Sujet Précédent Sujet Suivant

DD ne s ouvre pas + lenteur

Résolu
fdwrc Messages postés 621 Statut Membre -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
Sqlutm voila je voulais un petit peu d aide car je suppsonne fortement un virus voici le rapport hijackthis merci d avance pour votre aide

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:44:00 م, on 08/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\NVATray.exe
D:\WINDOWS\ZSSnp211.exe
D:\WINDOWS\Domino.exe
D:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
D:\Program Files\Common Files\Real\Update_OB\realsched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\PROGRA~1\Webshots\webshots.scr
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Documents and Settings\nouredine\سطح المكتب\eden.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
F2 - REG:system.ini: Shell=Explorer.exe "D:\DOCUME~1\NOURED~1\LOCALS~1\Temp\ry0K33bM.exe"
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [ZSSnp211] D:\WINDOWS\ZSSnp211.exe
O4 - HKLM\..\Run: [Domino] D:\WINDOWS\Domino.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [WARN POP TRUST LIES] D:\Documents and Settings\All Users\Application Data\Camp Mess Warn Pop\funk test.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE D:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Startup: Webshots.lnk = D:\Program Files\Webshots\Launcher.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
A voir également:

66 réponses

Précédent
Réponse 41 / 66
fdwrc Messages postés 621 Statut Membre 136
 
Dans quel but ? car je ne peux pas avec le windows que j ai
0
Réponse 42 / 66
fdwrc Messages postés 621 Statut Membre 136
 
***********************************************************************************************************************************************************************************
ANALYSIS: 2008-10-10 18:51:48
PROTECTIONS: 0
MALWARE: 9
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139535 Application/Processor HackTools No 0 No No C:\System Volume Information\_restore{984856F7-BA43-4298-9604-D453144D780A}\RP3\A0001056.exe[C:\System Volume Information\_restore{984856F7-BA43-4298-9604-D453144D780A}\RP3\A0001056.exe][SDFix\apps\Process.exe]
00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{984856F7-BA43-4298-9604-D453144D780A}\RP3\A0001158.exe
00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{984856F7-BA43-4298-9604-D453144D780A}\RP3\A0002014.exe
00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{984856F7-BA43-4298-9604-D453144D780A}\RP3\A0001104.exe
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@ad.yieldmanager[2].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@apmebf[2].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@weborama[1].txt
00238695 Application/Pskill.K HackTools No 0 Yes No C:\System Volume Information\_restore{984856F7-BA43-4298-9604-D453144D780A}\RP3\A0002015.exe
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Cookies\administrator@smartadserver[1].txt
00366244 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{984856F7-BA43-4298-9604-D453144D780A}\RP3\A0002049.exe[C:\System Volume Information\_restore{984856F7-BA43-4298-9604-D453144D780A}\RP3\A0002049.exe][nircmd.exe]
02936189 W32/Autorun.UE.worm Virus/Worm No 1 Yes No D:\AUTORUN.FCB
03738686 Generic Malware Virus/Trojan No 0 No No C:\System Volume Information\_restore{984856F7-BA43-4298-9604-D453144D780A}\RP3\A0001056.exe[C:\System Volume Information\_restore{984856F7-BA43-4298-9604-D453144D780A}\RP3\A0001056.exe][SDFix\apps\Cghtme.exe]
03738686 Generic Malware Virus/Trojan No 0 No No C:\System Volume Information\_restore{984856F7-BA43-4298-9604-D453144D780A}\RP3\A0001056.exe[C:\System Volume Information\_restore{984856F7-BA43-4298-9604-D453144D780A}\RP3\A0001056.exe][SDFix\catchme.exe]
03738686 Generic Malware Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{984856F7-BA43-4298-9604-D453144D780A}\RP3\A0001059.exe
03738686 Generic Malware Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{984856F7-BA43-4298-9604-D453144D780A}\RP3\A0001066.exe
03738686 Generic Malware Virus/Trojan No 0 No No C:\System Volume Information\_restore{984856F7-BA43-4298-9604-D453144D780A}\RP3\A0002053.exe[32788R22FWJFW\catchme.cfexe]
03738686 Generic Malware Virus/Trojan No 0 Yes No C:\ComboFix\catchme.cfexe
;===================================================================================================================================================================================
SUSPECTS
Sent Location ?{
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description ?{
;===================================================================================================================================================================================
184380 MEDIUM MS08-002 ?{
184379 MEDIUM MS08-001 ?{
182048 HIGH MS07-069 ?{
182046 HIGH MS07-067 ?{
182043 HIGH MS07-064 ?{
179553 HIGH MS07-061 ?{
176382 HIGH MS07-057 ?{
176383 HIGH MS07-058 ?{
170911 HIGH MS07-050 ?{
170907 HIGH MS07-046 ?{
170906 HIGH MS07-045 ?{
170904 HIGH MS07-043 ?{
164915 HIGH MS07-035 ?{
164913 HIGH MS07-033 ?{
164911 HIGH MS07-031 ?{
160623 HIGH MS07-027 ?{
157262 HIGH MS07-022 ?{
157261 HIGH MS07-021 ?{
157260 HIGH MS07-020 ?{
157259 HIGH MS07-019 ?{
156477 HIGH MS07-017 ?{
150253 HIGH MS07-016 ?{
150249 HIGH MS07-013 ?{
150248 HIGH MS07-012 ?{
150247 HIGH MS07-011 ?{
150243 HIGH MS07-008 ?{
150242 HIGH MS07-007 ?{
150241 MEDIUM MS07-006 ?{
141034 HIGH MS06-076 ?{
141033 MEDIUM MS06-075 ?{
141030 HIGH MS06-072 ?{
137571 HIGH MS06-070 ?{
137568 HIGH MS06-067 ?{
133387 MEDIUM MS06-065 ?{
133386 MEDIUM MS06-064 ?{
133385 MEDIUM MS06-063 ?{
133379 HIGH MS06-057 ?{
131654 HIGH MS06-055 ?{
129977 MEDIUM MS06-053 ?{
129976 MEDIUM MS06-052 ?{
126093 HIGH MS06-051 ?{
126092 MEDIUM MS06-050 ?{
126087 HIGH MS06-046 ?{
126086 MEDIUM MS06-045 ?{
126083 HIGH MS06-042 ?{
126082 HIGH MS06-041 ?{
126081 HIGH MS06-040 ?{
123421 HIGH MS06-036 ?{
123420 HIGH MS06-035 ?{
120825 MEDIUM MS06-032 ?{
120823 MEDIUM MS06-030 ?{
120818 HIGH MS06-025 ?{
120815 HIGH MS06-022 ?{
120814 HIGH MS06-021 ?{
117384 MEDIUM MS06-018 ?{
114666 HIGH MS06-015 ?{
114664 HIGH MS06-013 ?{
108744 MEDIUM MS06-008 ?{
108743 MEDIUM MS06-007 ?{
108742 MEDIUM MS06-006 ?{
104567 HIGH MS06-002 ?{
104237 HIGH MS06-001 ?{
96574 HIGH MS05-053 ?{
93395 HIGH MS05-051 ?{
93394 HIGH MS05-050 ?{
93454 MEDIUM MS05-049 ?{
;===================================================================================================================================================================================
0
Réponse 43 / 66
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!

2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Double-clique sur l’icône.
Les icônes vont disparaître. C’est normal.
Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
Redémarre ensuite le PC.

3/ encore des soucis?

4/ désactive ta restauration pour virer ce qui est dedans puis redemarre ton ordi puis réactive la
0
Réponse 44 / 66
fdwrc Messages postés 621 Statut Membre 136
 
J ai fait ce que tu m as dit mais aucun des 2 n as trouve d infection
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 66
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
tu avais branché le disque D ? il correspond a quoi ce disque D?
0
Réponse 46 / 66
fdwrc Messages postés 621 Statut Membre 136
 
En fait ya un seul disque sur ce pc mais il est partitionner
0
Réponse 47 / 66
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci FindyKill sur ton bureau

--> Au menu principal,choisi l option 2 (Suppression)

/!\ il y aura 2 redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage effectué"

/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !

-------> ensuite post le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

________________________________

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
0
Réponse 48 / 66
fdwrc Messages postés 621 Statut Membre 136
 
Re dsl j avais pas trop le temps de m occuper du pc donc voici le rapport findykill

----------------- FindyKill V4.005 ------------------

* User : Administrator - LATANSALLAH
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 15/10/08 par Chiquitine29
* Suppression effectuée à 19:33:13 le 16/10/2008
* Windows XP - Internet Explorer 6.0.2900.2180

((((((((((((((( *** Suppression *** ))))))))))))))))))

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------

»»»» Suppression des fichiers dans C:

»»»» Suppression des fichiers dans C:\WINDOWS

»»»» Suppression des fichiers dans C:\WINDOWS\Prefetch

»»»» Suppression des fichiers dans C:\WINDOWS\system32

»»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers

»»»» Suppression des fichiers dans C:\Documents and Settings\Administrator\Application Data

»»»» Suppression des fichiers dans C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp

--------------- [ Registre / Clés infectieuses ] ----------------

Supprimé ! - HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA

-> Certaines clés ont été supprimées au premier reboot ...

--------------- [ Etat / Redémarage des services ] ----------------

+- Mode sans echec restauré !

+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

Ndisuio - Type de démarrage = 2

Wlansvc - Type de démarrage = 2

Ip6Fw - Type de démarrage = 2

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = 2

wscsvc - Type de démarrage = 2

--------------- [ Nettoyage des supports amovibles ] ----------------

+- Informations :

+- Suppression des fichiers :

Echec de la supression !! - C:\autorun.inf
Echec de la supression !! - D:\autorun.inf
Echec de la supression !! - F:\autorun.inf

--------------- [ Registre / Moutpoint2 ] ----------------

-> Recherche négative.

--------------- [ Recherche Cracks / Keygen ] ----------------

---------------- ! Fin du rapport ! ------------------
0
Réponse 49 / 66
fdwrc Messages postés 621 Statut Membre 136
 
Et voila le rapport sdfix

[b]SDFix: Version 1.236 [/b]
Run by Administrator on 16/10/2008 at 19:45

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

[b]Checking Files [/b]:

No Trojan Files Found

Removing Temp Files

[b]ADS Check [/b]:

[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-16 20:00:17
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions]
"E\6-\6H\6D\6 ?R?A?S? ?A?s?y?n?c?"=str(7):"1\0"
"E\6F\6A\0060\6 ?E\0065\6:\0061\6 ?D\6@\6 ?W?A?N? ? ?(?L?2?T?P?)?"=str(7):"1\0"
"E\6F\6A\0060\6 ?E\0065\6:\0061\6 ?D\6@\6 ?W?A?N? ?(?P?P?T?P?)?"=str(7):"1\0"
"E\6F\6A\0060\6 ?E\0065\6:\0061\6 ?D\6@\6 ?W?A?N? ?(?P?P?P?O?E?)?"=str(7):"1\0"
"E\6F\6A\0060\6 ?E\0065\6:\0061\6 ?D\6@\6 ?W?A?N? ?(?I?P?)?"=str(7):"1\0"
"'\6*\0065\6'\6D\6 ?*\6D\6A\0062\6J\6H\6F\6/?A\6J\6/\6J\6H\6 ?M?i?c?r?o?s?o?f?t?"=str(7):"1\0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions]
"E\6-\6H\6D\6 ?R?A?S? ?A?s?y?n?c?"=str(7):"1\0"
"E\6F\6A\0060\6 ?E\0065\6:\0061\6 ?D\6@\6 ?W?A?N? ? ?(?L?2?T?P?)?"=str(7):"1\0"
"E\6F\6A\0060\6 ?E\0065\6:\0061\6 ?D\6@\6 ?W?A?N? ?(?P?P?T?P?)?"=str(7):"1\0"
"E\6F\6A\0060\6 ?E\0065\6:\0061\6 ?D\6@\6 ?W?A?N? ?(?P?P?P?O?E?)?"=str(7):"1\0"
"E\6F\6A\0060\6 ?E\0065\6:\0061\6 ?D\6@\6 ?W?A?N? ?(?I?P?)?"=str(7):"1\0"
"'\6*\0065\6'\6D\6 ?*\6D\6A\0062\6J\6H\6F\6/?A\6J\6/\6J\6H\6 ?M?i?c?r?o?s?o?f?t?"=str(7):"1\0"

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
"SecureDesktop"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\GrpConv\MapGroups]
"*\0063\6'\6D\6J\6"="'D(1'E, 'DED-B)\*3'DJ"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

[b]Remaining Services [/b]:

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:

[b]Files with Hidden Attributes [/b]:

[b]Finished![/b]
0
Réponse 50 / 66
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
Télécharge CleanX-II de sUBs (merci mOe) ici :

http://download.bleepingcomputer.com/sUBs/CleanX-II.exe

Déconnecte tes accès internet. Coupe tous les accès physiques (débranchement du modem, ...).
Ferme toutes les applications.
Désactive puis réactive ta restauration système.
Clic droit sur CleanX-II.exe et "exécuter en mode administrateur" pour démarrer la réparation (UAC désactivée).
Clique OK lorsque tu reçois un message d'avertissement.
A la fin du scan (qui peut prendre plusieurs minutes, patiente le temps qu'il finisse), il va produire un message d'erreur (parce que l'outil ne prend pas en compte la copie pour un Windows français). Pour contourner cette erreur, fais ceci :
Démarrer, exécuter et tape %temp%\report.txt . Le bloc-note va ouvrir le rapport.

Si ce rapport montre qu'il reste encore des fichiers infectés (en fin de rapport après "POST RUN ANALYSIS"), relance l'outil une nouvelle fois.
Ouvre à nouveau le rapport avec la méthode ci-dessus et copie le dans ta réponse. S'il reste encore des fichiers infectés, inutile de relancer encore l'outil. Il faut examiner le rapport.

Si le .exe échoue, j'ai encore un outil sous le coude. Mais il faudra que tu donnes le nom de toutes les sessions existantes sur l'ordi.

_______________________

encore des soucis??
0
Réponse 51 / 66
fdwrc Messages postés 621 Statut Membre 136
 
Le programme annonce toujours le message d erreur malgres la commande que tu m a donner, sinon il n y a qu une seule session en l occurence administrator et le session invite qui n est pas active
0
Réponse 52 / 66
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
recolle un hijakchits pour voir
0
Réponse 53 / 66
fdwrc Messages postés 621 Statut Membre 136
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:38:57, on 16/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Blue Coat K9 Web Protection\k9filter.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Hide and Protect any Drives\HPDAgent.exe
C:\WINDOWS\ZSSnp211.exe
C:\WINDOWS\Domino.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrator\سطح المكتب\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDAgent] C:\Program Files\Hide and Protect any Drives\HPDAgent.exe
O4 - HKLM\..\Run: [ZSSnp211] C:\WINDOWS\ZSSnp211.exe
O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O8 - Extra context menu item: أضف إلى قائمة الإعلان السوداء - C:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: إبراز - C:\Program Files\Avant Browser\Highlight.htm
O8 - Extra context menu item: إفتح كلّ الوصلات في هذه الصفحة - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: إمنع كلّ الصور التي في نفس الخادم - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: افتح في متصفح الرائد مكرر - C:\Program Files\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: بحث - C:\Program Files\Avant Browser\Search.htm
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: Uninterruptible Power Supply (UPS) - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)
O23 - Service: Blue Coat K9 Web Protection (WebFilter) - Unknown owner - C:\Program Files\Blue Coat K9 Web Protection\k9filter.exe
0
Réponse 54 / 66
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
analyse ces deux fichier sur virus total et si inféctés tu les vire: https://www.virustotal.com/gui/

C:\WINDOWS\ZSSnp211.exe
C:\WINDOWS\Domino.exe

_________________

navigue avec firefox a la place de internet explorer pour voir:

http://www.mozilla-europe.org/fr/firefox/
0
Réponse 55 / 66
fdwrc Messages postés 621 Statut Membre 136
 
Pour les 2 ca me dit le fichier a deja ete analyser et pour resultat il me dit 0/36 ???
0
Réponse 56 / 66
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
ok donc rien

navigue avec firefox a la place de internet explorer pour voir:

http://www.mozilla-europe.org/fr/firefox/
0
Réponse 57 / 66
fdwrc Messages postés 621 Statut Membre 136
 
Ben en fait j utilise jamais IE
0
Réponse 58 / 66
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
ok

desactive le parefeu de vista et mets en un de ceux ci:

COMODO ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)
https://www.malekal.com/tutorial-comodo-firewall/
http://www.clubic.com/telecharger-fiche11071-sunbelt-persona­l-firewall-e(...)
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
https://www.commentcamarche.net/telecharger/ 157 zonealarm
0
Réponse 59 / 66
fdwrc Messages postés 621 Statut Membre 136
 
J ai xp, par contre l icone securite dans le panneau de config veux pas s ouvrir y aurai moyen de le desactiver depuis le regedit ?
0
Réponse 60 / 66
fdwrc Messages postés 621 Statut Membre 136
 
Bon normalement je l ai desactiver je vais installer comodo
0

Discussions similaires

H.P Smart ne demarre plus
c.meunier -
epango -

8 réponses
Clavier ouvre raccourcis
angellee -
Clemence -

11 réponses
instagram ne veux plus s'ouvrir
Mimiii644 -
Cam__5760 -

1 réponse
Instagram ne s’ouvre plus
IguaneStupefiant37 -
MPMP10 -

1 réponse
[Sujet Groupé] Accès impossible à MarketPlace/Facebook
AnaChris59 -
decottttt -

45 réponses