 09:07 . 2008-07-09 09:05 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
      2008-09-11 09:07 . 2008-07-09 09:05 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
      2008-09-11 09:07 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
      2008-09-11 09:07 . 2008-09-11 09:18 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
      2008-09-11 09:06 . 2008-09-11 09:06 <REP> d-------- C:\Program Files\Zone Labs
      2008-09-10 16:03 . 2008-09-12 09:35 <REP> d-------- C:\WINDOWS\Internet Logs
      2008-09-10 14:34 . 2008-09-10 14:34 <REP> d-------- C:\Program Files\Avira
      2008-09-10 14:34 . 2008-09-10 14:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
      2008-09-10 10:36 . 2008-09-11 10:06 <REP> d-------- C:\Program Files\Navilog1
      2008-09-09 14:03 . 2008-09-09 14:03 2,378 --a------ C:\Documents and Settings\Orph.egd
      2008-09-09 14:02 . 2008-09-09 14:04 <REP> d-------- C:\ToolBar SD
      2008-09-09 12:54 . 2008-09-09 12:54 <REP> d-------- C:\Program Files\Trend Micro
      2008-09-09 11:12 . 2008-09-09 11:12 268 --ah----- C:\sqmdata11.sqm
      2008-09-09 11:12 . 2008-09-09 11:12 244 --ah----- C:\sqmnoopt11.sqm
      2008-09-09 10:19 . 2008-09-09 10:19 268 --ah----- C:\sqmdata10.sqm
      2008-09-09 10:19 . 2008-09-09 10:19 244 --ah----- C:\sqmnoopt10.sqm
      2008-09-08 09:22 . 2008-09-08 09:22 268 --ah----- C:\sqmdata09.sqm
      2008-09-08 09:22 . 2008-09-08 09:22 244 --ah----- C:\sqmnoopt09.sqm
      2008-09-06 12:31 . 2008-09-06 12:31 268 --ah----- C:\sqmdata08.sqm
      2008-09-06 12:31 . 2008-09-06 12:31 244 --ah----- C:\sqmnoopt08.sqm
      2008-09-06 09:08 . 2008-09-06 09:18 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak
      2008-09-05 10:50 . 2008-09-05 10:50 244 --ah----- C:\sqmnoopt07.sqm
      2008-09-05 10:50 . 2008-09-05 10:50 232 --ah----- C:\sqmdata07.sqm
      2008-08-19 09:14 . 2008-08-19 09:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\FLEXnet
      2008-08-19 08:50 . 2008-08-19 08:50 <REP> d-------- C:\Program Files\Bonjour
      2008-08-19 08:40 . 2008-08-19 08:40 <REP> d-------- C:\Program Files\Fichiers communs\Macrovision Shared
      2008-08-15 09:09 . 2008-05-01 14:31 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-09-12 09:38 --------- d-----w C:\Program Files\Mozilla Firefox 3 Beta 1
      2008-09-08 09:29 --------- d-----w C:\Program Files\Windows Live
      2008-08-19 08:50 --------- d-----w C:\Program Files\Fichiers communs\Adobe
      2008-08-09 10:14 --------- d-----w C:\Program Files\Fichiers communs\xing shared
      2008-08-09 10:13 --------- d-----w C:\Program Files\Fichiers communs\Real
      2008-08-09 10:08 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
      2008-08-09 10:08 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
      2008-08-09 10:07 --------- d-----w C:\Program Files\Real
      2008-07-26 14:42 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
      2008-07-26 10:47 --------- d-----w C:\Documents and Settings\c.t.a rachid1973\Application Data\Symantec
      2008-07-18 22:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
      2008-07-18 22:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
      2008-07-18 22:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
      2008-07-18 22:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
      2008-07-18 22:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
      2008-07-18 22:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
      2008-07-18 22:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
      2008-07-18 22:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
      2008-07-18 22:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
      2008-07-18 22:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
      2008-07-18 09:21 --------- d-----w C:\Documents and Settings\All Users\Application Data\HP
      2008-07-18 09:15 --------- d-----w C:\Documents and Settings\c.t.a rachid1973\Application Data\Grisoft
      2008-07-18 09:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
      2008-07-17 10:00 --------- d-----w C:\Program Files\Business-in-a-Box
      2008-07-09 09:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
      2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
      2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
      2008-06-23 15:40 663,552 ----a-w C:\WINDOWS\system32\wininet.dll
      2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
      .

      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
      "MsnMsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
      "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2003-04-06 155648]
      "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2003-04-06 114688]
      "GhostStartTrayApp"="C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe" [2002-08-14 94208]
      "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
      "fssui"="C:\Program Files\Windows Live\Contrôle parental\fssui.exe" [2007-12-17 243240]
      "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
      "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-08-09 185896]
      "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
      "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
      "SoundMan"="SOUNDMAN.EXE" [2003-12-19 C:\WINDOWS\SOUNDMAN.EXE]

      C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
      DSLMON.lnk - C:\Program Files\Menara\dslmon.exe [2008-06-23 839680]

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "C:\\Program Files\\Messenger\\msmsgs.exe"=
      "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
      "C:\\Program Files\\Mozilla Firefox 3 Beta 1\\firefox.exe"=
      "C:\\Program Files\\Bonjour\\mDNSResponder.exe"=

      R1 GhPciScan;GhostPciScanner;C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys [2002-08-14 5632]
      R2 fssfltr;FssFltr;C:\WINDOWS\system32\DRIVERS\fssfltr.sys [2007-10-17 43816]
      R2 fsssvc;Windows Live OneCare Contrôle parental;C:\Program Files\Windows Live\Contrôle parental\fsssvc.exe [2007-12-17 523816]
      R3 e4usbaw;USB ADSL2 WAN Adapter;C:\WINDOWS\system32\DRIVERS\e4usbaw.sys [2006-05-04 114616]
      S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);C:\WINDOWS\system32\Drivers\e4ldr.sys [2006-03-02 63555]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
      hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a818d1e8-3ddc-11dd-995f-000d603c3cb1}]
      \Shell\AutoRun\command - F:\uis.com
      \Shell\explore\Command - F:\uis.com
      \Shell\open\Command - F:\uis.com

      *Newly Created Service* - PROCEXP90
      .
      Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
      .
      - - - - ORPHANS REMOVED - - - -

      HKCU-Run-DriverUpdaterPro - C:\Program Files\XPC Tools\Driver Updater Pro\DriverUpdaterPro.exe
      HKCU-Run-ares - E:\Ares.exe


      .
      ------- Supplementary Scan -------
      .
      FireFox -: Profile - C:\Documents and Settings\c.t.a rachid1973\Application Data\Mozilla\Firefox\Profiles\d67ipo7p.default\
      FF -: plugin - C:\Program Files\Adobe\Acrobat 6.0\Reader\browser\nppdf32.dll
      FF -: plugin - C:\Program Files\Mozilla Firefox 3 Beta 1\plugins\np-mswmp.dll
      FF -: plugin - C:\Program Files\Mozilla Firefox 3 Beta 1\plugins\npnul32.dll
      FF -: plugin - C:\Program Files\Mozilla Firefox 3 Beta 1\plugins\NPOFFICE.DLL
      FF -: plugin - C:\Program Files\Mozilla Firefox 3 Beta 1\plugins\nppl3260.dll
      FF -: plugin - C:\Program Files\Mozilla Firefox 3 Beta 1\plugins\nprjplug.dll
      FF -: plugin - C:\Program Files\Mozilla Firefox 3 Beta 1\plugins\nprpjplug.dll
      .

      **************************************************************************

      catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-09-12 10:24:17
      Windows 5.1.2600 Service Pack 2 NTFS

      Balayage processus cachés ...

      Balayage caché autostart entries ...

      Balayage des fichiers cachés ...

      Scan terminé avec succès
      Les fichiers cachés: 0

      **************************************************************************
      .
      Temps d'accomplissement: 2008-09-12 10:29:55
      ComboFix-quarantined-files.txt 2008-09-12 10:29:37

      Pre-Run: 10,516,414,464 octets libres
      Post-Run: 10,587,623,424 octets libres

      154 --- E O F --- 2008-08-15 18:19:39

      //////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 10:32, on 12/09/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\WINDOWS\system32\igfxtray.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
      C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      C:\Program Files\Windows Live\Contrôle parental\fssui.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Menara\dslmon.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\system32\notepad.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
      O2 - BHO: Windows Live OneCare Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Contrôle parental\fssbho.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Program Files\HP\Smart Web Printing\SmartWebPrinting.dll
      O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Contrôle parental\fssui.exe" -autorun
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
      O4 - Startup: RACHIDA.lnk = ?
      O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
      O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
      O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
      O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
      O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      0
  8. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Peux-tu me dire si il y a des améliorations ?

    1) Ouvre le bloc-notes et copie le texte en citation.
    Enregistre le sur le bureau et nomme le fix.txt

    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    @ =-


    Renomme le en fix.reg ( click droit --> renommer )
    Click droit sur ce fichier --> choisis Fusionner.

    2) Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
    Double-clique sur OTMoveIt.exe pour le lancer.
    Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.

    C:\Documents and Settings\c.t.a rachid1973\Menu Démarrer\Programmes\Démarrage\RailaOdinga.lnk
    C:\Windows\System32\drivers\RailaOdinga.exe


    clique sur MoveIt! pour lancer la suppression.
    Le résultat apparaitra dans le cadre "Results".
    Clique sur Exit pour fermer.
    Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
    Il est possible que ton ordinateur redémarre pour supprimer les fichiers.

    A+
    0
    1. cta
       
      bonjour ca va?
      oiu merci bouceaup il y a vraiment des améliorations sur mon ordinateur en plus le raila odinga il est disparu
      mais j'ai pas compri la premiére etape

      1) Ouvre le bloc-notes et copie le texte en citation.
      Enregistre le sur le bureau et nomme le fix.txt

      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run]
      @ =-

      Renomme le en fix.reg ( click droit --> renommer )
      Click droit sur ce fichier --> choisis Fusionner.

      par ce que quand je click droit sur ce fichier je trouve pas ( fusionner ).
      merci.
      0
  9. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Je te détaille la manip :

    1) Ouvre le bloc-notes.
    pour cela, clique sur :
    démarrer --> tous les programmes --> accessoires --> puis enfin Bloc-notes

    C'est un éditeur de texte, le plus simple qu'on puisse trouver.

    2) reviens dans la discussion en cours et copie le texte en italique ci-dessous ;
    Pour cela, tu le sélectiones en pointant au début du texte et en gardant la souris enfoncé.
    Le texte devrait appraitre en bleu.
    Menu edition --> Copier

    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion­­\Run]
    @ =-


    3) retourne dans le bloc-notes et colle ce texte.
    Pareil : menu edition --> coller

    4) Maintenant, il faut correctement enregistrer ce fichier :

    Menu Fichier --> enregistrer sous --> une boite de dialogue va s'ouvrir
    Il y a deux lignes en bas de la fenetre :
    - la première pour le nom : tape fix.reg
    - la deuxième pour le type : clique sur l'onglet pour faire apparaitre tous les fichiers (*.* )

    il te reste alors à choisir l'emplacement où tu vas l'enregistrer.
    Clique sur le flêche en haut jusqu'à arriver au bureau.

    5) Le fichier devrait apparaitre sur le bureau et se nommer fix.reg.
    Fais un click droit sur ce ficheir et choisis fusionner.

    Puis passe OTMoveIT comme indiqué dans le message 11, partie 2.

    Ce n'est pas pour autant terminé.
    Il restera à passer des outils pour vérifier la présence d'autres vorus sur ton PC et nettoyer correctemment le virus railaOdinga qui a infecté également tes supports amovibles ( clés USB et disque dur externe, si tu en as ).

    A+
    0
    1. cta
       
      bjr verni29 ca va toi comment va tu?
      merci tres fort pour tes consielles,le raila odinga il'est totalment disparu de mon bureau
      mais j'ai un probleme avec le parfeu ( ZoneAlarm Security) chaque fois il me bloque d'accer à l'internet et j'arrive pas a entré juste quande je ferme le par feu et apres quande je suis connecter je fiare marcher le parfeu
      merci
      0
  10. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonjour, cta

    Quand tu dis que le virus n'est plus présent, il n'y a plus l'affichage sur ton bureau de ce message.
    Par contre, il faut nettoyer les autres fichiers qui sont présents sur ton PC.

    1) Premièrement, as-tu fais la manip avec OTmoveIT2 ?
    Envoie moi le rapport pour cette manip.
    http://www.commentcamarche.net/forum/affich 8340634 virus raila odinga#11 ( partie 2 )

    2) Il reste un dernier fichier à supprimer : system.dll

    Pour cela, il faut faire apparaitre les fichiers cachés

    Pour montrer sur l'ordinateur tous les fichiers, cachés et systèmes :
    --> Poste de travail --> Outils --> Options des dossiers --> Onglet Affichage
    Vérifier que " Afficher les fichiers et dossiers cachés" est coché.
    Vérifier que " Masquer les fichiers protégés du système d'exploitation ( recommandé )" est décoché.

    la recherche peut alors se faire en demandant dans les options avancées de la fenêtre de sélectionner :
    --> "Rechercher dans les fichiers et les dossiers cachés ".
    --> " Rechercher dans les dossiers systèmes"

    Le fichier devrait se trouver dans un sous répertoire de :
    C:\Documents and Settings\c.t.a rachid1973\local Settings\Temp\

    Lance une recherche sur le fichier system.dll et indique moi précisement le chemin que tu auras trouvé.

    3) Branche tous tes supports amovibles ( clés USB et disque dur externe ).
    Supprimer smss.exe et Raila Odinga.gif si ils sont présents sur ces supports.
    Tu me diras si tu les as trouvé.

    4) On va nettoyer ces supports amovibles :

    Télécharge RavAntivirus :
    http://ww25.evosla.com/compteur.php?soft=rav_antivirus

    Important : Si tu as une ou plusieurs clés USB, un disque externe, ...., branche-les sans les ouvrir avant de lancer ce logiciel.

    Fais un clic droit sur le fichier RAV.zip --> Extraire sur --> Bureau
    Double-clique sur RAV.exe pour lancer l'outil.

    Une fois RAV ANTIVIRUS lancé, laisse le travailler.
    Si il y a une infection, un rapport va s'afficher, sinon tu auras le message suivant : " Votre Ordinateur est sain " .

    Retire la clé USB ou autre disque dur externe et redémarre l'ordinateur.
    Poste le rapport si il y a une infection.

    A+
    0
    1. cta
       
      bjr,verni29
      oui bieb sur j'ai deja fais la manip avec OTmoveIT2 ? et voila le raport:
      File/Folder C:\Documents and Settings\c.t.a rachid1973\Menu Démarrer\Programmes\Démarrage\RailaOdinga.lnk not found.
      File/Folder C:\Windows\System32\drivers\RailaOdinga.exe not found.

      OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09172008_100630

      qaund je termine les etapes restons je te donnerai la reponse.
      merci
      0
  11. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    OK , A+
    0
    1. cta
       
      bjr ca va toi ?
      j'ai pas repondu par ce que j'été en voiyage, qaund j'ai retourné j'ai trouver des truque qui ne son pas bien sur mon ordinateur
      et voila le raporte de HijackThis:

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 12:08, on 23/09/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\WINDOWS\system32\igfxtray.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
      C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Menara\dslmon.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\Windows Live\Messenger\usnsvc.exe
      C:\Program Files\Mozilla Firefox 3 Beta 1\firefox.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
      O2 - BHO: Windows Live OneCare Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Contrôle parental\fssbho.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Program Files\HP\Smart Web Printing\SmartWebPrinting.dll
      O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Contrôle parental\fssui.exe" -autorun
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
      O4 - Startup: RACHIDA.lnk = ?
      O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
      O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
      O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O17 - HKLM\System\CCS\Services\Tcpip\..\{4A883E3A-926B-40A5-8AFC-F10C2660CA9A}: NameServer = 196.217.246.211 212.217.0.13
      O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
      O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      0
  12. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    As-tu fait les étapes que je te demandais : recherche de system.dll et passer RAV.

    Pour cette manipulation, je te conseille de noter ou d'imprimer ce texte car la désinfection va se faire en mode sans échec et tu n'auras pas accès à Internet pour visualiser les consignes.
    Autre astuce : Copie/colle le texte dans un fichier .txt que tu enregistres sur ton bureau. Tu le retrouveras alors sur ton bureau et en mode sans échec.

    Tu télécharges MalwareBytes.
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Tu l'installes. Choisis les options par défaut.
    A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’exécuter .
    Ne choisis que la mise à jour. Le logiciel sera lancé en mode sans échec.

    Tu relances l'ordinateur en mode sans échec ( tapote la touche F8 après redémarrage ).
    Tu choisis ton compte utilisateur.

    Pour lancer MalwareBytes, double-clique sur le raccourci du bureau.

    Dans l’onglet Recherche, sélectionne Exécuter un examen complet.
    Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur.
    Clique sur lancer l’examen.

    A la fin de la recherche, Comme il est demandé, clique sur afficher les résultats de la recherche.
    Choisis alors Supprimer la selection pour nettoyer les infections.
    Tu postes le rapport dans ton prochain message.

    Si tu ne le retrouves pas, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est.
    Clique dessus et choisir ouvrir.

    A+
    0
    1. cta
       
      bj ca va
      bien sur j'ai fait les étapes que tu ma demandais : recherche de system.dll et passer RAV.

      et voila le raport :

      Malwarebytes' Anti-Malware 1.28
      Version de la base de données: 1201
      Windows 5.1.2600 Service Pack 2

      24/09/2008 12:20:49
      mbam-log-2008-09-24 (12-20-49).txt

      Type de recherche: Examen complet (C:\|D:\|)
      Eléments examinés: 75154
      Temps écoulé: 37 minute(s), 49 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
  13. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Une dernière vérification :

    Tu vas sur le site de Kaspersky:
    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

    Clique sur Demarrer Online-scanner ( en bas de page à droite ) pour commencer l'analyse.
    Il te sera demandé d'installer un logiciel de Kaspersky, accepte.

    A la fin de cette analyse, clique sur enregistrer le rapport.
    Poste le contenu de ce rapport dans ton prochain message.

    tuto :
    https://forum.pcastuces.com/default.asp

    A+
    0
    1. cta
       
      bjr,
      voila le raport de hijackthis

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 17:44:23, on 30/12/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Unable to get Internet Explorer version!
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\Explorer.exe
      C:\WINDOWS\VM_STI.EXE
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\WINDOWS\system32\RVHOST.exe
      C:\Program Files\Menara\dslmon.exe
      C:\Program Files\Google\Google Updater\GoogleUpdater.exe
      C:\WINDOWS\system32\RVHOST.exe
      C:\PROGRA~1\Magentic\bin\MgApp.exe
      C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Documents and Settings\tazebama.dl_
      C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
      C:\Program Files\Mozilla Firefox 3 Beta 1\firefox.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://www.menara.ma/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Menara
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
      F2 - REG:system.ini: Shell=Explorer.exe RVHOST.exe
      O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
      O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
      O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Vimicro USB PC Camera (VC0305)
      O4 - HKLM\..\Run: [Systry] C:\WINDOWS\system32\notepad.exe
      O4 - HKLM\..\Run: [userd] C:\WINDOWS\RECYCLER\systems.com
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
      O4 - HKCU\..\Run: [Yahoo Messengger] C:\WINDOWS\system32\RVHOST.exe
      O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
      O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
      O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
      O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
      O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?68de144a1fc34dc6bc68c53a66615026
      O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?68de144a1fc34dc6bc68c53a66615026
      O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
      O14 - IERESET.INF: START_PAGE_URL=http://www.01net.com/telecharger/
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{BDAA1DE4-501A-4291-9CFD-024552229DCF}: NameServer = 196.217.246.211 212.217.0.13
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      0
  14. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Peux-tu me décrire les problèmes que tu as sur ton PC ?

    Télécharge MSNfix (de !aur3n7) sur ton bureau.
    http://sosvirus.changelog.fr/MSNFix.zip

    Dézippe-le en faisant un clic droit puis extraire sur le bureau.
    Double-clique sur MSNfix.bat. dans le dossier crée.
    Choisis l'option R. Si l'infection est détectée, il te suffit d'appuyer sur une touche du clavier.
    Un redémarrage du PC peut être demandé.

    Le rapport est enregistré dans le même dossier que MSNfix (format date_heure.txt).
    Copie-colle son contenu dans ta prochaine réponse.

    A+
    0
  15. leon scott kennedy Messages postés 163 Statut Membre 24
     
    suis ça
    Bon Redemmare en Mode sans echec
    Supprime ce qui sont dans Programme/ Demmarage ( KillVbs.exe, ...)
    Supprime "raila odinga.gif" qui devait se trouver sur le Bureau
    Tapez regedit dans Demmarer / Executer
    Rechercher HKCU\Software\Microsoft\CurrentVersion\Run "(Default)", Ouvrir / Supprime les Données Présent. Cela devrait être un Chemin.
    si tu finis tous ça va sur ce lien et télécharges le patch ROpacth.rar : http://net-studio.org/fr/application/ropatsa.php
    ou installe avira free antvir que tu pourras le supprimer
    0
  16. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonjour,

    Je ne crois pas que cta vient pour son infection de Raila Odinga.
    Il y a plusieurs infections visibles dans le rapport autre que celle-là.

    Salut.
    0
    1. cta
       
      bjr,
      c'est bon, mais comment je peut éviter ces iinfections visibles
      0
  17. leon scott kennedy Messages postés 163 Statut Membre 24
     
    Quand raila odinga pirate un poste il envoie n'importe quel virus si tu le supprime tu refais un scan avec ton antivirus pour eliminer les trojan slt je m'eclipse
    0
  18. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    As-tu suivi les consignes du message 25 ?
    0