Sujet Précédent Sujet Suivant

Fenêtres intempestives

Fermé
bebedor - 25 sept. 2008 à 10:20
 bebedor - 26 sept. 2008 à 21:33
Bonjour,
Voilà, depuis hier soir, je me retrouve avec énormément de fenêtres intempestives! Elles s'ouvrent avant même que je ne sois sur le net! Pourriez-vous m'aider, svp? Cà me rend dingue! Déjà 11 en 30 secondes! Merci d'avance!

34 réponses

  • 1
  • 2
Réponse 1 / 34
bebedor
26 sept. 2008 à 21:33
Puisque je n'avais plus accès à cette page du forum (soit-disant, le sujet n'existait pas...), j'ai donc poursuivi mes recherches sur d'autres forum où l'on a pu m'aider.
Mon problème est donc à présent résolu!
Encore merci pour votre aide.
1
Réponse 2 / 34
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
25 sept. 2008 à 10:21
Re,

Fais un rapport hijackthis pour que je puisse vérifier les infections de ton pc stp

▶ Télécharge hijackthis à cette adresse, tout est expliqué pour bien l installer et pour savoir s'en servir :

https://www.androidworld.fr/


Comment copier/coller le rapport :


Quand tu as le rapport à l écran, tu fais ctrl A pour "sélectionner tout" puis ctrl C pour "copier".

ensuite tu viens sur le forum pour me répondre et tu fais ctrl V pour "coller" le rapport.

Une explication des raccourcis clavier sont illustrés sur mon site web à cette adresse :

https://www.androidworld.fr/
0
Réponse 3 / 34
bebedor
25 sept. 2008 à 10:41
Me revoilà! Pas facile avec toutes ces fenêtres...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:39:20, on 25/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\acer\Acer eConsole\MediaServerService.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\lsass.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\SPOOLER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wisptis.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: RTLInfo Toolbar - {afefcd13-a442-40ca-af25-6906ac85191e} - C:\Program Files\RTLInfo\tbRTL1.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: RTLInfo Toolbar - {afefcd13-a442-40ca-af25-6906ac85191e} - C:\Program Files\RTLInfo\tbRTL1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: RTLInfo Toolbar - {afefcd13-a442-40ca-af25-6906ac85191e} - C:\Program Files\RTLInfo\tbRTL1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /F "C:\WINDOWS\TEMP\E_SF2.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Print Spooler] C:\WINDOWS\system32\SPOOLER.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [LocalSecurityAuthoritySubsystem] C:\WINDOWS\lsass.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15031/CTSUEng.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} (SopCore Control) - http://download.sopcast.cn/download/SOPCORE.CAB
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15034/CTPID.cab
O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\acer\Acer eConsole\MediaServerService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
0
Réponse 4 / 34
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
25 sept. 2008 à 10:43
Commence par faire ceci stp :

▶ Télécharge Combofix de sUBs

(c est le numéro 5 en bas de la page)

▶ et enregistre le sur le Bureau.


▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)


Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


ensuite envois le rapport et refais un nouveau rapport hijackthis stp
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 34
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
25 sept. 2008 à 10:44
Tu as aussi des fenetres SPOOLER.EXE qui s ouvrent ??
0
Réponse 6 / 34
bebedor
25 sept. 2008 à 10:49
Euh bonne question, lol! Avec toutes les fenêtres qui s'ouvrent d'une fois, j'y prend pas garde...Mais il y a:
- http://ww11.gomyron.com/MTgzNjk=/2/6433/ronnoagraug/ (bloqué par avast)
- C:\WINDOWS\iexplore.html
- http://ads.clicksor.com/serving/cpalinks.php?networkid=1&ref=file:///C:/WINDOWS/iexplore.html&default=http://popunder.adsrevenue.net/default.php?serverfile=popnetwork&siteid=sierd&subid=78842
- http://fr.antispyexpert.com/2009/8/?cmpname=ranr31&gai=swp_ron&gli=6433&gff=pp_3076864350&eu=http%3A%2F%2Fadvancedcleaner.com%2F.cleaner%2Findex.php%3Ftmn%3Dadctmp%26clone_name%3Dswpadcex%26led%3D6433%26afr%3Dpp_3076864350&mt_info=5290_0_24593:6225_9136_27959&rdr=2&a=swp_ron&l=6433&f=pp_3076864350&mt_info=5290_0_24593:6225_9136_27959
0
Réponse 7 / 34
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
25 sept. 2008 à 10:50
ok...fais d abord combofix stp et poste le rapport
0
Réponse 8 / 34
bebedor
25 sept. 2008 à 11:50
Voila le rapport COMBOFIX:
ComboFix 08-09-24.09 - Serge et Marine 2008-09-25 11:36:16.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.92 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Serge et Marine\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\lsass.exe
.
---- Previous Run -------
.
C:\Documents and Settings\Serge et Marine\Cookies\serge_et_marine@ad.yieldmanager[1].txt
C:\Documents and Settings\Serge et Marine\Cookies\serge_et_marine@ads.rtl[2].txt
C:\Documents and Settings\Serge et Marine\Cookies\serge_et_marine@adsrevenue[1].txt
C:\Documents and Settings\Serge et Marine\Cookies\serge_et_marine@bluestreak[1].txt
C:\Documents and Settings\Serge et Marine\Cookies\serge_et_marine@edt02[1].txt
C:\Documents and Settings\Serge et Marine\Cookies\serge_et_marine@serving-sys[2].txt
C:\Documents and Settings\Serge et Marine\Cookies\serge_et_marine@specificclick[2].txt
C:\Documents and Settings\Serge et Marine\Cookies\serge_et_marine@tradedoubler[2].txt
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\lsass.exe
C:\WINDOWS\system32\autorun.ini

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-08-25 au 2008-09-25 ))))))))))))))))))))))))))))))))))))
.

2282-05-24 04:42 . 2282-05-24 04:42 3,120 --a------ C:\WINDOWS\MF_C421.lfa
2282-05-24 04:42 . 2282-05-24 04:42 3,120 --a------ C:\WINDOWS\MF_C420.lfa
2008-09-25 11:39 . 2008-09-25 00:05 16,896 --a------ C:\WINDOWS\lsass.exe
2008-09-25 10:37 . 2008-09-25 10:37 <REP> d-------- C:\Program Files\Trend Micro
2008-09-25 09:55 . 2008-09-25 09:55 <REP> d-------- C:\WINDOWS\report
2008-09-25 09:55 . 2008-09-25 09:54 19,817,413 --a------ C:\WINDOWS\LPT$VPN.565
2008-09-25 09:54 . 2008-09-25 09:54 <REP> d-------- C:\WINDOWS\AU_Backup
2008-09-25 09:54 . 2008-09-25 09:54 19,817,413 --a------ C:\WINDOWS\VPTNFILE.565
2008-09-25 09:54 . 2008-09-25 09:54 1,966,305 --a------ C:\WINDOWS\tsc.ptn
2008-09-25 09:54 . 2008-09-25 09:54 1,213,784 --a------ C:\WINDOWS\vsapi32.dll
2008-09-25 09:54 . 2008-09-25 09:54 333,576 --a------ C:\WINDOWS\TSC.exe
2008-09-25 09:54 . 2008-09-25 09:54 91,744 --a------ C:\WINDOWS\BPMNT.dll
2008-09-25 09:54 . 2008-09-25 09:54 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2008-09-25 09:54 . 2008-09-25 10:27 823 --a------ C:\WINDOWS\tsc.ini
2008-09-25 09:54 . 2008-09-25 09:54 170 --a------ C:\WINDOWS\GetServer.ini
2008-09-25 09:53 . 2008-09-25 09:54 <REP> d-------- C:\WINDOWS\AU_Temp
2008-09-25 09:53 . 2008-09-25 09:53 <REP> d-------- C:\WINDOWS\AU_Log
2008-09-25 09:53 . 2008-09-25 09:53 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2008-09-25 09:53 . 2008-09-25 09:53 286,720 --a------ C:\WINDOWS\PATCH.EXE
2008-09-25 09:53 . 2008-09-25 09:53 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2008-09-25 00:07 . 2008-09-25 11:38 1,523 --a------ C:\WINDOWS\iexplore.html
2008-09-25 00:06 . 2008-09-25 11:35 3,362 --a------ C:\WINDOWS\system32\mssc32.dll
2008-09-25 00:06 . 2008-09-25 11:35 3,362 --a------ C:\WINDOWS\system32\bsc32.dll
2008-09-25 00:05 . 2008-09-25 00:05 634,695 --a------ C:\WINDOWS\system32\SPOOLER.EXE
2008-09-25 00:05 . 2008-09-25 11:39 634,695 --a------ C:\WINDOWS\divx32.dll
2008-09-25 00:05 . 2008-09-25 00:05 16,896 --a------ C:\WINDOWS\system32\apisrv32.exe
2008-09-04 20:21 . 2008-09-04 20:21 <REP> d-------- C:\Program Files\Windows Journal Viewer
2008-09-03 19:38 . 2008-09-03 19:38 78 --a------ C:\WINDOWS\Hulabee.ini
2008-09-03 19:36 . 2008-09-03 19:36 <REP> d-------- C:\Program Files\Hulabee

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-24 22:05 --------- d-----w C:\Program Files\eMule
2008-09-04 05:47 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-08-27 20:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-08-22 00:00 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-22 00:00 --------- d-----w C:\Program Files\Micro Application
2008-08-21 23:46 --------- d-----w C:\Program Files\Microsoft Picture It! 9
2008-08-01 21:21 --------- d-----w C:\Program Files\SopCast
2008-07-01 00:48 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-04-20 17:42 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
2008-03-28 10:14 88 --sh--r C:\WINDOWS\system32\CEDE768E7A.sys
2008-03-28 10:14 2,516 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{afefcd13-a442-40ca-af25-6906ac85191e}"= "C:\Program Files\RTLInfo\tbRTL1.dll" [2008-07-15 1569304]

[HKEY_CLASSES_ROOT\clsid\{afefcd13-a442-40ca-af25-6906ac85191e}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{afefcd13-a442-40ca-af25-6906ac85191e}]
2008-07-15 20:33 1569304 --a------ C:\Program Files\RTLInfo\tbRTL1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{afefcd13-a442-40ca-af25-6906ac85191e}"= "C:\Program Files\RTLInfo\tbRTL1.dll" [2008-07-15 1569304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{AFEFCD13-A442-40CA-AF25-6906AC85191E}"= "C:\Program Files\RTLInfo\tbRTL1.dll" [2008-07-15 1569304]

[HKEY_CLASSES_ROOT\clsid\{afefcd13-a442-40ca-af25-6906ac85191e}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"ntiMUI"="C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-02-01 385024]
"Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-10 50688]
"Print Spooler"="C:\WINDOWS\system32\SPOOLER.EXE" [2008-09-25 634695]
"RTHDCPL"="RTHDCPL.EXE" [2008-06-13 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"LocalSecurityAuthoritySubsystem"="C:\WINDOWS\lsass.exe" [2008-09-25 16896]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\regedit.exe]
"Debugger"=0

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\taskmgr.exe]
"Debugger"=0

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Recherche sur le bureau de Windows.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchApp]
Alaunch [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AspireService]
--a------ 2005-06-21 16:39 110592 C:\Program Files\acer\Acer eMode Management\AspireService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
--a------ 2005-08-12 15:43 45056 C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-05 06:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eRecoveryService]
--a------ 2005-06-20 10:03 352256 C:\Program Files\acer\eRecovery\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2004-08-05 06:00 208952 C:\WINDOWS\ime\imjp8_1\imjpmig.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaSync]
--a------ 2005-06-21 16:28 425984 C:\Program Files\acer\Acer eConsole\MediaSync.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
--a------ 2004-08-05 06:00 59392 C:\WINDOWS\system32\IME\PINTLGNT\IMSCINST.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ntiMUI]
--a------ 2005-05-11 19:15 45056 c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2004-08-05 06:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2004-08-05 06:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2005-11-10 14:03 36975 C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 18:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut]
--a------ 2005-01-07 18:07 61952 C:\WINDOWS\system32\HdAShCut.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2008-06-13 14:50 16871936 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\System32\\dpvsetup.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"C:\\Program Files\\SopCast\\SopCast.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56609:TCP"= 56609:TCP:Pando P2P TCP Listening Port
"56609:UDP"= 56609:UDP:Pando P2P UDP Listening Port

R0 m5287;m5287;C:\WINDOWS\system32\drivers\m5287.sys [2005-02-05 85888]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 int15.sys;int15.sys;C:\Program Files\Acer\eRecovery\int15.sys [2005-01-13 69632]
S3 maconfservice;Ma-Config Service;C:\Program Files\ma-config.com\maconfservice.exe [2008-06-26 576680]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{106a9179-51c3-11dd-bb6f-00142a76d3a0}]
\Shell\AutoRun\command - J:\InstallTomTomHOME.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}]
rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserstub
.
Contenu du dossier 'Tâches planifiées'
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
MSConfigStartUp-ccApp - C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
MSConfigStartUp-IncrediMail - C:\PROGRA~1\INCRED~1\bin\IncMail.exe
MSConfigStartUp-MessengerPlus3 - C:\Program Files\MessengerPlus! 3\MsgPlus.exe
MSConfigStartUp-RemoteControl - C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
MSConfigStartUp-Symantec NetDriver Monitor - C:\PROGRA~1\SYMNET~1\SNDMon.exe


.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\Serge et Marine\Application Data\Mozilla\Firefox\Profiles\sne74vu0.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://search.sweetim.com/search.asp?src=2&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://home.sweetim.com
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-25 11:39:25
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


C:\WINDOWS\lsass.exe 16896 bytes executable

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

PROCESSUS: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\lsass.exe
.
------------------------ Autres processus actifs ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\acer\Acer eConsole\MediaServerService.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
.
**************************************************************************
.
Heure de fin: 2008-09-25 11:45:13 - La machine a redémarré [Serge et Marine]
ComboFix-quarantined-files.txt 2008-09-25 09:45:08

Avant-CF: 50,211,229,696 octets libres
Après-CF: 50,195,275,776 octets libres

217 --- E O F --- 2008-09-10 15:59:46

Je refais Hijackthis et je reviens, mais pour l'instant toujours pas de changement...
0
Réponse 9 / 34
bebedor
25 sept. 2008 à 11:50
Voila le rapport COMBOFIX:
ComboFix 08-09-24.09 - Serge et Marine 2008-09-25 11:36:16.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.92 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Serge et Marine\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\lsass.exe
.
---- Previous Run -------
.
C:\Documents and Settings\Serge et Marine\Cookies\serge_et_marine@ad.yieldmanager[1].txt
C:\Documents and Settings\Serge et Marine\Cookies\serge_et_marine@ads.rtl[2].txt
C:\Documents and Settings\Serge et Marine\Cookies\serge_et_marine@adsrevenue[1].txt
C:\Documents and Settings\Serge et Marine\Cookies\serge_et_marine@bluestreak[1].txt
C:\Documents and Settings\Serge et Marine\Cookies\serge_et_marine@edt02[1].txt
C:\Documents and Settings\Serge et Marine\Cookies\serge_et_marine@serving-sys[2].txt
C:\Documents and Settings\Serge et Marine\Cookies\serge_et_marine@specificclick[2].txt
C:\Documents and Settings\Serge et Marine\Cookies\serge_et_marine@tradedoubler[2].txt
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\lsass.exe
C:\WINDOWS\system32\autorun.ini

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-08-25 au 2008-09-25 ))))))))))))))))))))))))))))))))))))
.

2282-05-24 04:42 . 2282-05-24 04:42 3,120 --a------ C:\WINDOWS\MF_C421.lfa
2282-05-24 04:42 . 2282-05-24 04:42 3,120 --a------ C:\WINDOWS\MF_C420.lfa
2008-09-25 11:39 . 2008-09-25 00:05 16,896 --a------ C:\WINDOWS\lsass.exe
2008-09-25 10:37 . 2008-09-25 10:37 <REP> d-------- C:\Program Files\Trend Micro
2008-09-25 09:55 . 2008-09-25 09:55 <REP> d-------- C:\WINDOWS\report
2008-09-25 09:55 . 2008-09-25 09:54 19,817,413 --a------ C:\WINDOWS\LPT$VPN.565
2008-09-25 09:54 . 2008-09-25 09:54 <REP> d-------- C:\WINDOWS\AU_Backup
2008-09-25 09:54 . 2008-09-25 09:54 19,817,413 --a------ C:\WINDOWS\VPTNFILE.565
2008-09-25 09:54 . 2008-09-25 09:54 1,966,305 --a------ C:\WINDOWS\tsc.ptn
2008-09-25 09:54 . 2008-09-25 09:54 1,213,784 --a------ C:\WINDOWS\vsapi32.dll
2008-09-25 09:54 . 2008-09-25 09:54 333,576 --a------ C:\WINDOWS\TSC.exe
2008-09-25 09:54 . 2008-09-25 09:54 91,744 --a------ C:\WINDOWS\BPMNT.dll
2008-09-25 09:54 . 2008-09-25 09:54 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2008-09-25 09:54 . 2008-09-25 10:27 823 --a------ C:\WINDOWS\tsc.ini
2008-09-25 09:54 . 2008-09-25 09:54 170 --a------ C:\WINDOWS\GetServer.ini
2008-09-25 09:53 . 2008-09-25 09:54 <REP> d-------- C:\WINDOWS\AU_Temp
2008-09-25 09:53 . 2008-09-25 09:53 <REP> d-------- C:\WINDOWS\AU_Log
2008-09-25 09:53 . 2008-09-25 09:53 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2008-09-25 09:53 . 2008-09-25 09:53 286,720 --a------ C:\WINDOWS\PATCH.EXE
2008-09-25 09:53 . 2008-09-25 09:53 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2008-09-25 00:07 . 2008-09-25 11:38 1,523 --a------ C:\WINDOWS\iexplore.html
2008-09-25 00:06 . 2008-09-25 11:35 3,362 --a------ C:\WINDOWS\system32\mssc32.dll
2008-09-25 00:06 . 2008-09-25 11:35 3,362 --a------ C:\WINDOWS\system32\bsc32.dll
2008-09-25 00:05 . 2008-09-25 00:05 634,695 --a------ C:\WINDOWS\system32\SPOOLER.EXE
2008-09-25 00:05 . 2008-09-25 11:39 634,695 --a------ C:\WINDOWS\divx32.dll
2008-09-25 00:05 . 2008-09-25 00:05 16,896 --a------ C:\WINDOWS\system32\apisrv32.exe
2008-09-04 20:21 . 2008-09-04 20:21 <REP> d-------- C:\Program Files\Windows Journal Viewer
2008-09-03 19:38 . 2008-09-03 19:38 78 --a------ C:\WINDOWS\Hulabee.ini
2008-09-03 19:36 . 2008-09-03 19:36 <REP> d-------- C:\Program Files\Hulabee

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-24 22:05 --------- d-----w C:\Program Files\eMule
2008-09-04 05:47 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-08-27 20:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-08-22 00:00 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-22 00:00 --------- d-----w C:\Program Files\Micro Application
2008-08-21 23:46 --------- d-----w C:\Program Files\Microsoft Picture It! 9
2008-08-01 21:21 --------- d-----w C:\Program Files\SopCast
2008-07-01 00:48 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-04-20 17:42 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
2008-03-28 10:14 88 --sh--r C:\WINDOWS\system32\CEDE768E7A.sys
2008-03-28 10:14 2,516 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{afefcd13-a442-40ca-af25-6906ac85191e}"= "C:\Program Files\RTLInfo\tbRTL1.dll" [2008-07-15 1569304]

[HKEY_CLASSES_ROOT\clsid\{afefcd13-a442-40ca-af25-6906ac85191e}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{afefcd13-a442-40ca-af25-6906ac85191e}]
2008-07-15 20:33 1569304 --a------ C:\Program Files\RTLInfo\tbRTL1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{afefcd13-a442-40ca-af25-6906ac85191e}"= "C:\Program Files\RTLInfo\tbRTL1.dll" [2008-07-15 1569304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{AFEFCD13-A442-40CA-AF25-6906AC85191E}"= "C:\Program Files\RTLInfo\tbRTL1.dll" [2008-07-15 1569304]

[HKEY_CLASSES_ROOT\clsid\{afefcd13-a442-40ca-af25-6906ac85191e}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"ntiMUI"="C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-02-01 385024]
"Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-10 50688]
"Print Spooler"="C:\WINDOWS\system32\SPOOLER.EXE" [2008-09-25 634695]
"RTHDCPL"="RTHDCPL.EXE" [2008-06-13 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"LocalSecurityAuthoritySubsystem"="C:\WINDOWS\lsass.exe" [2008-09-25 16896]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\regedit.exe]
"Debugger"=0

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\taskmgr.exe]
"Debugger"=0

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Recherche sur le bureau de Windows.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchApp]
Alaunch [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AspireService]
--a------ 2005-06-21 16:39 110592 C:\Program Files\acer\Acer eMode Management\AspireService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
--a------ 2005-08-12 15:43 45056 C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-05 06:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eRecoveryService]
--a------ 2005-06-20 10:03 352256 C:\Program Files\acer\eRecovery\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2004-08-05 06:00 208952 C:\WINDOWS\ime\imjp8_1\imjpmig.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaSync]
--a------ 2005-06-21 16:28 425984 C:\Program Files\acer\Acer eConsole\MediaSync.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
--a------ 2004-08-05 06:00 59392 C:\WINDOWS\system32\IME\PINTLGNT\IMSCINST.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ntiMUI]
--a------ 2005-05-11 19:15 45056 c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2004-08-05 06:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2004-08-05 06:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2005-11-10 14:03 36975 C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 18:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut]
--a------ 2005-01-07 18:07 61952 C:\WINDOWS\system32\HdAShCut.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2008-06-13 14:50 16871936 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\System32\\dpvsetup.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"C:\\Program Files\\SopCast\\SopCast.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56609:TCP"= 56609:TCP:Pando P2P TCP Listening Port
"56609:UDP"= 56609:UDP:Pando P2P UDP Listening Port

R0 m5287;m5287;C:\WINDOWS\system32\drivers\m5287.sys [2005-02-05 85888]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 int15.sys;int15.sys;C:\Program Files\Acer\eRecovery\int15.sys [2005-01-13 69632]
S3 maconfservice;Ma-Config Service;C:\Program Files\ma-config.com\maconfservice.exe [2008-06-26 576680]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{106a9179-51c3-11dd-bb6f-00142a76d3a0}]
\Shell\AutoRun\command - J:\InstallTomTomHOME.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}]
rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserstub
.
Contenu du dossier 'Tâches planifiées'
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
MSConfigStartUp-ccApp - C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
MSConfigStartUp-IncrediMail - C:\PROGRA~1\INCRED~1\bin\IncMail.exe
MSConfigStartUp-MessengerPlus3 - C:\Program Files\MessengerPlus! 3\MsgPlus.exe
MSConfigStartUp-RemoteControl - C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
MSConfigStartUp-Symantec NetDriver Monitor - C:\PROGRA~1\SYMNET~1\SNDMon.exe


.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\Serge et Marine\Application Data\Mozilla\Firefox\Profiles\sne74vu0.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://search.sweetim.com/search.asp?src=2&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://home.sweetim.com
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-25 11:39:25
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


C:\WINDOWS\lsass.exe 16896 bytes executable

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

PROCESSUS: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\lsass.exe
.
------------------------ Autres processus actifs ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\acer\Acer eConsole\MediaServerService.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
.
**************************************************************************
.
Heure de fin: 2008-09-25 11:45:13 - La machine a redémarré [Serge et Marine]
ComboFix-quarantined-files.txt 2008-09-25 09:45:08

Avant-CF: 50,211,229,696 octets libres
Après-CF: 50,195,275,776 octets libres

217 --- E O F --- 2008-09-10 15:59:46

Je refais Hijackthis et je reviens, mais pour l'instant toujours pas de changement...
0
Réponse 10 / 34
bebedor
25 sept. 2008 à 11:54
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:53:33, on 25/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\acer\Acer eConsole\MediaServerService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\SPOOLER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: RTLInfo Toolbar - {afefcd13-a442-40ca-af25-6906ac85191e} - C:\Program Files\RTLInfo\tbRTL1.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: RTLInfo Toolbar - {afefcd13-a442-40ca-af25-6906ac85191e} - C:\Program Files\RTLInfo\tbRTL1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: RTLInfo Toolbar - {afefcd13-a442-40ca-af25-6906ac85191e} - C:\Program Files\RTLInfo\tbRTL1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Print Spooler] C:\WINDOWS\system32\SPOOLER.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [LocalSecurityAuthoritySubsystem] C:\WINDOWS\lsass.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15031/CTSUEng.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} (SopCore Control) - http://download.sopcast.cn/download/SOPCORE.CAB
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15034/CTPID.cab
O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\acer\Acer eConsole\MediaServerService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
0
Réponse 11 / 34
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
25 sept. 2008 à 11:59
▶ Copie le texte en gras ci-dessous :

File::
c:\windows\lsass.exe
c:\windows\system32\autorun.ini



Folder::


Registry::



▶ Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
▶ Sauvegarde ce fichier sous le nom de CFScript.txt.

▶ Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

▶ Cela va relancer Combofix,

▶ Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

▶ Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt .

▶ S'il n'y a pas de rédémarrage, poste quand même les rapports.


ensuite :


▶ Télécharger malwarebytes

▶ Voici un tuto pour bien l installer et bien l utiliser :

https://www.androidworld.fr/

aide toi bien du tuto pour supprimer correctement ce qu il aura trouvé


Après l analyse, redémarrer le pc et poste le rapport !!

Et refais un nouveau rapport hijackthis stp
0
Réponse 12 / 34
bebedor
25 sept. 2008 à 12:36
Voici le rapport combofix, le pc n'a pas redémarré cette fois.

ComboFix 08-09-24.09 - Serge et Marine 2008-09-25 12:30:48.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.152 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Serge et Marine\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\Serge et Marine\Bureau\cfscript.txt
* Un nouveau point de restauration a été créé

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
c:\windows\lsass.exe
c:\windows\system32\autorun.ini
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\lsass.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-08-25 au 2008-09-25 ))))))))))))))))))))))))))))))))))))
.

2282-05-24 04:42 . 2282-05-24 04:42 3,120 --a------ C:\WINDOWS\MF_C421.lfa
2282-05-24 04:42 . 2282-05-24 04:42 3,120 --a------ C:\WINDOWS\MF_C420.lfa
2008-09-25 10:37 . 2008-09-25 10:37 <REP> d-------- C:\Program Files\Trend Micro
2008-09-25 09:55 . 2008-09-25 09:55 <REP> d-------- C:\WINDOWS\report
2008-09-25 09:55 . 2008-09-25 09:54 19,817,413 --a------ C:\WINDOWS\LPT$VPN.565
2008-09-25 09:54 . 2008-09-25 09:54 <REP> d-------- C:\WINDOWS\AU_Backup
2008-09-25 09:54 . 2008-09-25 09:54 19,817,413 --a------ C:\WINDOWS\VPTNFILE.565
2008-09-25 09:54 . 2008-09-25 09:54 1,966,305 --a------ C:\WINDOWS\tsc.ptn
2008-09-25 09:54 . 2008-09-25 09:54 1,213,784 --a------ C:\WINDOWS\vsapi32.dll
2008-09-25 09:54 . 2008-09-25 09:54 333,576 --a------ C:\WINDOWS\TSC.exe
2008-09-25 09:54 . 2008-09-25 09:54 91,744 --a------ C:\WINDOWS\BPMNT.dll
2008-09-25 09:54 . 2008-09-25 09:54 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2008-09-25 09:54 . 2008-09-25 10:27 823 --a------ C:\WINDOWS\tsc.ini
2008-09-25 09:54 . 2008-09-25 09:54 170 --a------ C:\WINDOWS\GetServer.ini
2008-09-25 09:53 . 2008-09-25 09:54 <REP> d-------- C:\WINDOWS\AU_Temp
2008-09-25 09:53 . 2008-09-25 09:53 <REP> d-------- C:\WINDOWS\AU_Log
2008-09-25 09:53 . 2008-09-25 09:53 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2008-09-25 09:53 . 2008-09-25 09:53 286,720 --a------ C:\WINDOWS\PATCH.EXE
2008-09-25 09:53 . 2008-09-25 09:53 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2008-09-25 00:07 . 2008-09-25 12:32 1,523 --a------ C:\WINDOWS\iexplore.html
2008-09-25 00:06 . 2008-09-25 11:40 3,362 --a------ C:\WINDOWS\system32\mssc32.dll
2008-09-25 00:06 . 2008-09-25 11:40 3,362 --a------ C:\WINDOWS\system32\bsc32.dll
2008-09-25 00:05 . 2008-09-25 00:05 634,695 --a------ C:\WINDOWS\system32\SPOOLER.EXE
2008-09-25 00:05 . 2008-09-25 11:39 634,695 --a------ C:\WINDOWS\divx32.dll
2008-09-25 00:05 . 2008-09-25 00:05 16,896 --a------ C:\WINDOWS\system32\apisrv32.exe
2008-09-04 20:21 . 2008-09-04 20:21 <REP> d-------- C:\Program Files\Windows Journal Viewer
2008-09-03 19:38 . 2008-09-03 19:38 78 --a------ C:\WINDOWS\Hulabee.ini
2008-09-03 19:36 . 2008-09-03 19:36 <REP> d-------- C:\Program Files\Hulabee

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-24 22:05 --------- d-----w C:\Program Files\eMule
2008-09-04 05:47 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-08-27 20:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-08-22 00:00 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-22 00:00 --------- d-----w C:\Program Files\Micro Application
2008-08-21 23:46 --------- d-----w C:\Program Files\Microsoft Picture It! 9
2008-08-01 21:21 --------- d-----w C:\Program Files\SopCast
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\dllcache\es.dll
2008-07-01 00:48 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-04-20 17:42 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
2008-03-28 10:14 88 --sh--r C:\WINDOWS\system32\CEDE768E7A.sys
2008-03-28 10:14 2,516 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{afefcd13-a442-40ca-af25-6906ac85191e}"= "C:\Program Files\RTLInfo\tbRTL1.dll" [2008-07-15 1569304]

[HKEY_CLASSES_ROOT\clsid\{afefcd13-a442-40ca-af25-6906ac85191e}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{afefcd13-a442-40ca-af25-6906ac85191e}]
2008-07-15 20:33 1569304 --a------ C:\Program Files\RTLInfo\tbRTL1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{afefcd13-a442-40ca-af25-6906ac85191e}"= "C:\Program Files\RTLInfo\tbRTL1.dll" [2008-07-15 1569304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{AFEFCD13-A442-40CA-AF25-6906AC85191E}"= "C:\Program Files\RTLInfo\tbRTL1.dll" [2008-07-15 1569304]

[HKEY_CLASSES_ROOT\clsid\{afefcd13-a442-40ca-af25-6906ac85191e}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"ntiMUI"="C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-02-01 385024]
"Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-10 50688]
"Print Spooler"="C:\WINDOWS\system32\SPOOLER.EXE" [2008-09-25 634695]
"RTHDCPL"="RTHDCPL.EXE" [2008-06-13 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"LocalSecurityAuthoritySubsystem"="C:\WINDOWS\lsass.exe" [2008-09-25 16896]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\regedit.exe]
"Debugger"=0

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\taskmgr.exe]
"Debugger"=0

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Recherche sur le bureau de Windows.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchApp]
Alaunch [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AspireService]
--a------ 2005-06-21 16:39 110592 C:\Program Files\acer\Acer eMode Management\AspireService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
--a------ 2005-08-12 15:43 45056 C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-05 06:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eRecoveryService]
--a------ 2005-06-20 10:03 352256 C:\Program Files\acer\eRecovery\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2004-08-05 06:00 208952 C:\WINDOWS\ime\imjp8_1\imjpmig.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail]
C:\PROGRA~1\INCRED~1\bin\IncMail.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaSync]
--a------ 2005-06-21 16:28 425984 C:\Program Files\acer\Acer eConsole\MediaSync.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3]
C:\Program Files\MessengerPlus! 3\MsgPlus.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
--a------ 2004-08-05 06:00 59392 C:\WINDOWS\system32\IME\PINTLGNT\IMSCINST.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ntiMUI]
--a------ 2005-05-11 19:15 45056 c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2004-08-05 06:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2004-08-05 06:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2005-11-10 14:03 36975 C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]
C:\PROGRA~1\SYMNET~1\SNDMon.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 18:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut]
--a------ 2005-01-07 18:07 61952 C:\WINDOWS\system32\HdAShCut.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2008-06-13 14:50 16871936 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\System32\\dpvsetup.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"C:\\Program Files\\SopCast\\SopCast.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56609:TCP"= 56609:TCP:Pando P2P TCP Listening Port
"56609:UDP"= 56609:UDP:Pando P2P UDP Listening Port

R0 m5287;m5287;C:\WINDOWS\system32\drivers\m5287.sys [2005-02-05 85888]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 int15.sys;int15.sys;C:\Program Files\Acer\eRecovery\int15.sys [2005-01-13 69632]
S3 maconfservice;Ma-Config Service;C:\Program Files\ma-config.com\maconfservice.exe [2008-06-26 576680]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{106a9179-51c3-11dd-bb6f-00142a76d3a0}]
\Shell\AutoRun\command - J:\InstallTomTomHOME.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}]
rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserstub
.
Contenu du dossier 'Tâches planifiées'
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-25 12:32:43
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

PROCESSUS: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\lsass.exe
.
Heure de fin: 2008-09-25 12:34:53
ComboFix-quarantined-files.txt 2008-09-25 10:34:48
ComboFix2.txt 2008-09-25 09:45:15

Avant-CF: 50.176.159.744 octets libres
Après-CF: 50,169,765,888 octets libres

203 --- E O F --- 2008-09-10 15:59:46

Je m'occupe de celui de Malwarebytes et je reviens.
0
Réponse 13 / 34
bebedor
25 sept. 2008 à 13:30
suivant:

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1203
Windows 5.1.2600 Service Pack 2

25/09/2008 13:24:05
mbam-log-2008-09-25 (13-24-05).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 100111
Temps écoulé: 41 minute(s), 46 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
C:\WINDOWS\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\localsecurityauthoritysubsystem (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{E27BA98E-2CFC-424E-BDA2-9BF88577901F}\RP300\A0065907.dll (Adware.Shopper) -> Quarantined and deleted successfully.
C:\WINDOWS\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Je refais hijackthis.
0
Réponse 14 / 34
bebedor
25 sept. 2008 à 13:33
Et voila (eh ben quel boulot, lol), et toujours ses fenêtres qui reviennent...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:32:38, on 25/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\SPOOLER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\lsass.exe
C:\Program Files\acer\Acer eConsole\MediaServerService.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: RTLInfo Toolbar - {afefcd13-a442-40ca-af25-6906ac85191e} - C:\Program Files\RTLInfo\tbRTL1.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: RTLInfo Toolbar - {afefcd13-a442-40ca-af25-6906ac85191e} - C:\Program Files\RTLInfo\tbRTL1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: RTLInfo Toolbar - {afefcd13-a442-40ca-af25-6906ac85191e} - C:\Program Files\RTLInfo\tbRTL1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Print Spooler] C:\WINDOWS\system32\SPOOLER.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [LocalSecurityAuthoritySubsystem] C:\WINDOWS\lsass.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15031/CTSUEng.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} (SopCore Control) - http://download.sopcast.cn/download/SOPCORE.CAB
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15034/CTPID.cab
O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\acer\Acer eConsole\MediaServerService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
0
Réponse 15 / 34
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
25 sept. 2008 à 13:39
▶ Télécharge OTMoveIt (de Old_Timer) sur ton Bureau

(c est le numéro 7 en bas de la page)

▶ Double-clique sur OTMoveIt.exe pour le lancer.
▶ Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.
▶ Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.


c:\windows\lsass.exe



▶ clique sur MoveIt! pour lancer la suppression.
▶ Le résultat apparaitra dans le cadre "Results".
▶ Clique sur Exit pour fermer.
▶ Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

▶Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

ensuite :

Fix.reg

▶ Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisi nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en gras dans la citation ci-dessous (copie tout d'un trait sans les barres(x)) :

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"LocalSecurityAuthoritySubsystem"=-


XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Note : Regedit4 est sur la premiere ligne dans le bloc note et il y a une ligne blanche a la fin.
▶ Puis click sur "fichier"/"enregistrer sous" :
▶ dans : sur le bureau
▶ Nom du fichier : fix.reg
▶ Type de fichier : "tous les fichiers"
▶ clique sur "enregistrer"

▶ ca doit ressembler à ca une fois enregistré :

https://i39.servimg.com/u/f39/12/79/94/93/fixreg10.jpg

▶ double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"


ensuite redémarre le pc et refais un nouveau rapport hijackthis stp
0
Réponse 16 / 34
bebedor
25 sept. 2008 à 13:53
Rapport de OTMoveIt:

c:\windows\lsass.exe moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09252008_135113
0
Réponse 17 / 34
bebedor
25 sept. 2008 à 14:00
Fix.reg ne fonctionne pas:

Windows ne trouve pas'C:/Documents and Settings/........

Aïe!
0
Réponse 18 / 34
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
25 sept. 2008 à 14:02
Tu as surement mal crée le fichier fix.reg

réessaye stp
0
Réponse 19 / 34
bebedor
25 sept. 2008 à 14:05
J'ai essayé plusieurs fois, rien à faire, çà ne fonctionne pas...
0
Réponse 20 / 34
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
25 sept. 2008 à 14:08
tu as bien une icone comme illustré ICI ??
0

Discussions similaires

Problème de clavier, des fenêtre s'ouvrent !!
Lyon691D -
tanteelise -

5 réponses
Afficher deux fenêtres côte à côte
ptitchinoise -
pistouri -

11 réponses
Mon ordinateur ouvre des pages du bureau tout seul
Tanguy -
Tanguy -

9 réponses
comment activer les fenètre pop-up
zipou -
Tif -

14 réponses
Mon pc ouvre des fenetres tout seul
ilvyans -
bugiuglg -

25 réponses