Bonjour, J'ai sur mon PC (pas celui sur lequel je vous écrit en ce moment mais un autre) un virus microAV.exe et je n'ai plus accès à mon antivirus (avast!) car on me signale que ma clé est expirée. J'ai vu la solution proposée par Destrio5, le jeudi 11 septembre 2008 à 15:16:44 (Télécharge HijackThis V 2.02 (HijackThis Installer)), mais le problème est que mon accès internet est bloqué ; le message "HTTP 404 Non trouvé" s'affiche dans l'onglet de la fenêtre internet explorer quand j'essaie une fois, et quand j'essaie plusieurs fois, le message "Reported Insecure Browsing: Navigation blocked" apparaît. Je ne vois plus apparaître mon disque dur dans le poste de travail...je stresse un peu... HELP !!! Merci d'avance pour votre aide

Bonjour, on va avancer DllD. Sur l'ordi sain, Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php et télécharge SmitfraudFix.exe. Copie le sur ta clé et recopie le sur l'ordi infecté. Regarde le tuto Exécute le en choisissant l’option 1, il va générer un rapport Copie/colle le sur le poste stp. Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Micro Antivirus 2009

Réponse 21 / 38

Utilisateur anonyme
13 sept. 2008 à 12:34

Salut,

Tu ne fais pas les choses comme il se doit !

Il fallait exécuter le script et non pas faire un simple scanne avec Combo !

Fais ceci stp avant :
> Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
N.B. : Le scan ne marche que sous Internet Explorer.
- Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...). Allume les si necessaire.
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
- On va te demander de télécharger un contrôle active x, accepte .
- Dans le menu < Choisissez la cible de l'analyse >, sélectionne < Poste de travail >. Le scan va commencer.
- Poste le rapport qui sera généré stp. (clique sur <enregistrer le rapport> puis sauvegarde-le sur ton bureau en choisissant "fichier texte (*.txt)" pour l'extension).
S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
Pour le rapport Kaspersky il faut que tu choisisses "Afficher le rapport" puis que tu l'enregistres sur ton bureau sous forme de fichier texte (type de fichier "tous les fichiers").

A+

Réponse 22 / 38

guysmoh
13 sept. 2008 à 19:10

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, September 13, 2008 7:08:39 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 13/09/2008
Enregistrements dans la base antivirus Kaspersky : 1090256
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
C:\
D:\
E:\

Statistiques de l'analyse:
Total d'objets analysés: 83123
Nombre de virus trouvés: 9
Nombre d'objets infectés: 22 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:44:33

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\INDEX.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Application Data\Skype\aurelieysebaert\call256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Application Data\Skype\aurelieysebaert\callmember256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Application Data\Skype\aurelieysebaert\chat4096.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Application Data\Skype\aurelieysebaert\chat512.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Application Data\Skype\aurelieysebaert\chatmsg1024.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Application Data\Skype\aurelieysebaert\chatmsg2048.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Application Data\Skype\aurelieysebaert\chatmsg256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Application Data\Skype\aurelieysebaert\chatmsg512.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Application Data\Skype\aurelieysebaert\contactgroup256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Application Data\Skype\aurelieysebaert\index2.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Application Data\Skype\aurelieysebaert\profile256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Application Data\Skype\aurelieysebaert\user1024.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Application Data\Skype\aurelieysebaert\user16384.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Application Data\Skype\aurelieysebaert\user256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Application Data\Skype\aurelieysebaert\user4096.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Application Data\Skype\aurelieysebaert\voicemail256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Local Settings\Historique\History.IE5\INDEX.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Local Settings\Historique\History.IE5\MSHist012008091320080914\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Xav\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\tdssserv.sys.vir Infecté : Backdoor.Win32.Agent.qqh ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\tdssadw.dll.vir Infecté : Rootkit.Win32.Clbd.jj ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\tdssl.dll.vir Infecté : Trojan-Downloader.Win32.Small.acri ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\tdsslog.dll.vir Infecté : Backdoor.Win32.Agent.rfv ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\tdssmain.dll.vir Infecté : Backdoor.Win32.Agent.rfw ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\tdsspopup.dll.vir Infecté : Backdoor.Win32.UltimateDefender.gen ignoré
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP719\A0207382.exe Infecté : Trojan.Win32.Agent.acqs ignoré
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP720\A0207383.exe Infecté : Trojan.Win32.Agent.acqs ignoré
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP720\A0207384.exe Infecté : Trojan.Win32.Agent.acrp ignoré
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP720\A0207385.exe Infecté : Trojan.Win32.Agent.acrp ignoré
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP720\A0207387.exe Infecté : Trojan.Win32.Agent.acqs ignoré
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP720\A0208383.exe Infecté : Trojan.Win32.Agent.acqs ignoré
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP721\A0210383.exe Infecté : Trojan.Win32.Agent.acqs ignoré
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP721\A0212383.sys Infecté : Backdoor.Win32.Agent.qqh ignoré
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP722\A0212434.dll Infecté : Rootkit.Win32.Clbd.jj ignoré
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP722\A0212436.dll Infecté : Trojan-Downloader.Win32.Small.acri ignoré
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP722\A0212437.dll Infecté : Backdoor.Win32.Agent.rfw ignoré
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP722\A0212438.dll Infecté : Backdoor.Win32.Agent.rfv ignoré
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP722\A0212439.dll Infecté : Backdoor.Win32.UltimateDefender.gen ignoré
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP723\A0212503.dll Infecté : Trojan.Win32.Monder.ntr ignoré
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP725\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\CONFIG\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\CONFIG\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\CONFIG\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\CONFIG\SAM L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\CONFIG\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\CONFIG\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\CONFIG\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\H323LOG.TXT L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\sqchylwn.dll Infecté : Trojan.Win32.Monder.ntr ignoré
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\WIADEBUG.LOG L'objet est verrouillé ignoré
C:\WINDOWS\WIASERVC.LOG L'objet est verrouillé ignoré
C:\x Infecté : Trojan.Win32.Agent.acqs ignoré

Analyse terminée.

Utilisateur anonyme
13 sept. 2008 à 19:32

Bonsoir,
ok : parfait.

Je t'envoie la suite (j'ai rajouté des fichiers à la manip de toute à l'heure).

/!\ Pour les personnes ayant les mêmes problèmes ou similaires /!\
Cette manip. est spécifique au PC de l'utilisateur ayant créé cette discussion. La reproduire sur un autre ordinateur pourrait endommager le système.

Alors,
il faut bien que tu exécutes le script (glisser/coller sur l'icone de Combofix) pour que les suppressions se fassent...

> Avec Combofix :
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes :

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9AA03039-E583-46DE-817C-15595E7E8607}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{F016D54B-6B00-47B8-882D-296D2B2D9579}"=-
[-HKEY_CLASSES_ROOT\clsid\{f016d54b-6b00-47b8-882d-296d2b2d9579}]
[-HKEY_CLASSES_ROOT\fqbewlna.1]
[-HKEY_CLASSES_ROOT\TypeLib\{E99E9593-F392-49F9-BE80-242D208748B7}]
[-HKEY_CLASSES_ROOT\fqbewlna]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"18d0cf17"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-

File::
C:\WINDOWS\SYSTEM32\ltypdtka.ini
C:\WINDOWS\SYSTEM32\qoMeBqNd.dll
C:\WINDOWS\SYSTEM32\casino3.ico
C:\WINDOWS\SYSTEM32\casino2.ico
C:\WINDOWS\SYSTEM32\casino1.ico
C:\WINDOWS\dtseqrxk.dll
C:\WINDOWS\mgxfebsq.dll
C:\WINDOWS\fqbewlna.dll
C:\WINDOWS\SYSTEM32\CatRoot_bak
C:\WINDOWS\system32\aktdpytl.dll
C:\WINDOWS\SYSTEM32\sqchylwn.dll
C:\x

Folder::
C:\Program Files\MicroAV
C:\x

- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est).
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image.
(Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris).
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).

Ensuite,
je veux bien que tu refasses l'option de smitfraudfix (en mode normal).
Et que tu renvoies aussi un nouveau rapport HiJackT stp.
(donc trois rapports).

Puis on fait le point.
On a bientôt terminé.

A+

Réponse 23 / 38

guysmoh
14 sept. 2008 à 01:01

Hello,

voici les 3 rapports (dans l'ordre ComboFix, HiJackThis, SmitFraudFix) ;

3 remarques/questions :
1. J'ai encore et toujours des raccourcis indésirés sur mon bureau : dois-je les supprimer manuellement ?
2. Je n'ai plus d'antivirus actif dois-je en remettre un ? Si oui;, lequel me conseilles-tu ?
3. J'ai également encore sporadiquement des fenêtres internet qui apparaissent...

ComboFix 08-09-11.02 - Xav 2008-09-14 0:26:41.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.224 [GMT 2:00]
Endroit: C:\Documents and Settings\Xav\Bureau\ComboFix\ComboFix.exe
Command switches used :: C:\Documents and Settings\Xav\Bureau\ComboFix\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\SYSTEM32\dNqBeMoq.ini
C:\WINDOWS\SYSTEM32\dNqBeMoq.ini2
C:\WINDOWS\system32\gwpvgwxx.dll
C:\WINDOWS\system32\nvxeod.dll
C:\WINDOWS\system32\nwlyhcqs.ini
C:\WINDOWS\system32\odgmsaeo.dll
C:\WINDOWS\SYSTEM32\xxwgvpwg.ini

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-08-13 to 2008-09-13 ))))))))))))))))))))))))))))))))))))
.

2008-09-13 12:55 . 2008-09-13 12:55 <REP> d-------- C:\WINDOWS\SYSTEM32\Kaspersky Lab
2008-09-13 12:55 . 2008-09-13 12:55 <REP> d-------- C:\WINDOWS\LastGood.Tmp
2008-09-11 21:52 . 2008-09-11 21:52 322,048 --a------ C:\WINDOWS\SYSTEM32\qoMeBqNd.dll
2008-09-11 21:41 . 2008-09-12 00:06 <REP> d-------- C:\Program Files\MicroAV
2008-09-11 21:41 . 2008-09-11 21:41 88,878 --a------ C:\WINDOWS\SYSTEM32\casino3.ico
2008-09-11 21:41 . 2008-09-11 21:41 88,878 --a------ C:\WINDOWS\SYSTEM32\casino2.ico
2008-09-11 21:41 . 2008-09-11 21:41 88,878 --a------ C:\WINDOWS\SYSTEM32\casino1.ico
2008-09-11 21:41 . 2008-09-11 13:19 31,232 --a------ C:\x
2008-09-11 21:40 . 2008-09-11 18:53 409,600 --a------ C:\WINDOWS\dtseqrxk.dll
2008-09-11 21:40 . 2008-09-11 18:53 204,800 --a------ C:\WINDOWS\mgxfebsq.dll
2008-09-11 21:40 . 2008-09-11 18:53 192,512 --a------ C:\WINDOWS\fqbewlna.dll
2008-08-27 20:30 . 2008-08-27 20:30 269,824 --a------ C:\Copie de andy.doc
2008-08-19 08:14 . 2008-08-19 08:55 <REP> d-------- C:\WINDOWS\SYSTEM32\CatRoot_bak
2008-08-14 21:32 . 2008-05-01 16:31 331,776 --------- C:\WINDOWS\SYSTEM32\DLLCACHE\msadce.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-13 22:35 --------- d-----w C:\Documents and Settings\Xav\Application Data\Skype
2008-09-11 20:51 --------- d-----w C:\Program Files\DNA
2008-09-01 09:12 --------- d-----w C:\Documents and Settings\Xav\Application Data\AdobeUM
2008-07-28 20:54 --------- d-----w C:\Documents and Settings\Xav\Application Data\BitTorrent
2008-06-24 21:51 3,532 ----a-w C:\drmHeader.bin
2005-12-30 19:07 1,729,181 ----a-w C:\Program Files\Fusion_Drivers.zip
2005-05-11 16:06 123,844 ----a-w C:\Program Files\winamp509_full_emusic-8basic.exe
2005-03-25 15:59 4,276,528 ----a-w C:\Program Files\eMule0.45b-Installer.exe
2005-03-14 13:16 29,543,549 ----a-w C:\Program Files\chemsk8.exe
2004-12-14 12:57 180,878,877 ----a-w C:\Program Files\Adobe Acrobat 6.0 Professional.exe
2004-07-02 20:29 11,265,432 ----a-w C:\Program Files\RealPlayer10GOLD_fr.exe
2004-02-27 12:27 3,965,328 ----a-w C:\Program Files\db-wmfdist-wma9.exe
2004-02-27 12:24 269,784 ----a-w C:\Program Files\dBpowerAMP-codec-wmav9.exe
2004-02-27 12:22 1,519,800 ----a-w C:\Program Files\dMC-r10.exe
2004-02-27 12:04 6,785,369 ----a-w C:\Program Files\mp3morpher.exe
.

((((((((((((((((((((((((((((( snapshot@2008-09-13_ 0.07.01.58 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-05-16 17:34:48 213,048 ----a-w C:\WINDOWS\SYSTEM32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
+ 2008-08-13 13:03:26 65,536 ----a-w C:\WINDOWS\SYSTEM32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
+ 2008-08-13 13:03:26 798,720 ----a-w C:\WINDOWS\SYSTEM32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DB3BEF5A-C205-4439-BF98-2DD05070519A}]
2008-09-11 21:52 322048 --a------ C:\WINDOWS\system32\qoMeBqNd.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{F016D54B-6B00-47B8-882D-296D2B2D9579}"= "C:\WINDOWS\fqbewlna.dll" [2008-09-11 192512]

[HKEY_CLASSES_ROOT\clsid\{f016d54b-6b00-47b8-882d-296d2b2d9579}]
[HKEY_CLASSES_ROOT\fqbewlna.1]
[HKEY_CLASSES_ROOT\TypeLib\{E99E9593-F392-49F9-BE80-242D208748B7}]
[HKEY_CLASSES_ROOT\fqbewlna]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 15360]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2006-07-06 20034600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TPP Auto Loader"="C:\WINDOWS\tppaldr.exe" [2001-10-05 118784]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-09-20 114688]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2004-07-02 180269]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-01-10 385024]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-01-15 267048]
"PCTVOICE"="pctspk.exe" [2003-02-24 C:\WINDOWS\SYSTEM32\pctspk.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
2003-06-20 09:03 110592 C:\WINDOWS\SYSTEM32\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=lfpwaf.dll whdcin.dll nvxeod.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"VIDC.YV12"= yv12vfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Palm\\HOTSYNC.EXE"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\QuickTime\\QuickTimePlayer.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Program Files\\Kodak\\KODAK Software Updater\\7288971\\Program\\backWeb-7288971.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\BitTorrent\\bittorrent.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 20560]
S3 {E2B953A7-195A-44F9-9BA3-3D5F4E32BB55};AIM 3.0 Part 01 Codec Driver CH-7009-B;C:\WINDOWS\system32\drivers\wA301b.sys [2003-10-27 33847]
S3 AmeAtmPc;AmeAtmPc;C:\WINDOWS\system32\DRIVERS\AmeAtmPc.sys [2003-04-04 118022]
S3 AtmElan;Réseau émulant ATM;C:\WINDOWS\system32\DRIVERS\atmlane.sys [2004-08-04 55936]
S3 AtmLane;Émulation réseau ATM;C:\WINDOWS\system32\DRIVERS\atmlane.sys [2004-08-04 55936]
S3 NAL;Nal Service ;C:\WINDOWS\System32\Drivers\iqvw32.sys [2002-11-22 20096]
S3 TPP300;USB2 Storage Adapter V3 (LaCie);C:\WINDOWS\system32\DRIVERS\TPP300.SYS [2001-10-05 33669]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{16cc7734-02d7-11db-9d2e-000d56de3bc4}]
\Shell\AutoRun\command - E:\LaunchU3.exe
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
.
- - - - ORPHANS REMOVED - - - -

BHO-{c06a96af-8bd0-4e81-b74f-7b52b717300e} - C:\WINDOWS\system32\nvxeod.dll
HKLM-Run-18d0cf17 - C:\WINDOWS\system32\gwpvgwxx.dll

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-14 00:34:18
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\SYSTEM32\S24EvMon.exe
C:\WINDOWS\SYSTEM32\ZCfgSvc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\SYSTEM32\1XConfig.exe
C:\WINDOWS\SYSTEM32\igfxsrvc.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\SYSTEM32\LEXBCES.EXE
C:\WINDOWS\SYSTEM32\LEXPPS.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM32\RegSrvc.exe
C:\WINDOWS\SYSTEM32\ScsiAccess.EXE
C:\WINDOWS\SYSTEM32\wdfmgr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\SYSTEM32\wscntfy.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposts08.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-09-14 0:41:14 - machine was rebooted
ComboFix-quarantined-files.txt 2008-09-13 22:41:10
ComboFix2.txt 2008-09-13 10:16:07
ComboFix3.txt 2008-09-12 22:07:31

Pre-Run: 8,407,482,368 octets libres
Post-Run: 8,401,281,024 octets libres

161 --- E O F --- 2008-09-11 16:22:33

******************************************************************************************

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:53:01, on 14/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\tppaldr.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\system32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Xav\Bureau\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {DB3BEF5A-C205-4439-BF98-2DD05070519A} - C:\WINDOWS\system32\qoMeBqNd.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - C:\Program Files\Systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: fqbewlna - {F016D54B-6B00-47B8-882D-296D2B2D9579} - C:\WINDOWS\fqbewlna.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.proximus.be/pickx
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp04.photoprintit.de/microsite/999/defaults/activex/IPSUploader.cab
O20 - AppInit_DLLs: lfpwaf.dll whdcin.dll nvxeod.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Réponse 24 / 38

jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
14 sept. 2008 à 10:57

bonjour à vous deux, si je peux aider à avancer DllD ,tu vas faire le Nettoyage des fichiers infectieux en mode sans echec et poster le rapport ainsi qu'un Hijackthis, consernant ton anti-virus je vois que tu as toujours avast je te conseillerais plustôt antivir ou avg8 free qui sont plus performants je te mets des liens en bas pour passer d'avast à antivir ou d'avast à avg8 et un comparatif des trois pour que tu puisses te faire une idée

pour redémarrer en mode sans échec : /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

.Cliques sur Démarrer
.Cliques sur Arrêter
.Sélectionnes Redémarrer et au redémarrage
.Appuis sur la touche F8 sans discontinuer "1 appuis seconde" dès qu'un écran de texte apparaît puis disparaît
.Utilises les touches de direction pour sélectionner mode sans échec
.puis appuis sur ENTRÉE
.Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre
une fois démarré ne t'inquiette pas si les couleurs et les icônes ne sont pas comme d'abitude

Ensuite relancez SmitfraudFix, et dans le menu, tapez 2, puis appuyez sur la touche Entrée de votre clavier.

A la question : voulez-vous nettoyer le registre ? tapez O (oui) et appuyez sur la touche Entrée de votre clavier.

A la question : corriger le fichier infecté ? tapez O (oui) et appuyez sur la touche Entrée de votre clavier.

Soyez ensuite patients, SmitfraudFix va supprimer les fichiers infectieux détectés dans la recherche effectuée précédemment.

Un redemarrage sera peut être necessaire pour terminer la procédure de nettoyage (SmitfraudFix vous le dira si besoin).

Le rapport se trouve à la racine du disque système C:\rapport.txt

poste le rapport dans ton prochain message. Si ton fond d'écran est disparru il suffira d'en remettre un

******************************************************************************************
Comparatif Avast! VS Antivir VS AVG 8
Abandonner Avast! pour Antivir
Abandonner Avast! pour AVG 8 Free Edition

Réponse 25 / 38

Utilisateur anonyme
14 sept. 2008 à 11:41

Salut,
merci Jacques.
Guysmoh, peux-tu suivre ses manip. ?
Pour les icones de ton bureau smitfraudfix devrait s'en charger, au moins 1.

Par contre, est-ce que tu exécutes bien le script pour combo ?
As tu bien fait un clisser/coller du fichier CFScript (Type du fichier : tous les fichiers) sur combofix ?
Car il n'a pas été exécuté. Donc les suppressions n'ont pas été faites.
Est-ce que c'est combo qui ne l'accepte pas ou toi qui n'y arrives pas ?
J'ai besoin de savoir.

Bon dimanche !

Réponse 26 / 38

guysmoh
14 sept. 2008 à 12:03

Bonjour tous les deux,

Après ce nouveau nettoyage avec SmitFraudFix, j'ai tj les icones sur mon bureau, et encore des fenêtres intempestives...durant le nettoyage, je n'ai pas eu la question "Corriger le fichier infecté" ?

Concernant ComboFix, je crée le fichier "CFScript", je le fais glisser dans le programme combofix.exe et tout démarre sans erreur. Je ne pense pas faire de mauvaise manip...

voici le rapport de SmitFraudFix :

SmitFraudFix v2.349

Rapport fait à 11:39:58,52, dim. 14/09/2008
Executé à partir de C:\Documents and Settings\Xav\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\DOCUME~1\Xav\Bureau\Smart Antivirus-2009.lnk supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{CFF2B861-FDCF-4069-89A9-E266FBABB734}: DhcpNameServer=195.130.130.1 195.130.130.129 195.130.129.161
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CFF2B861-FDCF-4069-89A9-E266FBABB734}: DhcpNameServer=195.130.130.1 195.130.130.129 195.130.129.161
HKLM\SYSTEM\CS3\Services\Tcpip\..\{CFF2B861-FDCF-4069-89A9-E266FBABB734}: DhcpNameServer=195.130.130.1 195.130.130.129 195.130.129.161
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=195.130.130.1 195.130.130.129 195.130.129.161
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=195.130.130.1 195.130.130.129 195.130.129.161
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=195.130.130.1 195.130.130.129 195.130.129.161

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Réponse 27 / 38

guysmoh
15 sept. 2008 à 20:58

Bonjour,

voici dans l'ordre :
- rapport Anti-Malware (1)
- rapport Anti-Malware (2) (je l'ai fait en deux fois)
- rapport HiJackThis

J'ai fait tourner CCleaner 3 fois et il ne voit plus rien.
J'ai toujours un raccourci "Casino" et un raccourci "Micro Antivirus 2009" sur mon bureau.

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1147
Windows 5.1.2600 Service Pack 2

14/09/2008 21:13:32
mbam-log-2008-09-14 (21-13-32).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 47972
Temps écoulé: 1 hour(s), 41 minute(s), 38 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 27
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\SYSTEM32\qoMeBqNd.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\SYSTEM32\drrtqj.dll (Trojan.Vundo) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{70762c2d-ad4a-424e-8045-97ed5655445c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{70762c2d-ad4a-424e-8045-97ed5655445c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{73cd144a-9408-4b81-9b17-b0326fef4fbb} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{73cd144a-9408-4b81-9b17-b0326fef4fbb} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\apuc.urlcatcher (Adware.Bargain.Buddy) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\apuc.urlcatcher.1 (Adware.Bargain.Buddy) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\browserhelperobject.bahelper (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\browserhelperobject.bahelper.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\dyfuca_bh.sinkobj (Adware.NetOptimizer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\dyfuca_bh.sinkobj.1 (Adware.NetOptimizer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\istactivex.installer (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\istactivex.installer.2 (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\sidefind.finder (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\sidefind.finder.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{339d8aff-0b42-4260-ad82-78ce605a9543} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{7b9a715e-9d87-4c21-bf9e-f914f2fa953f} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{8eee58d5-130e-4cbd-9c83-35a0564ea119} (Adware.Bargain.Buddy) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{a36a5936-cfd9-4b41-86bd-319a1931887f} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{aa4939c3-deca-4a48-a454-97cd587c0ef5} (Adware.NetOptimizer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{c6906a23-4717-4e1f-b6fd-f06ebed14177} (Adware.Bargain.Buddy) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{eee4a2e5-9f56-432f-a6ed-f6f625b551e0} (Adware.NetOptimizer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{cea206e8-8057-4a04-ace9-ff0d69a92297} (Adware.NetOptimizer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{58634367-d62b-4c2c-86be-5aac45cdb671} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{d0288a41-9855-4a9b-8316-babe243648da} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{6d3f5de4-e980-4407-a10f-9ac771abaae6} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{4eb7bbe8-2e15-424b-9ddb-2cdb9516a2a3} (Adware.Bargain.Buddy) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{0be10b0d-b4db-4693-9b1f-9aead54d17dc} (Adware.NetOptimizer) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\18d0cf17 (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\qomebqnd -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\qomebqnd -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\SYSTEM32\qoMeBqNd.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\SYSTEM32\dNqBeMoq.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\dNqBeMoq.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\drrtqj.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\SYSTEM32\dhiruuqs.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\squurihd.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\x (Trojan.FakeAlert) -> Quarantined and deleted successfully.

*******************************************************************************************

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1147
Windows 5.1.2600 Service Pack 2

15/09/2008 7:05:06
mbam-log-2008-09-15 (07-05-06).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 121103
Temps écoulé: 2 hour(s), 26 minute(s), 58 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 21
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 51

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SideFind (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ISTbar (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ISTsvc (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Sidefind (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\pugi.pugiobj (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\pugi.pugiobj.1 (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ISTbarISTbar (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SideFind (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{e99e9593-f392-49f9-be80-242d208748b7} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{017bcc93-6887-46ac-b442-74d31b5ae8b1} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f016d54b-6b00-47b8-882d-296d2b2d9579} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\fqbewlna.bngl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\fqbewlna.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenUSave) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{f016d54b-6b00-47b8-882d-296d2b2d9579} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\MicroAV (Rogue.MicroAntivirus) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\WINDOWS\edpk.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\awtrOfcY.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\dnmmba.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\efcDVpqo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\fpbftnyw.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\geBuRHXO.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\gwpvgwxx.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\hgGvuUMg.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\jkskcgjx.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\lfpwaf.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\naumcbyc.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\nvxeod.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\odgmsaeo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\whdcin.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP719\A0207381.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP719\A0207382.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP720\A0207383.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP720\A0207384.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP720\A0207385.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP720\A0207386.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP720\A0207387.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP720\A0208383.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP721\A0210383.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP721\A0211383.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP722\A0212440.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP722\A0212441.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP722\A0212442.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP722\A0212443.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP722\A0212444.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP722\A0212445.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP722\A0212446.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP722\A0212447.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP722\A0212449.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP723\A0212503.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP724\A0212520.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP724\A0212521.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP726\A0212589.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP726\A0212590.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP726\A0212591.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP726\A0212599.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP728\A0212803.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP728\A0212811.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP728\A0212812.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\aeqavnys.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\ide21201.vxd (Adware.Winad) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\casino1.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\casino2.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\casino3.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\dtseqrxk.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\fqbewlna.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\mgxfebsq.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

******************************************************************************************

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:43:51, on 15/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Xav\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - C:\Program Files\Systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.proximus.be/pickx
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp04.photoprintit.de/microsite/999/defaults/activex/IPSUploader.cab
O20 - AppInit_DLLs: lfpwaf.dll whdcin.dll nvxeod.dll drrtqj.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Réponse 28 / 38

guysmoh
15 sept. 2008 à 21:00

Au fait, j'ai installé Antivir et je compte installer Spy-bot également.

Serais-je tranquille avec ces deux protection dans le futur ?

Merci d'avance !

Réponse 29 / 38

Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 496
15 sept. 2008 à 22:53

Bonsoir DllD, guysmosh

Pour suivre ;)

Réponse 30 / 38

guysmoh
16 sept. 2008 à 12:15

Bonjour DllD,

puis-je encore compter sur ton aide pour cloturer le problème ?

Merci d'avance !

Réponse 31 / 38

Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 496
16 sept. 2008 à 12:17

Bonjour guymosh

Sois patient, DllD est occupé mais il ne t'oublie pas, on a vu un truc ensemble, il te donnera bientôt du boulot. ;)

salut.

Réponse 32 / 38

Utilisateur anonyme
17 sept. 2008 à 17:20

Salut à tous,
merci d'être passé Le sioux. Tu fais avancer les choses. Avec mon retard.... Désolé.

Guysmoh, peux tu suivre les conseils du Sioux stp ?

Simplement,
avant rajoute ces deux éléments à la liste destinée à OTmoveIT dans la liste de notre ami l'indien :

C:\WINDOWS\SYSTEM32\sqchylwn.dll
C:\x

(C'est les trouvailles de Kasper.)

Ce qui donne (fais un copier/coller) :

C:\WINDOWS\SYSTEM32\ltypdtka.ini
C:\WINDOWS\SYSTEM32\aktdpytl.dll
C:\WINDOWS\system32\aktdpytl.dll
C:\WINDOWS\system32\lfpwaf.dll
C:\WINDOWS\system32\whdcin.dll
C:\WINDOWS\system32\ nvxeod.dll
HKEY_CLASSES_ROOT\clsid\{f016d54b-6b00-47b8-882d-296d2b2d9579}
HKEY_CLASSES_ROOT\fqbewlna.1
HKEY_CLASSES_ROOT\TypeLib\{E99E9593-F392-49F9-BE80-242D208748B7}
HKEY_CLASSES_ROOT\fqbewlna 
C:\WINDOWS\SYSTEM32\sqchylwn.dll
C:\x

Puis exécute la suppression de OTmoveIT.

Ensuite,
> Lance Hijackthis :
- Puis sélectionne <Do a system scan only>
- Coche les cases des lignes suivantes :

O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?

O20 - AppInit_DLLs: lfpwaf.dll whdcin.dll nvxeod.dll drrtqj.dll

Ensuite,
- Ferme toutes les autres fenêtres et applications (même internet)
- Clic sur <Fixe checked>

> Passe un coup de Ccleaner

> Relance ton PC en mode normal puis Hijackthis :
Puis sélectionne <Do a system scan and save a logfile>,

Et envoie, par collier/coller, ton log Hijackthis,

Si tout va bien on fini au prochain coup avec les MàJ.
D'ailleurs comment va la bécane ?

Bon courage.
On touche au but.

:-)

Réponse 33 / 38

guysmoh
18 sept. 2008 à 08:43

Bonjour DllD et Le sioux,

Merci à tous les deux pour votre aide !
J'ai suivi toutes vos instructions.
Voici ci-dessous le rapport HiJackThis.

Mon PC va beaucoup mieux ; il y a juste un truc : en cherchant un anti-spyware sur le forum de CCM, j'ai installé Spy-bot, mais comme il y avait plusieurs fenêtres qui apparaissaient sans cesse (messages à propos de "modifications du registre"...) et que je ne savais jamais quoi faire, j'ai opté pour désinstaller Spy-bot (via l'outil de suppression de programme, puis en supprimant les fichiers restants dans C:/Program Files/Spybot - Search & Destroy. Sauf qu'il y a une partie que je ne parviens pas à supprimer : "advcheck.dll" et "Tea Timer.exe". C'est pas la mort mais s'il y a moyen de les virer, je suis preneur. Pour les spyware, je continuerai à faire un check hebdomadaire avec Malwarebyte en espérant ne pas oublier...

Pour conclure en beauté et surtout pour ne plus venir vous embêter dans quelques semaines pour le même problème, est-ce que l'un de vous deux pourrait me donner un dernier conseil. Je suis loin d'être un expert et j'ai donc besoin d'outils effficaces et simples d'utilisation pour protéger mon PC ; j'ai aujourd'hui Antivir (automatique) et Malwarebyte (à faire tourner manuellement) et CCCleaner (à faire tourner manuellement). Y a-t-il autre chose qui permettrait de m'aider.

Encore merci !

*****************************************************************************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:29:41, on 18/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\tppaldr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\system32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - C:\Program Files\Systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.proximus.be/pickx
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp04.photoprintit.de/microsite/999/defaults/activex/IPSUploader.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Réponse 34 / 38

guysmoh Messages postés 1 Date d'inscription jeudi 18 septembre 2008 Statut Membre Dernière intervention 18 septembre 2008
18 sept. 2008 à 08:49

re,

concernant Spy-bot, le problème est finalement résolu...

Réponse 35 / 38

Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 496
18 sept. 2008 à 09:35

Bonjour Guymosh, DllD

Vite fait, au passage, pour t'aider à propos de SpyBot-Search & Destroy 1.6 :
Scan passif moyen mais protection préventive efficace avec ses 2 résidents, ses vaccinations et sa liste Hosts
-- Lien téléchargement : https://www.safer-networking.org/
-- démo d’utilisation
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
-- Tuto :
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/
http://perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm

Je laisse DllD te donner ses conseils de fin. ;)

Salut.

Réponse 36 / 38

Utilisateur anonyme
18 sept. 2008 à 10:58

Salut vous deux.

:-)

Bon,
parfait.
Par contre je veux bien que tu nous envoies le rapport de OTmoveIT sur le forum.

Pour les conseils je vais te dire cela. Si tu as des éléments à rajouter Le sioux alors n'hésite pas.

Après avoir poster le rapport de OTmoveIT :

> Peux-tu vérifier ta console JAVA ici : https://www.java.com/fr/download/uninstalltool.jsp, et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version).
Pour info. ou en cas de problème : http://assiste.com.free.fr/p/abc/c/anti_java.html

> Mets à jour Acrobat si ce n'est pas le cas (désinstalle avant la version antérieure) : https://get2.adobe.com/reader/otherversions/

> Télécharge ToolsCleaner : https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/ sur ton bureau pour supprimer les boîtes de Pandore.
- Clique sur Recherche et laisse le scan agir ...
- Clique sur Suppression pour finaliser (tu peux, si tu le souhaites, te servir des Options facultatives)
- Clique sur Quitter pour obtenir le rapport et poste le dans ta réponse (TCleaner.txt se trouve à la racine de ton disque dur (C:\)).
- Supprime ToolsCleaner ensuite (il n'est pas installé dans Ajout/suppression de programmes. C'est un fichier directement exécutable : pas d'installation).

> Télécharge et installe Easy Cleaner stp : https://www.01net.com/telecharger/windows/Utilitaire/registre/fiches/8351.html
(lien miroir : https://www.clubic.com/telecharger-fiche11170-easycleaner.html )
- Lance le programme puis clique sur <Registre> puis sur <Trouver>.
- A la fin du scan clique sur <Supprime tout> puis confirme par <Oui> puis quitte le programme.
Si besoin tuto ici : https://www.pcparadise.fr
et http://www.6ma.fr/tuto/easycleaner-nettoyer-windows-des-elements-obsoletes/

> Tu peux aussi vider ta corbeille.

> Si nous avons utilisé MalwaresByte's Anti-Malware : vide sa quarantaine.
- Lance le programme puis clique sur <Quarantaine>.
- Sélectionne tous les éléments puis clique sur <supprime>.
- Quitte la programme.

> Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait...

> Désactive et réactive la restauration de système, pour cela : suis les instructions de ce lien : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924
PS : Si tu est sous Vista c'est ce lien : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/4f60eedf1156c8068525695b005ca288/c066b2e9a50cc948802572870032b170?OpenDocument

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Quelques conseils et recommandations pour l'avenir :

> Passe un coup d'AGV et/ou de MalwareByte's Anti-Malware et de Ccleaner de temps en temps (1 fois par semaine à 1 fois par mois, suivant l'utilisation que tu fais de ton PC. Tu peux aussi décocher la casse dans l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures").
- Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser.
- Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise))

> Pour bien protéger ton PC :
[1 seul Antivirus] + [1 seul Pare feu (/!\ les routeurs et box en possèdent un)] + [Quelques Antispywares] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows)] + [Utilisation du PC en mode Invité (= limité). Lors d'une infection en mode administrateur le PC est beaucoup plus vulnérable. Voir ICI]
PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect....
Les virus utilisent les failles de ton PC pour infecter un système. Info : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

> Quelques liens utiles :
- http://www.commentcamarche.net/faq/sujet 2432 securite proteger un ordinateur contre les malwares d internet
- https://sebsauvage.net/safehex.html
- https://www.zebulon.fr/telechargements/securite/protection-donnees-personnelles/spywareblaster.html (= petit logiciel qui bloque l'installation d'activ-X nuisibles au PC. Fonctionne en arrière plan)

Voila,
Bonne lecture....
Si tu peux, tu peux refaire un scanne en ligne avec Kaspersky et poster son rapport pour être sûr qu'il ne reste rien.

A+

Réponse 37 / 38

samichawi
21 sept. 2008 à 23:39

longuaje arabic ok

Réponse 38 / 38

Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 496
22 sept. 2008 à 01:20

Hello samichi

On lui dira ;)

Micro Antivirus 2009

38 réponses

Discussions similaires