Ron ads b Cpmsky

Résolu
Santiago -  
 tklme -
Bonsoir,

Bravo pour ces analyses impressionnantes

Je suis victime de Ron et je ne sais pas comment procéder. Ca n'a peut être rien à voir mais depuis l'apparition de Ron, mon pc m'envoie des bruits de relais qui bascule sans arrêt comme dans un vieil ascenseur !!

J'ai fait un scan avec HIjack this mais je suis bien incapable d'interpréter quoi que ce soit ??

Je vous poste le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:43:44, on 06/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\regsvr32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Documents and Settings\Jean Jacques\Mes documents\Antivirus\HijackThis.exe
C:\DOCUME~1\JEANJA~1\LOCALS~1\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www8.hp.com/fr/fr/home.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: cpmsky browser enhancer - {5dba867b-5291-3a7f-85e3-28736ad2d400} - C:\WINDOWS\system32\rwvpdsbrfwxedc.dll
O2 - BHO: mysidesearch search enhancer - {6e5c12b4-e103-761c-ce16-2a79ccd7072a} - C:\WINDOWS\system32\bqceidtkdnhah.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [btdylcihaqgn] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\rwvpdsbrfwxedc.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadwin PrintScreen 3.5] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 8665 bytes

Ensuite, j'ai fait une recherche avec S&D toolbar et voilà le résutat :

-----------\\ ToolBar S&D 1.2.2 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Turion(tm) 64 Mobile Technology ML-34 )
BIOS : Ver 1.00PARTTBL
USER : Jean Jacques ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1229 [VPS 081006-0] 4.8.1229 (Activated)
Firewall : Norton Internet Security 2006 2006 (Activated)
C:\ (Local Disk) - NTFS - Total : 85 Go Free : 65 Go
D:\ (Local Disk) - FAT32 - Total : 6 Go Free : 1 Go
E:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 04-10-2008|21:00 )
Option : [1] ( 06/10/2008|21:50 )

-----------\\ Recherche de Fichiers / Dossiers ...

-----------\\ Extensions

(Christine) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar

(Invit‚ 1) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar

(Jean Jacques) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar
(Jean Jacques) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-ca
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-cs
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-da
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-de
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-en-US
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-es-AR
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-es-ES
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-eu
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-fr
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-ga-IE
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-hu
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-is
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-it
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-ja-JP-mac
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-ja
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-ka
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-ko
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-lt
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-nb-NO
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-nl
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-nn-NO
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-pl
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-pt-BR
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-pt-PT
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-ro
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-ru
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-sk
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-sl
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-sv-SE
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-uk
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-zh-CN
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-zh-TW
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-ca
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-cs
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-da
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-de
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-en-US
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-es-AR
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-es-ES
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-eu
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-fr
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-ga-IE
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-hu
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-is
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-it
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-ja-JP-mac
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-ja
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-ka
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-ko
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-lt
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-nb-NO
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-nl
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-nn-NO
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-pl
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-pt-BR
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-pt-PT
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-ro
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-ru
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-sk
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-sl
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-sv-SE
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-uk
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-zh-CN
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-zh-TW
(Jean Jacques) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www8.hp.com/fr/fr/home.html"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
"SearchMigratedDefaultURL"="https://www.google.com/webhp?gws_rd=ssl{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\JEANJA~1\Recent\Crack Architecte Studio 2005.rar.lnk

1 - "C:\ToolBar SD\TB_1.txt" - 06/10/2008|21:52 - Option : [1]

-----------\\ Fin du rapport a 21:52:08,51

Pour la suite, je panique un peu à l'idée de presser tel ou tel bouton car je suis vraiment novice en médecine informatique !!

Merci beaucoup de bien vouloir m'aider
Configuration: Windows XP
Firefox 3.0.3

25 réponses

  • 1
  • 2
Résumé de la discussion

Une infection potentielle est détectée sur un système Windows XP par un rapport HijackThis qui liste de nombreuses entrées suspectes et des modifications de paramètres Internet. Des mesures de désinfection sont proposées, notamment télécharger CCleaner et OTMoveIt, préparer un fichier fix.reg à exécuter dans le registre et redémarrer en mode sans échec pour lancer la suppression. Ensuite, OTMoveIt est utilisé pour supprimer les éléments indésirables et le fichier fix.reg est importé dans le registre, puis CCleaner est exécuté en mode avancé pour corriger les erreurs et nettoyer les traces. Même si les symptômes disparaissent, la désinfection n'est pas terminée et un suivi avec des scans réguliers, des mises à jour et une vérification des extensions des navigateurs est recommandé.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Ce n'est pas encore terminé ;)
    Désolé d'avoir été si long à répondre...

    Télécharge OAD (Outil d'Aide au Diagnostic) sur ton bureau : OAD
    → Lance 'OAD.exe' en faisant un double clic sur le fichier
    → Saisis la valeur recherchée -> ' denamhuxbwpueoyjo.exe ' ( fais un copier/coller)
    → Type de recherche : sélectionne l'option 6 puis appuie sur la touche entrée
    → OAD va maintenant rechercher le fichier, laisse le travailler

    → Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé, fais en un copier/coller ici stp

    Note : Certains Antivirus peuvent émettre une alerte lors de l'utilisation de ce programme, ignore la

    1
    1. rodriguez73 Messages postés 3266 Statut Membre 298
       
      je l'avais aussi et il est parti avec malwarebyte's anti malwares tout simplement,pas besoin de 50 programmes!!!!!!!
      -1
      1. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790 > rodriguez73 Messages postés 3266 Statut Membre
         
        Si tu avais lu le sujet en entier, tu verrais qu'on a déjà utilisé MalwareBytes ! Ce n'est pas parce que les symptomes ont disparu qu'il n'y a plus d'infection...

        Si tu n'es pas d'accord, apprends à lire un rapport Combofix et tu verras qu'il reste des fichiers infectés ici...

        0
      2. SANTIAGO > anthony5151 Messages postés 10927 Statut Contributeur sécurité
         
        Bonjour Anthony,

        Comme je te le disais, j'ai du m'éloigner pour quelques jours. Aussitôt que je le peux, je reprend le travail de nettoyage de mon ordinateur.
        Merci pour ta réponse et voici le rapport de l'OAD :
        17/10/2008 ---- 23:46:29,73

        ----------------------------------
        §§§§§§ [denamhuxbwpueoyjo.exe] §§§§§§
        ----------------------------------
        [X] Registre

        -------------- [ ] rapide
        -- Fichier --- [ ] disque systeme
        ------------- [X] complete


        ********************
        [Registre]
        ********************


        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio­n\Uninstall\denamhuxbwpueoyjo]
        "UninstallString"="C:\\WINDOWS\\system32\\denamhuxbwpueoyjo.exe"

        *******************
        [Fichier]
        *******************

        c:\WINDOWS\system32\denamhuxbwpueoyjo.exe


        *********************
        [Même date]
        *********************

        [03/10/2008 ] ---> C:\WINDOWS\system32\denamhuxbwpueoyjo.exe



        Outil Aide Diagnostic By !aur3n7 Version 1.1
        ----------------------------------
        §§§§§ Fin Rapport §§§§§
        ----------------------------------
        0
    2. SANTIAGO
       
      Bonjour Anthony,

      Comme je te le disais, j'ai du m'éloigner pour quelques jours. Aussitôt que je le peux, je reprend le travail de nettoyage de mon ordinateur.
      Merci pour ta réponse et voici le rapport de l'OAD :
      17/10/2008 ---- 23:46:29,73

      ----------------------------------
      §§§§§§ [denamhuxbwpueoyjo.exe] §§§§§§
      ----------------------------------
      [X] Registre

      -------------- [ ] rapide
      -- Fichier --- [ ] disque systeme
      ------------- [X] complete


      ********************
      [Registre]
      ********************


      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\denamhuxbwpueoyjo]
      "UninstallString"="C:\\WINDOWS\\system32\\denamhuxbwpueoyjo.exe"

      *******************
      [Fichier]
      *******************

      c:\WINDOWS\system32\denamhuxbwpueoyjo.exe


      *********************
      [Même date]
      *********************

      [03/10/2008 ] ---> C:\WINDOWS\system32\denamhuxbwpueoyjo.exe



      Outil Aide Diagnostic By !aur3n7 Version 1.1
      ----------------------------------
      §§§§§ Fin Rapport §§§§§
      ----------------------------------
      0
  2. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Ok, tu peux passer à la désinfection. Fais ce qui suit dans l'ordre :

    1) Préparation

    # Télécharge et installe CCleaner (si ce n’est déjà fait) : https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
    Sur le site, clique sur > Download latest version et laisse-toi guider.
    Ne coche pas "Ajouter la barre d' outils Yahoo" lors de l’installation !

    # Télécharge OTMoveIt (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

    # Ouvre le bloc-notes (fais un clic droit sur le bureau > dans l´arborescence choisis nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(x)) :

    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\denamhuxbwpueoyjo]
    "UninstallString"=-

    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

    Note : Regedit4 est sur la premiere ligne dans le bloc note et il y a une ligne blanche a la fin.
    Puis clique sur "fichier" --> "enregistrer sous" :
    dans : sur le bureau
    Nom du fichier : fix.reg
    Type de fichier : "tous les fichiers"
    clique sur "enregistrer"

    ça doit ressembler à ça une fois enregistré : http://img520.imageshack.us/img520/4251/screenshot005ps2.png

    /!\ N'exécute pas ce fichier pour l'instant /!\

    2) Redémarre le PC en mode sans échec :
    Tu n' auras pas accès à Internet pendant le "mode sans échec". Aussi, copie/colle toute cette procédure dans un fichier texte et mets-la sur le "bureau" pour l'avoir à ta disposition.
    Ferme toutes les fenêtres et applications.
    Redémarre ton ordinateur, puis tapote sur la touche F8 (F5 sur certains PC) avant l’apparition du logo Windows, un menu va apparaître, tu devra choisir de démarrer en mode sans échec.

    3) Désinfection

    # Double clique sur le fichier fix.reg que tu viens de créer => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
    Si c'est bien le cas, clique sur "oui"

    # Double-clique sur OTMoveIt.exe pour le lancer.
    Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!
    Copie le texte ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.
    c:\WINDOWS\system32\denamhuxbwpueoyjo.exe 

    Clique sur MoveIt! pour lancer la suppression.
    Lorsque un résultat apparaît dans le cadre Results, clique sur Exit et redémarre ton PC.
    Copie-colle le rapport dans ta réponse : il est situé sur --> C:\_OTMoveIt\MovedFiles.

    # Lance CCleaner :
    Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
    Puis nettoyeur --> Analyse > Lancer le nettoyage,
    puis sur OK dans la fenêtre qui s' affiche.
    Relance le nettoyage une deuxième fois.

    Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

    1
    1. Santiago
       
      Bonsoir Anthony,

      Voilà, j'ai suivi toute la procédure et le rapport d'OT move it est ici :

      c:\WINDOWS\system32\denamhuxbwpueoyjo.exe moved successfully.

      OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 10192008_014053

      Pour l'instant, tout se déroule idéalement

      Je dois faire une autre manip ?
      0
  3. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Bonjour,

    Télécharge et installe Malwarebytes' Anti-Malware
    - A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    - Lance MBAM, laisse les Mises à jour se télécharger et referme le programme

    Redémarre en "Mode sans échec" : redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec". Choisis ta session habituelle

    Lance MBAM
    - Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
    - Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
    - A la fin du scan, clique sur Afficher les résultats
    - Coche tous les éléments détectés puis clique sur Supprimer la sélection
    - Enregistre le rapport
    - S'il t'est demandé de redémarrer, clique sur Yes

    Poste le rapport de scan après la suppression ici

    0
    1. Santiago
       
      Bonjour,

      D'abord, merci pour cette aide précieuse car je rame pas mal pour avancer ,:) pardon pour avoir un peu parasité la résolution des pb d'Anthony 93.

      Voilà le rapport du scan qui a été fait :
      Malwarebytes' Anti-Malware 1.28
      Version de la base de données: 1240
      Windows 5.1.2600 Service Pack 3

      08/10/2008 06:51:58
      mbam-log-2008-10-08 (06-51-58).txt

      Type de recherche: Examen complet (C:\|D:\|G:\|)
      Eléments examinés: 139526
      Temps écoulé: 4 hour(s), 4 minute(s), 7 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 2
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 1
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 2

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5dba867b-5291-3a7f-85e3-28736ad2d400} (Adware.BHO) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\CLSID\{5dba867b-5291-3a7f-85e3-28736ad2d400} (Adware.BHO) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\Documents and Settings\Christine\Local Settings\Temp\dat6A.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\rwvpdsbrfwxedc.dll (Adware.BHO) -> Quarantined and deleted successfully.

      Quelle manip dois-je lancer maintenant STP ?
      J'ai oublié de dire que avant de prendre contact avec toi, j'ai supprimé 2 BHO (trouvées avec Hijackthis) qui me "paraissaient" pas bonnes, pas bonnes car pointaient sur IE alors que je ne me sers jamais d'IE. C'est grave docteur ? :)

      Encore merci et à bientôt
      0
    2. Koreane_Attitude
       
      Bonjour ,

      J'ai essayer d'installer ton antivirus mais , mon antivirus a moi me dit que c'est un cheval de troie ! Comment se fait-il ?
      ( PS : J'ai McAfee SecurityCenter )

      Merci de votre aide
      0
      1. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790 > Koreane_Attitude
         
        Bonsoir,


        Merci d'ouvrir ton propre sujet pour obtenir une aide complète et personnalisée.
        Joyeux noël
        0
      2. tklme > Koreane_Attitude
         
        salut,
        c juste un coup de jalousie de ton antivirus ca arrive souvent...
        c comme pour combofix tout les antivirus (jalou de pas trouvez tout ce qui trouve) les voient comme un trojan
        donc faut pas croire tout ce que ton antivir te dit .... surtout mac afee ...
        voila je sais que cette reponse n'est pas adequate mais voila c est tout ce que j'ai trouve a dire!!
        0
  4. SANTIAGO
     
    OK, je comprend qu'on attaque des choses sensibles. Si tu veux bien, je détaille un peu pour lever mes doutes
    Pour Avast pas de problème, j'ai fait "arrêter la protection résidente"
    Pour Norton, je n'ai rien près de l'horloge et rien dans le dossier Program file.
    Peut être s'agit-il des traces de l'essai gratuit qui était "offret " à l'achat ??
    Le bouclier pare feu de windows n'est pas non plus près de l'horloge et je ne sais plus où on l'arrête.
    Y-a-t-il quelque chose de particulier à faire pour les logiciels A², CC Cleaner, Spybot, et malware bytes?
    Je vais télécharger combofix mais je ne lancerai rien avant ta ta prochaine réponse.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Bonsoir Santiago ;)

    En effet cet ordinateur est infecté, cette ligne montre qu'il y a un rogue (faux logiciel de protection) :
    O4 - HKCU\..\Run: [Error Safe] "D:\Program Files\Error Safe Free\ers.exe" /scan

    Attention, fixer la ligne avec hijackthis ne supprimera pas l'infection, on va s'en occuper.

    "J'ai téléchargé des utilitaires de chasse aux virus et autres spywares mais je n'ai rien "bricolé" encore"
    ==> Tu as bien fait de ne rien lancer, n'installe rien pour l'instant, tu risquerai de supprimer l'infection à moitié seulement, ce qui rendrait la désinfection plus difficile au final.
    Par curiosité, est-ce que je peux te demander ce que tu as téléchargé ?

    Pour commencer, télécharge SmitfraudFix : http://siri.urz.free.fr/Fix/SmitfraudFix.exe

    - Enregistre-le sur le Bureau

    - Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

    - Un rapport sera généré, poste-le dans ta prochaine réponse stp.

    Tutoriel ici pour t'aider : http://www.malekal.com//tutorial_SmitFraudfix.php

    0
    1. Santiago
       
      Bonjour Anthony et merci beaucoup pour ta réponse.

      Dès que je rentre ce soir, je vais effectuer les manips que tu me demandes. Pour répondre à ta demande d'infos : Dans un premier temps, j'ai téléchargé et installé Zone Alarm, puis j'ai téléchargé Avira, désinstallé Avast puis installé Avira. Ensuite, j'ai téléchargé et installé malwarebytes mais sans effectuer de diagnostic ; j'ai également téléchargé et installé spyware blaster sans effectuer de diagnostic non plus, et enfin, j'ai téléchargé spybot search and destroy avec lequel j'ai fait un scan mais rien de plus. J'ai fait cela avant de prendre contact avec toi afin de ne pas t'alerter sans raison. Le scan a révélé 5 ou 6 lignes d'incorrections mais je n'ai pas appuyé sur réparer (ou un autre bouton de correction ou de fix). Ensuite, j'ai téléchargé Hijackthis, j'ai fait un diagnostic et je t'ai posté le rapport pour analyse.

      Voilà donc la chronologie des premières investigations.
      Merci encore et à plus tard
      0
    2. Santiago
       
      Bonsoir Anthony,

      Comme convenu, je te joins le rapport demandé :
      SmitFraudFix v2.383

      Rapport fait à 21:40:34,64, 11/12/2008
      Executé à partir de D:\Documents and Settings\BUFFIERE DE LAIR\Bureau\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Le type du système de fichiers est NTFS
      Fix executé en mode normal

      »»»»»»»»»»»»»»»»»»»»»»»» Process

      D:\WINDOWS\System32\smss.exe
      D:\WINDOWS\system32\winlogon.exe
      D:\WINDOWS\system32\services.exe
      D:\WINDOWS\system32\lsass.exe
      D:\WINDOWS\system32\Ati2evxx.exe
      D:\WINDOWS\system32\svchost.exe
      D:\WINDOWS\System32\svchost.exe
      D:\WINDOWS\system32\svchost.exe
      D:\WINDOWS\system32\ZoneLabs\vsmon.exe
      D:\WINDOWS\system32\brsvc01a.exe
      D:\WINDOWS\system32\brss01a.exe
      D:\WINDOWS\system32\spoolsv.exe
      D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      D:\WINDOWS\System32\FTRTSVC.exe
      D:\WINDOWS\system32\slserv.exe
      D:\WINDOWS\system32\svchost.exe
      D:\WINDOWS\Explorer.EXE
      D:\WINDOWS\system32\wuauclt.exe
      D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      D:\WINDOWS\SOUNDMAN.EXE
      D:\windows\system32\saymsoq.exe
      D:\windows\system32\qttask.exe
      D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
      D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
      D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
      D:\Program Files\Messenger\msmsgs.exe
      D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      D:\WINDOWS\system32\ctfmon.exe
      D:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
      D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      D:\WINDOWS\system32\slrundll.exe
      D:\Program Files\Mozilla Firefox\firefox.exe
      D:\WINDOWS\system32\cmd.exe

      »»»»»»»»»»»»»»»»»»»»»»»» hosts

      Fichier hosts corrompu !

      127.0.0.1 legal-at-spybot.info
      127.0.0.1 www.legal-at-spybot.info

      »»»»»»»»»»»»»»»»»»»»»»»» D:\


      »»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\BUFFIERE DE LAIR


      »»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~2\BUFFIE~1\LOCALS~1\Temp


      »»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\BUFFIERE DE LAIR\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~2\BUFFIE~1\Favoris


      »»»»»»»»»»»»»»»»»»»»»»»» Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» D:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
      "Source"="About:Home"
      "SubscribedURL"="About:Home"
      "FriendlyName"="Ma page d'accueil"


      »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      o4Patch
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri



      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      IEDFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri



      »»»»»»»»»»»»»»»»»»»»»»»» VACFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      404Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit"="D:\\WINDOWS\\system32\\userinit.exe,"
      "System"=""


      »»»»»»»»»»»»»»»»»»»»»»»» RK



      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      Description: Realtek RTL8169/8110 Family Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
      DNS Server Search Order: 212.27.40.241
      DNS Server Search Order: 212.27.40.240

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{4BE8E173-77B4-4F83-A135-7CD178BE73D1}: DhcpNameServer=212.27.40.241 212.27.40.240
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{4BE8E173-77B4-4F83-A135-7CD178BE73D1}: DhcpNameServer=212.27.40.241 212.27.40.240
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
      HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin

      Voilà voilà Peux-tu me dire quelle manip je dois effectuer à la suite d ece diagnostic STP
      Merci beaucoup par avance
      JJacques
      0
  7. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Ok, on passe à MalwareBytes' Anti-Malware (=MBAM)

    Télécharge et installe Malwarebytes' Anti-Malware
    - A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    - Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
    - Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
    - Clique sur "Lancer l’examen"
    - A la fin du scan, clique sur Afficher les résultats
    - Coche tous les éléments détectés puis clique sur Supprimer la sélection
    - Enregistre le rapport
    - S'il t'est demandé de redémarrer, clique sur Yes

    Poste le rapport de scan après la suppression ici

    0
  8. Santiago
     
    Re bonsoir Anthony,

    Comme convenu, voici le rapport de MLB :
    Malwarebytes' Anti-Malware 1.31
    Version de la base de données: 1490
    Windows 5.1.2600 Service Pack 3

    11/12/2008 22:34:08
    mbam-log-2008-12-11 (22-34-08).txt

    Type de recherche: Examen rapide
    Eléments examinés: 54438
    Temps écoulé: 10 minute(s), 43 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 10
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 4
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\hottvplayer.htplayer (Adware.EGDAccess) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\hottvplayer.htplayer.1 (Adware.EGDAccess) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Interface\{1f323594-30e9-4e1e-8262-ca7b4d0a65a1} (Adware.EGDAccess) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Interface\{c2ccbfaf-1474-4e53-8130-0cc12b31856b} (Adware.EGDAccess) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{fd31bf07-70e3-4b98-8f70-0970af614275} (Adware.EGDAccess) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Typelib\{95012afd-f4f1-4a96-bf3b-4f5d6c54d593} (Adware.EGDAccess) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2d2bee6e-3c9a-4d58-b9ec-458edb28d0f6} (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fd31bf07-70e3-4b98-8f70-0970af614275} (Adware.EGDAccess) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\HotTVPlayer (Adware.EGDAccess) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    D:\Program Files\Fichiers communs\DriveCleaner 2006 Free (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
    D:\Program Files\WinAntiSpyware 2006 Scanner (Rogue.WinAntiSpyware) -> Quarantined and deleted successfully.
    D:\Documents and Settings\BUFFIERE DE LAIR\Application Data\DriveCleaner 2006 Free (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
    D:\Documents and Settings\BUFFIERE DE LAIR\Application Data\DriveCleaner 2006 Free\Logs (Rogue.DriveCleaner) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    D:\Documents and Settings\BUFFIERE DE LAIR\Application Data\DriveCleaner 2006 Free\Logs\update.log (Rogue.DriveCleaner) -> Quarantined and deleted successfully.

    J'ai l'impression qu'il ya un grand nbre de fichiers infectés (ou infecteurs). L'ensemble de ces fichiers est passé dans l'onglet quarantaine. Faut-il les supprimer de la quarantaine ??
    Je suis prêt pour les manips suivantes
    0
  9. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Il y a les restes d'une ancienne infection qui affichait des publicités, et deux rogues (DriveCleaner et WinAntiSpyware), mais tout n'a pas été détecté...

    Tu peux en effet supprimer tout ce qui est en quarantaine.

    Ensuite :

    /!\ A l'attention de ceux qui passent sur ce sujet /!\
    Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur du forum vous l'a recommandé.

    On va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts... Fais exactement ce qui suit :

    Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix dans dans la fenêtre qui s'ouvre, puis choisis le Bureau comme destination et valide : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    --------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
    !! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!

    Dans ton cas, il s'agit d'Antivir, de Zone Alarm et de Spybot (Lance Spybot --> clique sur Mode => coche Mode avancé => Outils => Résident => décoche la case Résident Tea Timer)

    ---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

    Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    ---------------------------------------------------------------------------------------------------------------------------------

    Ensuite :
    Double-clique sur C-Fix.exe (= combofix.exe ) .

    Appuie sur une touche pour démarrer le scan .

    Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

    Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

    0
    1. Santiago
       
      Bonjour Anthony;

      Comme prévu voici le rapport de CFix:
      ComboFix 08-12-11.04 - BUFFIERE DE LAIR 2008-12-12 7:14:29.1 - NTFSx86
      Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.262 [GMT 1:00]
      Lancé depuis: d:\documents and settings\BUFFIERE DE LAIR\Bureau\C-Fix.exe
      * Un nouveau point de restauration a été créé
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      d:\program files\hottvplayer
      d:\program files\hottvplayer\hottv.ico
      d:\program files\hottvplayer\Ogg\ogg.dll
      d:\program files\hottvplayer\Ogg\ogg_demux.dll
      d:\program files\hottvplayer\Ogg\theora_decoder.dll
      d:\program files\hottvplayer\Ogg\vorbis.dll
      d:\program files\hottvplayer\Ogg\vorbis_decoder.dll
      d:\windows\pack.epk
      d:\windows\system32\404Fix.exe
      d:\windows\system32\dumphive.exe
      d:\windows\system32\IEDFix.C.exe
      d:\windows\system32\IEDFix.exe
      d:\windows\system32\o4Patch.exe
      d:\windows\system32\Process.exe
      d:\windows\system32\saymsoq.dat
      d:\windows\system32\saymsoq.exe
      d:\windows\system32\saymsoq_nav.dat
      d:\windows\system32\saymsoq_navps.dat
      d:\windows\system32\SrchSTS.exe
      d:\windows\system32\tmp.reg
      d:\windows\system32\VACFix.exe
      d:\windows\system32\VCCLSID.exe
      d:\windows\system32\WS2Fix.exe

      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-12 au 2008-12-12 ))))))))))))))))))))))))))))))))))))
      .

      2008-12-12 06:55 . 2008-12-12 06:55 <REP> d-------- d:\windows\LastGood
      2008-12-10 22:29 . 2008-12-10 22:38 <REP> d-------- d:\program files\SpywareBlaster
      2008-12-10 22:29 . 2008-12-10 23:11 <REP> d-a------ d:\documents and settings\All Users\Application Data\TEMP
      2008-12-10 22:18 . 2008-12-10 22:18 <REP> d-------- d:\documents and settings\BUFFIERE DE LAIR\Application Data\Malwarebytes
      2008-12-10 22:17 . 2008-12-10 22:18 <REP> d-------- d:\program files\Malwarebytes' Anti-Malware
      2008-12-10 22:17 . 2008-12-10 22:17 <REP> d-------- d:\documents and settings\All Users\Application Data\Malwarebytes
      2008-12-10 22:17 . 2008-12-03 19:52 38,496 --a------ d:\windows\system32\drivers\mbamswissarmy.sys
      2008-12-10 22:17 . 2008-12-03 19:52 15,504 --a------ d:\windows\system32\drivers\mbam.sys
      2008-12-10 22:04 . 2008-12-10 22:04 <REP> d-------- d:\program files\Spybot - Search & Destroy
      2008-12-10 21:41 . 2008-12-10 21:41 <REP> d-------- d:\program files\Avira
      2008-12-10 21:41 . 2008-12-10 21:41 <REP> d-------- d:\documents and settings\All Users\Application Data\Avira
      2008-12-10 19:46 . 2008-12-12 07:18 337,952 --ahs---- d:\windows\system32\drivers\fidbox.dat
      2008-12-10 19:46 . 2008-12-11 23:37 4,784 --ahs---- d:\windows\system32\drivers\fidbox.idx
      2008-12-10 19:37 . 2008-12-10 19:37 <REP> d-------- d:\documents and settings\All Users\Application Data\MailFrontier
      2008-12-10 19:37 . 2008-12-10 19:45 4,212 ---h----- d:\windows\system32\zllictbl.dat
      2008-12-10 19:36 . 2008-12-10 19:36 <REP> d-------- d:\program files\Zone Labs
      2008-12-10 19:34 . 2008-12-11 21:46 <REP> d-------- d:\windows\Internet Logs
      2008-12-10 07:42 . 2008-12-10 07:42 <REP> d-------- d:\windows\system32\fr
      2008-12-10 07:42 . 2008-12-10 07:42 <REP> d-------- d:\windows\system32\bits
      2008-12-10 07:42 . 2008-12-10 07:42 <REP> d-------- d:\windows\l2schemas
      2008-12-10 07:42 . 2008-04-13 19:33 712,704 --------- d:\windows\system32\windowscodecs.dll
      2008-12-10 07:42 . 2008-04-13 19:33 346,112 --------- d:\windows\system32\windowscodecsext.dll
      2008-12-10 07:42 . 2008-04-13 19:33 276,992 --------- d:\windows\system32\wmphoto.dll
      2008-12-10 07:42 . 2008-04-13 19:33 69,120 --------- d:\windows\system32\wlanapi.dll
      2008-12-10 07:42 . 2008-04-13 19:33 53,248 --------- d:\windows\system32\tsgqec.dll
      2008-12-10 07:42 . 2008-04-13 19:33 50,688 --------- d:\windows\system32\tspkg.dll
      2008-12-10 07:38 . 2008-12-10 07:43 <REP> d-------- d:\windows\ServicePackFiles
      2008-12-10 07:29 . 2006-12-28 12:01 19,569 --a------ d:\windows\[u]0/u02853_.tmp
      2008-12-10 07:23 . 2008-12-10 07:23 <REP> d-------- d:\windows\EHome
      2008-12-09 23:46 . 2008-12-09 23:46 <REP> d-------- d:\program files\Yahoo!
      2008-12-09 23:45 . 2008-12-09 23:46 <REP> d-------- d:\program files\CCleaner
      2008-12-09 23:41 . 1998-06-24 01:00 137,000 --a------ d:\windows\system32\MSMAPI32.OCX
      2008-12-09 23:40 . 2008-12-09 23:41 <REP> d-------- d:\program files\PDFCreator
      2008-12-09 23:40 . 1998-07-13 02:08 141,312 --a------ d:\windows\system32\MSCMCFR.DLL
      2008-12-09 23:40 . 2001-10-28 17:42 116,224 --a------ d:\windows\system32\pdfcmnnt.dll
      2008-12-09 23:40 . 1998-07-13 02:08 59,904 --a------ d:\windows\system32\MSCC2FR.DLL
      2008-12-09 23:40 . 1998-07-06 01:00 23,552 --a------ d:\windows\system32\MSMPIDE.DLL
      2008-12-08 20:08 . 2008-10-24 12:21 455,296 -----c--- d:\windows\system32\dllcache\mrxsmb.sys
      2008-11-15 23:33 . 2008-11-15 23:33 268 --ah----- D:\sqmdata11.sqm
      2008-11-15 23:33 . 2008-11-15 23:33 244 --ah----- D:\sqmnoopt11.sqm
      2008-11-15 21:40 . 2008-11-15 21:40 268 --ah----- D:\sqmdata10.sqm
      2008-11-15 21:40 . 2008-11-15 21:40 244 --ah----- D:\sqmnoopt10.sqm

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-12-10 21:05 --------- d-----w d:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
      2008-12-09 22:32 --------- d-----w d:\program files\Fichiers communs\Adobe
      2008-12-09 22:26 --------- d-----w d:\program files\Java
      2008-12-05 08:46 --------- d-----w d:\program files\OrangeBs
      2008-10-24 11:21 455,296 ----a-w d:\windows\system32\drivers\mrxsmb.sys
      2008-10-16 20:18 826,368 ----a-w d:\windows\system32\wininet.dll
      2008-10-16 13:13 202,776 ----a-w d:\windows\system32\wuweb.dll
      2008-10-16 13:13 1,809,944 ----a-w d:\windows\system32\wuaueng.dll
      2008-10-16 13:12 561,688 ----a-w d:\windows\system32\wuapi.dll
      2008-10-16 13:12 323,608 ----a-w d:\windows\system32\wucltui.dll
      2008-10-16 13:09 92,696 ----a-w d:\windows\system32\cdm.dll
      2008-10-16 13:09 51,224 ----a-w d:\windows\system32\wuauclt.exe
      2008-10-16 13:09 43,544 ----a-w d:\windows\system32\wups2.dll
      2008-10-16 13:08 34,328 ----a-w d:\windows\system32\wups.dll
      2008-10-16 13:06 268,648 ----a-w d:\windows\system32\mucltui.dll
      2008-10-16 13:06 208,744 ----a-w d:\windows\system32\muweb.dll
      2008-10-12 16:55 --------- d-----w d:\documents and settings\BUFFIERE DE LAIR\Application Data\DivX
      2008-10-03 10:03 247,326 ----a-w d:\windows\system32\strmdll.dll
      2008-09-30 15:43 1,286,152 ----a-w d:\windows\system32\msxml4.dll
      2008-09-15 15:26 1,846,528 ----a-w d:\windows\system32\win32k.sys
      2008-09-10 08:41 3,000 -c--a-w d:\documents and settings\BUFFIERE DE LAIR\Application Data\wklnhst.dat
      2008-02-24 06:59 43 -c--a-w d:\program files\chdata.xml
      2008-02-24 06:59 2,596 -c--a-w d:\program files\channels.xml
      2006-09-23 08:02 23,488,648 -c--a-w d:\program files\adberdr708_fr_fr.exe
      2006-09-22 16:56 534,112 -c--a-w d:\program files\psa30se_ytb612_a708_dlm_fr_fr.exe
      2006-05-23 18:50 4,608 -csha-w d:\program files\Thumbs.db
      2006-02-25 22:15 6,584 -c--a-w d:\program files\52.chl
      2006-02-25 22:15 6,584 -c--a-w d:\program files\128.chl
      2006-02-25 22:15 3,032 -c--a-w d:\program files\33.chl
      2006-02-25 22:15 2,474 -c--a-w d:\program files\155.chl
      2006-02-25 22:15 2,456 -c--a-w d:\program files\72.chl
      2006-02-25 22:15 11,936 -c--a-w d:\program files\pref.gd
      2005-12-18 20:42 35,506 -c-ha-w d:\program files\realplay.GID
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "H/PC Connection Agent"="d:\program files\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-24 401491]
      "Orange Desktop Search"="d:\program files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe" [2007-01-17 4938016]
      "MSMSGS"="d:\program files\Messenger\msmsgs.exe" [2008-04-13 1695232]
      "swg"="d:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-22 68856]
      "ctfmon.exe"="d:\windows\system32\ctfmon.exe" [2008-04-13 15360]
      "PMCRemote"="d:\program files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe" [2007-07-04 253000]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ATIPTA"="d:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-01-27 335872]
      "OBSWATCH"="d:\progra~1\OrangeBs\Watch.exe" [2005-09-07 20480]
      "QuickTime Task"="d:\windows\system32\qttask.exe" [2006-02-27 98304]
      "SunJavaUpdateSched"="d:\program files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
      "Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
      "ZoneAlarm Client"="d:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
      "avgnt"="d:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
      "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 d:\windows\system32\Ati2mdxx.exe]
      "SoundMan"="SOUNDMAN.EXE" [2003-11-13 d:\windows\soundman.exe]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
      "DWQueuedReporting"="d:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2005-04-25 36040]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "msacm.dvacm"= dvacm.acm
      "MSACM.CEGSM"= mobilev.acm

      [HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
      path=d:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
      backup=d:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

      [HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
      path=d:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
      backup=d:\windows\pss\Microsoft Office.lnkCommon Startup

      [HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NkbMonitor.exe.lnk]
      path=d:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\NkbMonitor.exe.lnk
      backup=d:\windows\pss\NkbMonitor.exe.lnkCommon Startup

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
      -ra------ 2003-06-03 02:46 147456 d:\program files\Apoint2K\Apoint.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
      --a------ 2003-03-14 16:41 143360 d:\program files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
      -ra------ 2001-07-09 11:50 155648 d:\windows\system32\NeroCheck.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
      --a------ 2001-06-25 16:02 26624 d:\progra~1\ScanSoft\PAPERP~1\Pptd40nt.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
      --a------ 2006-02-27 20:26 98304 d:\windows\system32\qttask.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
      --a------ 2005-10-31 17:43 26112 d:\program files\realplay.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
      --a------ 2008-02-22 08:28 68856 d:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CHotkey]
      --a------ 2001-12-26 14:12 472576 d:\windows\mHotkey.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)
      "DisableNotifications"= 1

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "d:\\Program Files\\realplay.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "d:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"=
      "d:\\WINDOWS\\system32\\dpvsetup.exe"=
      "d:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
      "d:\\Program Files\\MSN Messenger\\livecall.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "1509:UDP"= 1509:UDP:Windows Media Format SDK (iexplore.exe)
      "1508:UDP"= 1508:UDP:Windows Media Format SDK (iexplore.exe)
      "1512:UDP"= 1512:UDP:Windows Media Format SDK (iexplore.exe)

      R3 PRISM_A00;PRISM 802.11g Driver;d:\windows\system32\DRIVERS\PRISMA00.sys [2005-11-16 380736]
      R3 WB528MS;Winbond PCI Memory Stick PRO Storage (MSPRO) Device Driver;d:\windows\system32\Drivers\WB528MS.SYS [2005-11-16 38400]
      R3 WB528SD;Winbond PCI Secure Digital Storage (SD/MMC) Device Driver;d:\windows\system32\Drivers\WB528SD.SYS [2005-11-16 35712]
      S3 GTF32BUS;GT F32 BUS;d:\windows\system32\DRIVERS\gtf32bus.sys [2007-09-15 32640]
      S3 GTPTSER;GT PT SER;d:\windows\system32\DRIVERS\gtptser.sys [2007-09-15 8064]
      S3 GTSCSER;GT SC SER;d:\windows\system32\DRIVERS\gtscser.sys [2007-09-15 19328]
      S3 Ltn_stk7070P;PCTV based TV tuner device;d:\windows\system32\DRIVERS\Ltn_stk7070P.sys [2008-09-15 466048]
      S3 Ltn_stkrc;PCTV Infrared Receiver;d:\windows\system32\DRIVERS\Ltn_stkrc.sys [2008-09-15 13440]

      *Newly Created Service* - PROCEXP90
      .
      Contenu du dossier 'Tâches planifiées'
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      HKCU-Run-Error Safe - d:\program files\Error Safe Free\ers.exe
      HKCU-Run-Orange Link - d:\progra~1\ORANGE~1\APPLIC~1\CommunicationAgent\CommunicationAgent.exe
      HKCU-Run-Skype - d:\program files\Skype\Phone\Skype.exe
      HKLM-Run-saymsoq - d:\windows\system32\saymsoq.exe
      MSConfigStartUp-Adobe Photo Downloader - d:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
      MSConfigStartUp-miyefzddbr - d:\windows\system32\miyefzddbr.exe
      MSConfigStartUp-tf1 - d:\program files\Player Video StarAcademy Orange\starac06.exe
      MSConfigStartUp-[webwiz] - d:\progra~1\_WEBWI~1\WEBWIZ~1.EXE


      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://www.orange.fr
      IE: &Windows Live Search - d:\program files\Windows Live Toolbar\msntb.dll/search.htm
      WinCE Filter: image/bmp - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - d:\program files\Microsoft ActiveSync\CENetFlt.dll
      WinCE Filter: image/gif - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - d:\program files\Microsoft ActiveSync\CENetFlt.dll
      WinCE Filter: image/jpeg - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - d:\program files\Microsoft ActiveSync\CENetFlt.dll
      WinCE Filter: image/xbm - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - d:\program files\Microsoft ActiveSync\CENetFlt.dll
      WinCE Filter: text/asp - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - d:\program files\Microsoft ActiveSync\CENetFlt.dll
      WinCE Filter: text/html - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - d:\program files\Microsoft ActiveSync\CENetFlt.dll
      FF - ProfilePath - d:\documents and settings\BUFFIERE DE LAIR\Application Data\Mozilla\Firefox\Profiles\[u]0/uzv271v6.default\
      FF - plugin: d:\program files\Yahoo!\Common\npyaxmpb.dll
      FF - plugin: d:\windows\system32\Plugins\npqtplugin.dll
      FF - plugin: d:\windows\system32\Plugins\npqtplugin2.dll
      FF - plugin: d:\windows\system32\Plugins\npqtplugin3.dll
      FF - plugin: d:\windows\system32\Plugins\npqtplugin4.dll
      FF - plugin: d:\windows\system32\Plugins\npqtplugin5.dll
      FF - plugin: d:\windows\system32\Plugins\npqtplugin6.dll
      FF - plugin: d:\windows\system32\Plugins\npqtplugin7.dll
      .

      **************************************************************************

      catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-12-12 07:18:01
      Windows 5.1.2600 Service Pack 3 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      Heure de fin: 2008-12-12 7:20:00
      ComboFix-quarantined-files.txt 2008-12-12 06:19:45

      Avant-CF: 3ÿ020ÿ967ÿ936 octets libres
      AprÞs-CF: 3,110,993,920 octets libres

      WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

      246 --- E O F --- 2008-12-11 22:36:50
      A la suite que doit-on faire STP .?
      0
  10. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    /!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour Santiago, il n'est pas transposable sur un autre ordinateur !

    Toujours avec toutes les protections désactivées, fais ceci :

    Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------
    File::
    d:\program files\adberdr708_fr_fr.exe
    d:\program files\psa30se_ytb612_a708_dlm_fr_fr.exe
    d:\program files\52.chl
    d:\program files\128.chl
    d:\program files\33.chl
    d:\program files\155.chl
    d:\program files\72.chl
    d:\program files\pref.gd

    Folder::
    D:\Program Files\Error Safe Free

    Registry::
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "Error Safe"=-

    ------------------------------------------------------------------

    - Enregistre ce fichier sur ton bureau (et pas ailleurs !) sous le nom CFScript.txt
    - Quitte le Bloc Notes

    · Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif

    * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
    Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    Puis redémarre ton ordinateur et poste un nouveau rapport hijackthis stp

    0
    1. Santiago
       
      Bonsoir Anthony,

      J'ai effectué la manip. Seul petit souci : j'avais oublié de décocher le fonctionnement de "tea timer" (spybot) et je me suis rattrappé en le déclanchant pendant la pause de C-fix lorsqu'on est sur la fenêtre où il faut accepter les conditions. Du coup, au lancement de cFix lorsque spybot m'a demandé si j'acceptais l'accès à la base de registre j'ai répondu NON en appliquant le principe : "dans le doute abstiens-toi !"
      Je ne sais pas si c'est important mais mieux vaut le dire !!
      Je te poste le rapport de C-Fix ci après :

      ComboFix 08-12-11.04 - BUFFIERE DE LAIR 2008-12-12 18:58:16.2 - NTFSx86
      Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.208 [GMT 1:00]
      Lancé depuis: d:\documents and settings\BUFFIERE DE LAIR\Bureau\C-Fix.exe
      Commutateurs utilisés :: d:\documents and settings\BUFFIERE DE LAIR\Bureau\CFScript.txt
      * Un nouveau point de restauration a été créé

      FILE ::
      d:\program files\128.chl
      d:\program files\155.chl
      d:\program files\33.chl
      d:\program files\52.chl
      d:\program files\72.chl
      d:\program files\adberdr708_fr_fr.exe
      d:\program files\pref.gd
      d:\program files\psa30se_ytb612_a708_dlm_fr_fr.exe
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      d:\program files\128.chl
      d:\program files\155.chl
      d:\program files\33.chl
      d:\program files\52.chl
      d:\program files\72.chl
      d:\program files\adberdr708_fr_fr.exe
      d:\program files\pref.gd
      d:\program files\psa30se_ytb612_a708_dlm_fr_fr.exe

      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-12 au 2008-12-12 ))))))))))))))))))))))))))))))))))))
      .

      2008-12-10 22:29 . 2008-12-10 22:38 <REP> d-------- d:\program files\SpywareBlaster
      2008-12-10 22:29 . 2008-12-10 23:11 <REP> d-a------ d:\documents and settings\All Users\Application Data\TEMP
      2008-12-10 22:18 . 2008-12-10 22:18 <REP> d-------- d:\documents and settings\BUFFIERE DE LAIR\Application Data\Malwarebytes
      2008-12-10 22:17 . 2008-12-10 22:18 <REP> d-------- d:\program files\Malwarebytes' Anti-Malware
      2008-12-10 22:17 . 2008-12-10 22:17 <REP> d-------- d:\documents and settings\All Users\Application Data\Malwarebytes
      2008-12-10 22:17 . 2008-12-03 19:52 38,496 --a------ d:\windows\system32\drivers\mbamswissarmy.sys
      2008-12-10 22:17 . 2008-12-03 19:52 15,504 --a------ d:\windows\system32\drivers\mbam.sys
      2008-12-10 22:04 . 2008-12-10 22:04 <REP> d-------- d:\program files\Spybot - Search & Destroy
      2008-12-10 21:41 . 2008-12-10 21:41 <REP> d-------- d:\program files\Avira
      2008-12-10 21:41 . 2008-12-10 21:41 <REP> d-------- d:\documents and settings\All Users\Application Data\Avira
      2008-12-10 19:46 . 2008-12-12 19:03 413,728 --ahs---- d:\windows\system32\drivers\fidbox.dat
      2008-12-10 19:46 . 2008-12-12 07:29 6,296 --ahs---- d:\windows\system32\drivers\fidbox.idx
      2008-12-10 19:37 . 2008-12-10 19:37 <REP> d-------- d:\documents and settings\All Users\Application Data\MailFrontier
      2008-12-10 19:37 . 2008-12-10 19:45 4,212 ---h----- d:\windows\system32\zllictbl.dat
      2008-12-10 19:36 . 2008-12-10 19:36 <REP> d-------- d:\program files\Zone Labs
      2008-12-10 19:34 . 2008-12-12 18:49 <REP> d-------- d:\windows\Internet Logs
      2008-12-10 07:42 . 2008-12-10 07:42 <REP> d-------- d:\windows\system32\fr
      2008-12-10 07:42 . 2008-12-10 07:42 <REP> d-------- d:\windows\system32\bits
      2008-12-10 07:42 . 2008-12-10 07:42 <REP> d-------- d:\windows\l2schemas
      2008-12-10 07:42 . 2008-04-13 19:33 712,704 --------- d:\windows\system32\windowscodecs.dll
      2008-12-10 07:42 . 2008-04-13 19:33 346,112 --------- d:\windows\system32\windowscodecsext.dll
      2008-12-10 07:42 . 2008-04-13 19:33 276,992 --------- d:\windows\system32\wmphoto.dll
      2008-12-10 07:42 . 2008-04-13 19:33 69,120 --------- d:\windows\system32\wlanapi.dll
      2008-12-10 07:42 . 2008-04-13 19:33 53,248 --------- d:\windows\system32\tsgqec.dll
      2008-12-10 07:42 . 2008-04-13 19:33 50,688 --------- d:\windows\system32\tspkg.dll
      2008-12-10 07:38 . 2008-12-10 07:43 <REP> d-------- d:\windows\ServicePackFiles
      2008-12-10 07:29 . 2006-12-28 12:01 19,569 --a------ d:\windows\[u]0/u02853_.tmp
      2008-12-10 07:23 . 2008-12-10 07:23 <REP> d-------- d:\windows\EHome
      2008-12-09 23:46 . 2008-12-09 23:46 <REP> d-------- d:\program files\Yahoo!
      2008-12-09 23:45 . 2008-12-09 23:46 <REP> d-------- d:\program files\CCleaner
      2008-12-09 23:41 . 1998-06-24 01:00 137,000 --a------ d:\windows\system32\MSMAPI32.OCX
      2008-12-09 23:40 . 2008-12-09 23:41 <REP> d-------- d:\program files\PDFCreator
      2008-12-09 23:40 . 1998-07-13 02:08 141,312 --a------ d:\windows\system32\MSCMCFR.DLL
      2008-12-09 23:40 . 2001-10-28 17:42 116,224 --a------ d:\windows\system32\pdfcmnnt.dll
      2008-12-09 23:40 . 1998-07-13 02:08 59,904 --a------ d:\windows\system32\MSCC2FR.DLL
      2008-12-09 23:40 . 1998-07-06 01:00 23,552 --a------ d:\windows\system32\MSMPIDE.DLL
      2008-12-08 20:08 . 2008-10-24 12:21 455,296 -----c--- d:\windows\system32\dllcache\mrxsmb.sys
      2008-11-15 23:33 . 2008-11-15 23:33 268 --ah----- D:\sqmdata11.sqm
      2008-11-15 23:33 . 2008-11-15 23:33 244 --ah----- D:\sqmnoopt11.sqm
      2008-11-15 21:40 . 2008-11-15 21:40 268 --ah----- D:\sqmdata10.sqm
      2008-11-15 21:40 . 2008-11-15 21:40 244 --ah----- D:\sqmnoopt10.sqm

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-12-10 21:05 --------- d-----w d:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
      2008-12-09 22:32 --------- d-----w d:\program files\Fichiers communs\Adobe
      2008-12-09 22:26 --------- d-----w d:\program files\Java
      2008-12-05 08:46 --------- d-----w d:\program files\OrangeBs
      2008-10-24 11:21 455,296 ----a-w d:\windows\system32\drivers\mrxsmb.sys
      2008-10-16 20:18 826,368 ----a-w d:\windows\system32\wininet.dll
      2008-10-16 13:13 202,776 ----a-w d:\windows\system32\wuweb.dll
      2008-10-16 13:13 1,809,944 ----a-w d:\windows\system32\wuaueng.dll
      2008-10-16 13:12 561,688 ----a-w d:\windows\system32\wuapi.dll
      2008-10-16 13:12 323,608 ----a-w d:\windows\system32\wucltui.dll
      2008-10-16 13:09 92,696 ----a-w d:\windows\system32\cdm.dll
      2008-10-16 13:09 51,224 ----a-w d:\windows\system32\wuauclt.exe
      2008-10-16 13:09 43,544 ----a-w d:\windows\system32\wups2.dll
      2008-10-16 13:08 34,328 ----a-w d:\windows\system32\wups.dll
      2008-10-16 13:06 268,648 ----a-w d:\windows\system32\mucltui.dll
      2008-10-16 13:06 208,744 ----a-w d:\windows\system32\muweb.dll
      2008-10-12 16:55 --------- d-----w d:\documents and settings\BUFFIERE DE LAIR\Application Data\DivX
      2008-10-03 10:03 247,326 ----a-w d:\windows\system32\strmdll.dll
      2008-09-30 15:43 1,286,152 ----a-w d:\windows\system32\msxml4.dll
      2008-09-15 15:26 1,846,528 ----a-w d:\windows\system32\win32k.sys
      2008-09-10 08:41 3,000 -c--a-w d:\documents and settings\BUFFIERE DE LAIR\Application Data\wklnhst.dat
      2008-02-24 06:59 43 -c--a-w d:\program files\chdata.xml
      2008-02-24 06:59 2,596 -c--a-w d:\program files\channels.xml
      2006-05-23 18:50 4,608 -csha-w d:\program files\Thumbs.db
      2005-12-18 20:42 35,506 -c-ha-w d:\program files\realplay.GID
      .

      ((((((((((((((((((((((((((((( snapshot@2008-12-12_ 7.18.46,65 )))))))))))))))))))))))))))))))))))))))))
      .
      - 2008-12-12 05:54:15 58,930 ----a-w d:\windows\system32\perfc009.dat
      + 2008-12-12 17:48:12 58,930 ----a-w d:\windows\system32\perfc009.dat
      - 2008-12-12 05:54:17 71,686 ----a-w d:\windows\system32\perfc00C.dat
      + 2008-12-12 17:48:12 71,686 ----a-w d:\windows\system32\perfc00C.dat
      - 2008-12-12 05:54:16 392,630 ----a-w d:\windows\system32\perfh009.dat
      + 2008-12-12 17:48:12 392,630 ----a-w d:\windows\system32\perfh009.dat
      - 2008-12-12 05:54:17 458,886 ----a-w d:\windows\system32\perfh00C.dat
      + 2008-12-12 17:48:12 458,886 ----a-w d:\windows\system32\perfh00C.dat
      .
      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "H/PC Connection Agent"="d:\program files\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-24 401491]
      "Orange Desktop Search"="d:\program files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe" [2007-01-17 4938016]
      "MSMSGS"="d:\program files\Messenger\msmsgs.exe" [2008-04-13 1695232]
      "swg"="d:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-22 68856]
      "ctfmon.exe"="d:\windows\system32\ctfmon.exe" [2008-04-13 15360]
      "PMCRemote"="d:\program files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe" [2007-07-04 253000]
      "Orange Link"="d:\progra~1\ORANGE~1\APPLIC~1\CommunicationAgent\CommunicationAgent.exe" [BU]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ATIPTA"="d:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-01-27 335872]
      "OBSWATCH"="d:\progra~1\OrangeBs\Watch.exe" [2005-09-07 20480]
      "QuickTime Task"="d:\windows\system32\qttask.exe" [2006-02-27 98304]
      "SunJavaUpdateSched"="d:\program files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
      "Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
      "ZoneAlarm Client"="d:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
      "avgnt"="d:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
      "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 d:\windows\system32\Ati2mdxx.exe]
      "SoundMan"="SOUNDMAN.EXE" [2003-11-13 d:\windows\soundman.exe]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
      "DWQueuedReporting"="d:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2005-04-25 36040]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "msacm.dvacm"= dvacm.acm
      "MSACM.CEGSM"= mobilev.acm

      [HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
      path=d:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
      backup=d:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

      [HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
      path=d:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
      backup=d:\windows\pss\Microsoft Office.lnkCommon Startup

      [HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NkbMonitor.exe.lnk]
      path=d:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\NkbMonitor.exe.lnk
      backup=d:\windows\pss\NkbMonitor.exe.lnkCommon Startup

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
      -ra------ 2003-06-03 02:46 147456 d:\program files\Apoint2K\Apoint.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
      --a------ 2003-03-14 16:41 143360 d:\program files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
      -ra------ 2001-07-09 11:50 155648 d:\windows\system32\NeroCheck.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
      --a------ 2001-06-25 16:02 26624 d:\progra~1\ScanSoft\PAPERP~1\Pptd40nt.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
      --a------ 2006-02-27 20:26 98304 d:\windows\system32\qttask.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
      --a------ 2005-10-31 17:43 26112 d:\program files\realplay.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
      --a------ 2008-02-22 08:28 68856 d:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CHotkey]
      --a------ 2001-12-26 14:12 472576 d:\windows\mHotkey.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)
      "DisableNotifications"= 1

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "d:\\Program Files\\realplay.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "d:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"=
      "d:\\WINDOWS\\system32\\dpvsetup.exe"=
      "d:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
      "d:\\Program Files\\MSN Messenger\\livecall.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "1509:UDP"= 1509:UDP:Windows Media Format SDK (iexplore.exe)
      "1508:UDP"= 1508:UDP:Windows Media Format SDK (iexplore.exe)
      "1512:UDP"= 1512:UDP:Windows Media Format SDK (iexplore.exe)

      R3 PRISM_A00;PRISM 802.11g Driver;d:\windows\system32\DRIVERS\PRISMA00.sys [2005-11-16 380736]
      R3 WB528MS;Winbond PCI Memory Stick PRO Storage (MSPRO) Device Driver;d:\windows\system32\Drivers\WB528MS.SYS [2005-11-16 38400]
      R3 WB528SD;Winbond PCI Secure Digital Storage (SD/MMC) Device Driver;d:\windows\system32\Drivers\WB528SD.SYS [2005-11-16 35712]
      S3 GTF32BUS;GT F32 BUS;d:\windows\system32\DRIVERS\gtf32bus.sys [2007-09-15 32640]
      S3 GTPTSER;GT PT SER;d:\windows\system32\DRIVERS\gtptser.sys [2007-09-15 8064]
      S3 GTSCSER;GT SC SER;d:\windows\system32\DRIVERS\gtscser.sys [2007-09-15 19328]
      S3 Ltn_stk7070P;PCTV based TV tuner device;d:\windows\system32\DRIVERS\Ltn_stk7070P.sys [2008-09-15 466048]
      S3 Ltn_stkrc;PCTV Infrared Receiver;d:\windows\system32\DRIVERS\Ltn_stkrc.sys [2008-09-15 13440]
      .
      Contenu du dossier 'Tâches planifiées'

      2008-12-11 d:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
      - d:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
      .
      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://www.orange.fr
      IE: &Windows Live Search - d:\program files\Windows Live Toolbar\msntb.dll/search.htm
      WinCE Filter: image/bmp - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - d:\program files\Microsoft ActiveSync\CENetFlt.dll
      WinCE Filter: image/gif - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - d:\program files\Microsoft ActiveSync\CENetFlt.dll
      WinCE Filter: image/jpeg - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - d:\program files\Microsoft ActiveSync\CENetFlt.dll
      WinCE Filter: image/xbm - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - d:\program files\Microsoft ActiveSync\CENetFlt.dll
      WinCE Filter: text/asp - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - d:\program files\Microsoft ActiveSync\CENetFlt.dll
      WinCE Filter: text/html - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - d:\program files\Microsoft ActiveSync\CENetFlt.dll
      FF - ProfilePath - d:\documents and settings\BUFFIERE DE LAIR\Application Data\Mozilla\Firefox\Profiles\[u]0/uzv271v6.default\
      FF - plugin: d:\program files\Yahoo!\Common\npyaxmpb.dll
      FF - plugin: d:\windows\system32\Plugins\npqtplugin.dll
      FF - plugin: d:\windows\system32\Plugins\npqtplugin2.dll
      FF - plugin: d:\windows\system32\Plugins\npqtplugin3.dll
      FF - plugin: d:\windows\system32\Plugins\npqtplugin4.dll
      FF - plugin: d:\windows\system32\Plugins\npqtplugin5.dll
      FF - plugin: d:\windows\system32\Plugins\npqtplugin6.dll
      FF - plugin: d:\windows\system32\Plugins\npqtplugin7.dll
      .

      **************************************************************************

      catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-12-12 19:02:47
      Windows 5.1.2600 Service Pack 3 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      Heure de fin: 2008-12-12 19:04:49
      ComboFix-quarantined-files.txt 2008-12-12 18:04:36
      ComboFix2.txt 2008-12-12 06:20:02

      Avant-CF: 3 478 093 824 octets libres
      Après-CF: 3,435,851,776 octets libres

      230 --- E O F --- 2008-12-11 22:36:50


      et le rapport de Hijackthis ensuite :
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 19:30:23, on 12/12/2008
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16762)
      Boot mode: Normal

      Running processes:
      D:\WINDOWS\System32\smss.exe
      D:\WINDOWS\system32\winlogon.exe
      D:\WINDOWS\system32\services.exe
      D:\WINDOWS\system32\lsass.exe
      D:\WINDOWS\system32\Ati2evxx.exe
      D:\WINDOWS\system32\svchost.exe
      D:\WINDOWS\System32\svchost.exe
      D:\WINDOWS\system32\svchost.exe
      D:\WINDOWS\system32\ZoneLabs\vsmon.exe
      D:\WINDOWS\system32\brsvc01a.exe
      D:\WINDOWS\system32\brss01a.exe
      D:\WINDOWS\system32\spoolsv.exe
      D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      D:\WINDOWS\System32\FTRTSVC.exe
      D:\WINDOWS\system32\slserv.exe
      D:\WINDOWS\system32\svchost.exe
      D:\WINDOWS\Explorer.EXE
      D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      D:\WINDOWS\SOUNDMAN.EXE
      D:\windows\system32\qttask.exe
      D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
      D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
      D:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe
      D:\Program Files\Messenger\msmsgs.exe
      D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      D:\WINDOWS\system32\ctfmon.exe
      D:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
      D:\WINDOWS\system32\wuauclt.exe
      D:\WINDOWS\system32\slrundll.exe
      D:\Program Files\Mozilla Firefox\firefox.exe
      D:\WINDOWS\system32\wuauclt.exe
      D:\Documents and Settings\BUFFIERE DE LAIR\Bureau\HiJackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll (file missing)
      R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
      O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\Windows Live Toolbar\msntb.dll
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\Windows Live Toolbar\msntb.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll
      O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
      O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [OBSWATCH] D:\PROGRA~1\OrangeBs\Watch.exe
      O4 - HKLM\..\Run: [QuickTime Task] "D:\windows\system32\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
      O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
      O4 - HKCU\..\Run: [Orange Desktop Search] "D:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe" /tray
      O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [PMCRemote] D:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
      O4 - HKCU\..\Run: [Orange Link] "D:\PROGRA~1\ORANGE~1\APPLIC~1\CommunicationAgent\CommunicationAgent.exe" -ICom_StartNoSplashScreen
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "D:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O8 - Extra context menu item: &Windows Live Search - res://D:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\INetRepl.dll
      O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\INetRepl.dll
      O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\INetRepl.dll
      O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINDOWS\system32\Shdocvw.dll
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Program Files\Yahoo!\Common\yinsthelper.dll
      O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - D:\WINDOWS\system32\brsvc01a.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe
      O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: SmartLinkService (SLService) - - D:\WINDOWS\SYSTEM32\slserv.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe
      0
  11. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Très bien :)

    Apparemment il n'y a plus rien, mais pour vérifier, je te propose de faire un scan final avec Antivir :

    - Double clique sur l'icone d'Antivir près de l'horloge --> configuration --> coche "Mode expert" --> coche "Rech rootkits au dem de la recherche" --> clique sur OK
    - Mets à jour Antivir manuellement : fais un clic droit sur l'icone d'Antivir près de l'horloge et clique sur "Démarrer la mise à jour"

    - Une fois la mise à jour réussie, redémarre en mode sans échec :
    redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec". Choisis ta session habituelle

    - Menu démarrer --> programmes --> Antivir PersonalEdition Classic --> clique sur "Démarrer Avira Antivir Personal" --> clique sur "Contrôler syst maintenant" pour lancer le scan.

    - A la fin du scan, clique sur "Rapport" et enregistre le sur ton Bureau --> redémarre en mode normal et poste le rapport ici.

    0
    1. Santiago
       
      Et voici le rapport :


      Avira AntiVir Personal
      Date de création du fichier de rapport : samedi 13 décembre 2008 23:13

      La recherche porte sur 1085187 souches de virus.

      Détenteur de la licence :Avira AntiVir PersonalEdition Classic
      Numéro de série : 0000149996-ADJIE-0001
      Plateforme : Windows XP
      Version de Windows :(Service Pack 3) [5.1.2600]
      Mode Boot : Mode sans échec
      Identifiant : BUFFIERE DE LAIR
      Nom de l'ordinateur :CHARLOTTE

      Informations de version :
      BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
      AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
      AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
      LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
      LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
      ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
      ANTIVIR1.VDF : 7.1.0.197 1170432 Bytes 07/12/2008 20:44:41
      ANTIVIR2.VDF : 7.1.0.198 2048 Bytes 07/12/2008 20:44:41
      ANTIVIR3.VDF : 7.1.0.229 137728 Bytes 12/12/2008 18:40:43
      Version du moteur: 8.2.0.45
      AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56
      AESCRIPT.DLL : 8.1.1.19 336252 Bytes 11/12/2008 20:44:18
      AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41
      AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
      AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 09:41:39
      AEOFFICE.DLL : 8.1.0.33 196987 Bytes 11/12/2008 20:44:17
      AEHEUR.DLL : 8.1.0.75 1524087 Bytes 11/12/2008 20:44:16
      AEHELP.DLL : 8.1.2.0 119159 Bytes 10/12/2008 20:44:45
      AEGEN.DLL : 8.1.1.8 323956 Bytes 11/12/2008 20:44:08
      AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
      AECORE.DLL : 8.1.5.2 172405 Bytes 10/12/2008 20:44:44
      AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
      AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
      AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
      AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
      AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
      AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
      AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
      SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
      SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
      NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
      RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
      RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

      Configuration pour la recherche actuelle :
      Nom de la tâche..................: Contrôle intégral du système
      Fichier de configuration.........: d:\program files\avira\antivir personaledition classic\sysscan.avp
      Documentation....................: bas
      Action principale................: interactif
      Action secondaire................: ignorer
      Recherche sur les secteurs d'amorçage maître: marche
      Recherche sur les secteurs d'amorçage: marche
      Secteurs d'amorçage..............: C:, D:, E:,
      Recherche dans les programmes actifs: marche
      Recherche en cours sur l'enregistrement: marche
      Recherche de Rootkits............: marche
      Fichier mode de recherche........: Sélection de fichiers intelligente
      Recherche sur les archives.......: marche
      Limiter la profondeur de récursivité: 20
      Archive Smart Extensions.........: marche
      Heuristique de macrovirus........: marche
      Heuristique fichier..............: moyen

      Début de la recherche : samedi 13 décembre 2008 23:13

      La recherche d'objets cachés commence.
      Impossible d'initialiser le pilote.

      La recherche sur les processus démarrés commence :
      Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'notepad.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
      '12' processus ont été contrôlés avec '12' modules

      La recherche sur les secteurs d'amorçage maître commence :
      Secteur d'amorçage maître HD0
      [INFO] Aucun virus trouvé !

      La recherche sur les secteurs d'amorçage commence :
      Secteur d'amorçage 'C:\'
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage 'D:\'
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage 'E:\'
      [INFO] Aucun virus trouvé !

      La recherche sur les renvois aux fichiers exécutables (registre) commence.
      Le registre a été contrôlé ( '58' fichiers).


      La recherche sur les fichiers sélectionnés commence :

      Recherche débutant dans 'C:\' <BOOT>
      Recherche débutant dans 'D:\' <BACKUP>
      D:\pagefile.sys
      [AVERTISSEMENT] Impossible d'ouvrir le fichier !
      D:\TOOLS\eTrust Antivirus\AlertPackage.exe
      [0] Type d'archive: RSRC
      --> Object
      [1] Type d'archive: CAB (Microsoft)
      --> alert.exe
      [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
      D:\TOOLS\eTrust Antivirus\webpkg.exe
      [0] Type d'archive: RSRC
      --> Object
      [1] Type d'archive: CAB (Microsoft)
      --> inoweb.exe
      [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
      Recherche débutant dans 'E:\' <RECOVER>


      Fin de la recherche : dimanche 14 décembre 2008 00:52
      Temps nécessaire: 1:38:16 Heure(s)

      La recherche a été effectuée intégralement

      7253 Les répertoires ont été contrôlés
      242054 Des fichiers ont été contrôlés
      0 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      0 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
      242053 Fichiers non infectés
      2782 Les archives ont été contrôlées
      3 Avertissements
      0 Consignes

      Est ce qu'il ya un Pb ?
      0
      1. Daywish > Santiago
         
        Bonsoir à tous,

        Moi aussi victime de ce RON ads by... je voulais dire que, si ça peut aider quelqu'un et si cela se révèle efficace aussi chez vous, j'ai réussi à en trouver plusieurs dans "ajout suppression de programmes" dans le panneau de configuration. et j'ai réussi à les supprimer...

        Jusqu'à maintenant, ça marche !

        En espérant avoir été utile !
        Daywish
        0
      2. magalli > Daywish
         
        Bonjour à tous, moi j'ai des souci avec RON.
        A l'aide de cclearner, j'ai trouver 2 programmes (RON Too1 cpmsky) et (RON Too1 Milehighads).
        Le problème s'est que je ne sais pas quoi faire, si je les desinstale ou je fait quoi?
        Si quelqu'un peut m'aider, merci d'avance.
        0
      3. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790 > magalli
         
        Bonjour,


        Merci d'ouvrir ton propre sujet, tu n'obtiendras pas de réponse ici, dans le sujet de quelqu'un d'autre.

        0
  12. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut,

    desinstalle D:\TOOLS\eTrust Antivirus tu as antivir maintenant :)

    post un dernier rapport hijack this
    0
    1. Santiago
       
      Salut à tous les deux ??


      Voilà le rapport de HijackThis :
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 07:02:43, on 15/12/2008
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16762)
      Boot mode: Normal

      Running processes:
      D:\WINDOWS\System32\smss.exe
      D:\WINDOWS\system32\winlogon.exe
      D:\WINDOWS\system32\services.exe
      D:\WINDOWS\system32\lsass.exe
      D:\WINDOWS\system32\Ati2evxx.exe
      D:\WINDOWS\system32\svchost.exe
      D:\WINDOWS\System32\svchost.exe
      D:\WINDOWS\system32\svchost.exe
      D:\WINDOWS\system32\ZoneLabs\vsmon.exe
      D:\WINDOWS\Explorer.EXE
      D:\WINDOWS\system32\brsvc01a.exe
      D:\WINDOWS\system32\brss01a.exe
      D:\WINDOWS\system32\spoolsv.exe
      D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      D:\WINDOWS\System32\FTRTSVC.exe
      D:\Program Files\Java\jre6\bin\jqs.exe
      D:\WINDOWS\system32\slserv.exe
      D:\WINDOWS\system32\svchost.exe
      D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      D:\WINDOWS\SOUNDMAN.EXE
      D:\windows\system32\qttask.exe
      D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      D:\Program Files\Java\jre6\bin\jusched.exe
      D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
      D:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe
      D:\Program Files\Messenger\msmsgs.exe
      D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      D:\WINDOWS\system32\ctfmon.exe
      D:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
      D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      D:\WINDOWS\system32\slrundll.exe
      D:\WINDOWS\system32\wbem\wmiapsrv.exe
      D:\Program Files\Mozilla Firefox\firefox.exe
      D:\WINDOWS\system32\wuauclt.exe
      D:\Documents and Settings\BUFFIERE DE LAIR\Bureau\HiJackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll (file missing)
      R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre6\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
      O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\Windows Live Toolbar\msntb.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\Windows Live Toolbar\msntb.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll
      O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
      O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [QuickTime Task] "D:\windows\system32\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
      O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre6\bin\jusched.exe"
      O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
      O4 - HKCU\..\Run: [Orange Desktop Search] "D:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe" /tray
      O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [PMCRemote] D:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
      O4 - HKCU\..\Run: [Orange Link] "D:\PROGRA~1\ORANGE~1\APPLIC~1\CommunicationAgent\CommunicationAgent.exe" -ICom_StartNoSplashScreen
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "D:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O8 - Extra context menu item: &Windows Live Search - res://D:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
      O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\INetRepl.dll
      O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\INetRepl.dll
      O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\INetRepl.dll
      O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINDOWS\system32\Shdocvw.dll
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) -
      O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - D:\WINDOWS\system32\brsvc01a.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe
      O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: SmartLinkService (SLService) - - D:\WINDOWS\SYSTEM32\slserv.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe
      0
  13. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut,

    a l´aide de hijack this coche et fix :

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll (file missing)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [QuickTime Task] "D:\windows\system32\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe

    puis

    Démarrer > executer > ' services.msc ' ,

    - Clic droit sur le service cité -

    France Telecom Routing Table Service (FTRTSVC)

    - propriétés
    - et dans "type de démarrage" et mets le sur « désactivé ».
    - Ensuite si le "Status du service" est sur "Démarré" faire : « arrêté »

    Tutorial : https://www.zebulon.fr/dossiers/windows/31-services.html

    et va supprimer ce fichier :

    D:\WINDOWS\System32\FTRTSVC.exe

    puis

    regarde ce tutorial pour mettre ta console java a jour :

    https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/

    ps : ne te trompes pas; sur la même page il y a aussi le tutoriel de flash...

    pour supprimer les outils utilisés :

    Télécharge ToolsCleaner sur ton bureau.
    --> http://www.commentcamarche.net/telecharger/telechargement 34055291 toolsclean(...)
    # Clique sur Recherche et laisse le scan agir ...
    # Clique sur Suppression pour finaliser.
    # Tu peux, si tu le souhaites, te servir des Options facultatives.
    # Clique sur Quitter pour obtenir le rapport.
    # Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

    voila`
    0
    1. Santiago
       
      Bonsoir G!rly,

      J'ai exécuté tes consignes et celles d'Anthony également. Je te poste le rapport de Tools Cleaner en précisant toutefois que j'avais déjà effectué un passage de Tcleaner précédemment.
      [ Rapport ToolsCleaner version 2.2.7 (par A.Rothstein & dj QUIOU) ]

      -->- Recherche:

      D:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
      D:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
      D:\Documents and Settings\BUFFIERE DE LAIR\Bureau\HijackThis.lnk: trouvé !
      D:\Documents and Settings\BUFFIERE DE LAIR\Bureau\HJTInstall.exe: trouvé !
      D:\Program Files\Trend Micro\HijackThis: trouvé !
      D:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

      ---------------------------------
      -->- Suppression:

      D:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
      D:\Documents and Settings\BUFFIERE DE LAIR\Bureau\HijackThis.lnk: supprimé !
      D:\Documents and Settings\BUFFIERE DE LAIR\Bureau\HJTInstall.exe: supprimé !
      D:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
      D:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
      D:\Program Files\Trend Micro\HijackThis: supprimé !

      Fichiers temporaires nettoyés !

      Merci encore pour ton aide. Je réponds également à Anthony qui est sur le post un peu plus loin.
      A + :-)
      0
      1. g!rly Messages postés 18462 Statut Contributeur 407 > Santiago
         
        De rien Santiago
        Bonne continuation`
        g!rly`
        0
  14. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Voici les petits conseils habituels de fin de désinfection pour le PC de ton neveu (tu connais bien tout ça maintenant ;) )

    1) Sécurise ton ordinateur

    - Anti-spyware :
    * Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement, tous les 10 jours environ, et activer toutes les protections (« Enable all protection »)
    * En complément, garde MalwareBytes pour son scan de nettoyage performant.

    - Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille d’installer et d'utiliser le navigateur Firefox 3 avec l’extension « AdBlockPlus ». Tu peux trouver des explications ici

    2) Relance Hijackthis (pour la dernière fois), fais "scan system only" et coche ces lignes (pas dangereuses mains inutiles) :

    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [QuickTime Task] "D:\windows\system32\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)

    Coche également toutes les lignes commençant par 016

    Ensuite, clique sur "Fix checked"

    3) Télécharge ToolsCleaner sur ton bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
    Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer.
    Tu peux aussi supprimer les fichiers temporaires.
    Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
    S'il ne supprime pas tout, supprime manuellement ce qui reste.

    4) Télécharge et installe CCleaner (si ce n’est déjà fait) : https://www.ccleaner.com/ccleaner/download

    Lance CCleaner
    Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
    Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
    Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

    (Tu peux garder ce logiciel et l'utiliser régulièrement).

    5) Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection).

    * Fais un clic droit sur poste de travail (qui est sur ton bureau ou dans le menu démarrer), puis propriétés.
    * Sélectionne l'onglet restauration du système
    * Coche l'option Désactiver la restauration du système sur tous les lecteurs
    * Clique sur OK.

    Puis refais la manipulation inverse pour réactiver la restauration système.

    6) Tu peux aussi donner le même lien que je t'ai donné à ton neveu ;)
    Prévention et sécurité sur internet
    0
  15. g!rly Messages postés 18462 Statut Contributeur 407
     
    je peux supprimer mon post si tu veux anthony ?!
    0
  16. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Oups ! J'avais ouvert ce sujet ya une heure, et au moment de poster je n'ai pas vu que tu avais répondu entre temps :-S

    Non tu peux laisser ton message ;)
    0
    1. Santiago
       
      Bonsoir Anthony,

      Je te demande de m'excuser mais j'ai cru que tu m'avais orienté vers G!irly car tu étais trop occupé ou que tu ne pouvais plus poursuivre avec nous (mon neveu et moi). J'ai exécuté les consignes de G!irly (voir plus haut ) et ensuite, j'ai exécuté les tiennes.Tout s'est bien déroulé jusque là et je vous remercie beaucoup G!rly et toi pour votre aide.

      Cet ordinateur à également un problème de connexion en Wifi. J'ai laissé des messages de demande d'aide mais je n'ai aucune réponse. En deux mots cet ordinateur "voit" des réseaux wifi extérieurs (les voisins surement) mais pas le réseau de chez nous !! Je suis certain que ma freebox (pas de pub) émet en Wifi car mon ordinateur communique parfaitement avec elle. Aurais-tu une idée pour rendre le Wifi à l'ordinateur de mon neveu. Ou bien si tu connais un helper aussi efficace en wifi que tu l'es avec la chasse au virus pourrais-tu m'orienter vers lui (ou elle) s'il te plait ?

      Dernière question, les outils HJT et les autres softs fonctionnent-ils avec W 98 ?

      Encore un grand merci et à bientôt ;-)

      Santiago
      0
    2. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790 > Santiago
       
      Re ;)


      Pour le Wifi, je ne peux pas t'aider, désolé je n'y connais rien ^^


      "Dernière question, les outils HJT et les autres softs fonctionnent-ils avec W 98 ?"
      Mis à part hijackthis, la plupart des outils que nous avons utilisé ne sont pas compatibles avec Windows 98... Pourquoi ?
      0
    3. Santiago > anthony5151 Messages postés 10927 Statut Contributeur sécurité
       
      Bonsoir Anthony,

      Tant pis pour le Wifi, j'essaierai de trouver par ailleurs si je peux et sinon, vive le cable RJ 45 qui fonctionne parfaitement.

      Je te pose la question du diagnostic des micros qui fonctionnent sous W 98 car je viens de récupérer un ancien micro que je vais donner à mon frère. Il a 60 ans et vient de découvrir les différentes possibilité qu'offre la micro informatique et internet. Jusqu'à aujourd'hui, il se définissait lui-même comme interNOT !!
      En bref, je voudrais être sûr de lui donner une machine a peu près propre. J'ai vu que malwarebyte, spybot, zone Alarm (ancienne version) et Avast fonctionnent sous W98. Pour le reste je sais pas. Crois-tu utile d'effectuer une analyse ??
      0
    4. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790 > Santiago
       
      Windows 98 n'est plus maintenu à jour par Microsoft, l'ordinateur que tu vas laisser à ton frère sera donc vulnérable de toute façon... A moins d'y installer une distribution Linux à la place de Windows, là au moins il serait tranquille :)

      Pour l'antivirus, il existe une version d'Antivir (en anglais) qui est compatible avec Windows 98

      Pour le pare-feu, je ne suis pas certain que ZoneAlarm fonctionne sous Windows 98 (en tout cas ce n'est pas indiqué...) Le seul pare-feu que j'ai trouvé et qui est indiqué compatible avec Windows 98 est celui-ci, mais il est en anglais aussi.

      MalwareBytes n'est pas non plus indiqué comme étant compatible Windows 98... Par contre pour Spybot c'est bon.


      Si tu veux laisser Windows et vérifier la présence d'infection, je te conseille d'essayer un scan en ligne (uniquement sous Internet Explorer) par exemple avec BitDefender
      0
    5. santiago81 > anthony5151 Messages postés 10927 Statut Contributeur sécurité
       
      Bonjour Anthony,

      Je te remercie beaucoup pour ces conseils que je vais suivre scrupuleusement. Je vais essayer de conserver windows 98 car je ne saurais surement pas bien organiser la migration sous Linux sans faire de casse. J'essaie d'appliquer un postulat de base : "on ne touche pas à ce qui fonctionne !!" Je pense (mais j'ai peut-être tort ?) que les attaques dirigées vers les machine qui tournent sous windows 98 vont diminuer en même temps que le nombre de ces machines diminue.
      Dans tous les cas merci encore pour ton aide magique
      Je te tiens au courant de l'évolution des choses.
      A bientôt
      0
  17. g!rly Messages postés 18462 Statut Contributeur 407
     
    ;-)
    0
  18. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    "j'ai supprimé 2 BHO (trouvées avec Hijackthis)"

    Comment les as-tu supprimé ?

    Poste un nouveau rapport hijackthis stp

    -1
    1. Santiago
       
      Bonjour,

      Je les ai supprimées en cochant les cases devant les BHO et en cliquant sur le bouton "FIX" de Hijackthis.

      Je poste le rapport ce soir (dès que je serai rentré du boulot)

      Merci encore pour ton aide
      0
  19. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    D'accord, ce n'était pas une bonne idée de faire ça :
    - si c'était une ligne légitime, tu as peut-être bloqué quelque chose d'important
    - si c'était une infection, tu ne l'as pas supprimé en faisant ça, et tu m'empêches de voir l'effet des outils que je te fais utiliser.

    Je vais donc te demander de restaurer les lignes que tu as fixé avant de poster le nouveau rapport stp :

    Clique sur view the list of backups
    Coche les lignes à restaurer puis clique sur restore

    -1
    1. Santiago
       
      Bonsoir,

      Désolé mais le bouton "view the list of backup" aboutit sur une page vide.

      Je poste tout de même le rapport :

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 19:17:43, on 08/10/2008
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16705)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
      C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
      C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
      C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
      C:\Program Files\Mozilla Thunderbird\thunderbird.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
      C:\Program Files\Hp\HP Software Update\HPWUCli.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
      C:\WINDOWS\system32\NOTEPAD.EXE
      C:\Documents and Settings\Jean Jacques\Mes documents\Antivirus\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www8.hp.com/fr/fr/home.html
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
      O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
      O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
      O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
      O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
      O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [btdylcihaqgn] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\rwvpdsbrfwxedc.dll"
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [Gadwin PrintScreen 3.5] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
      O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
      O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
      0
  20. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Ok, dans ce cas fais ce qui suit dans l'ordre :

    # Télécharge et installe CCleaner (si ce n’est déjà fait) : https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
    Sur le site, clique sur > Download latest version et laisse-toi guider.
    Ne coche pas "Ajouter la barre d' outils Yahoo" lors de l’installation !

    Télécharge OTMoveIt (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

    # Redémarre le PC en mode sans échec :
    Tu n' auras pas accès à Internet pendant le "mode sans échec". Aussi, copie/colle toute cette procédure dans un fichier texte et mets-la sur le "bureau" pour l'avoir à ta disposition.
    Ferme toutes les fenêtres et applications.
    Redémarre ton ordinateur, puis tapote sur la touche F8 (F5 sur certains PC) avant l’apparition du logo Windows, un menu va apparaître, tu devra choisir de démarrer en mode sans échec.

    # Double-clique sur OTMoveIt.exe pour le lancer.
    Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!
    Copie le texte ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.
    C:\WINDOWS\system32\rwvpdsbrfwxedc.dll
    C:\WINDOWS\system32\bqceidtkdnhah.dll 

    Clique sur MoveIt! pour lancer la suppression.
    Lorsque un résultat apparaît dans le cadre Results, clique sur Exit et redémarre ton PC.
    Copie-colle le rapport dans ta réponse : il est situé sur --> C:\_OTMoveIt\MovedFiles.

    # Lance CCleaner :
    Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
    Puis nettoyeur --> Analyse > Lancer le nettoyage,
    puis sur OK dans la fenêtre qui s' affiche.
    Relance le nettoyage une deuxième fois.

    Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

    -1
    1. SANTIAGO
       
      J'ai effectué toute la procédure que tu m'as indiquée 2 fois
      Le premier rapport est ici :
      File/Folder C:\WINDOWS\system32\rwvpdsbrfwxedc.dll not found.
      C:\WINDOWS\system32\bqceidtkdnhah.dll unregistered successfully.
      C:\WINDOWS\system32\bqceidtkdnhah.dll moved successfully.

      OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 10082008_211055

      Le 2ième rapport est ici

      File/Folder C:\WINDOWS\system32\rwvpdsbrfwxedc.dll not found.
      File/Folder C:\WINDOWS\system32\bqceidtkdnhah.dll not found.

      OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 10082008_213925

      Au passage, je n'ai pas vu la case à décocher pour ne pas installer la barre d'outils de Yahoo mais comme elle était déjà installée auparavant je ne sais pas si c'est gênant ?

      Merci beaucoup pour ce giuidage. Dois-je effectuer une autre manip ?
      0
    2. SANTIAGO
       
      Au cas où ......., j'ai efffectué un autre passage de HIjack et je joins le rapport :


      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 22:32:09, on 08/10/2008
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16705)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      C:\WINDOWS\system32\HPZipm12.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
      C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\HP\QuickPlay\QPService.exe
      C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
      C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
      C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE
      C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
      C:\Program Files\Windows Live\Messenger\usnsvc.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Documents and Settings\Jean Jacques\Mes documents\Antivirus\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www8.hp.com/fr/fr/home.html
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
      O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
      O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
      O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
      O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
      O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [btdylcihaqgn] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\rwvpdsbrfwxedc.dll"
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [Gadwin PrintScreen 3.5] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
      O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
      O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
      0
  21. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Il reste cette ligne dont nous allons nous débarrasser :
    O4 - HKLM\..\Run: [btdylcihaqgn] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\rwvpdsbrfwxedc.dll"

    On va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts...

    Fais exactement ce qui suit :

    Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
    Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    --------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
    !! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!

    Dans ton cas, il s'agit de Norton Internet Security et d'Avast (tu dois pouvoir les désactiver par un clic droit sur l'icone correspondante près de l'horloge)

    ---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

    Tuto ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    ---------------------------------------------------------------------------------------------------------------------------------

    Ensuite :
    Double-clique sur C-Fix.exe (= combofix.exe ) .

    Appuie sur une touche pour démarrer le scan .

    Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

    Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

    -1
  • 1
  • 2