Un virus bloque mon fond d'ecran et bien plus

amanda -  
 amanda -
Bonjour,

j'ai un pc avec xp comme système d'exploitation, récemment il a été infecté ppar un virus qui bloque mon fond d'ecran avec une image fixe (pas très gênant au début) mais là il vient de redémarrer tout seul alors que j'étais en pleine manipulation (perdant bien sur ce que je faisait)
alors svp de l'aide,
nb: j ai avast familial comme antivirus

merci d'avance
Configuration: Windows XP
Firefox 3.0.3

7 réponses

  1. amanda
     
    voici le rapport de hijackthis que je viens d'executer

    a toute

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:10:36, on 17/10/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\WScript.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Business-in-a-Box\BIBLauncher.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SpiderH] C:\WINDOWS\system32\SpiderH.vbs
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Program Files\Conexant\Conexant USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [BIBLauncher] C:\Program Files\Business-in-a-Box\BIBLauncher.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Adobe Version Cue CS3 {fr_FR} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  2. amanda
     
    voici le rapport depuis virus total

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.10.3.1 2008.10.03 VBS/Wallpaper
    AntiVir 7.8.1.34 2008.10.02 HTML/Rce.Gen
    Authentium 5.1.0.4 2008.10.02 -
    Avast 4.8.1248.0 2008.10.03 -
    AVG 8.0.0.161 2008.10.03 -
    BitDefender 7.2 2008.10.03 -
    CAT-QuickHeal 9.50 2008.10.03 VBSWGE.based
    ClamAV 0.93.1 2008.10.02 -
    DrWeb 4.44.0.09170 2008.10.03 modification of VBS.Tune
    eSafe 7.0.17.0 2008.10.02 -
    eTrust-Vet 31.6.6127 2008.10.03 -
    Ewido 4.0 2008.10.03 -
    F-Prot 4.4.4.56 2008.10.02 -
    F-Secure 8.0.14332.0 2008.10.03 Trojan.VBS.Wallpaper
    Fortinet 3.113.0.0 2008.10.03 -
    GData 19 2008.10.03 -
    Ikarus T3.1.1.34.0 2008.10.03 -
    K7AntiVirus 7.10.481 2008.10.02 -
    Kaspersky 7.0.0.125 2008.10.03 Trojan.VBS.Wallpaper
    McAfee 5397 2008.10.02 -
    Microsoft 1.4005 2008.10.03 -
    NOD32 3492 2008.10.03 -
    Norman 5.80.02 2008.10.02 -
    Panda 9.0.0.4 2008.10.03 Suspicious file
    PCTools 4.4.2.0 2008.10.03 -
    Prevx1 V2 2008.10.03 -
    Rising 20.63.62.00 2008.09.28 Unknown Script Virus
    SecureWeb-Gateway 6.7.6 2008.10.03 Heuristic.Script.Rce
    Sophos 4.34.0 2008.10.03 -
    Sunbelt 3.1.1675.1 2008.09.27 -
    Symantec 10 2008.10.03 -
    TheHacker 6.3.1.0.099 2008.10.03 -
    TrendMicro 8.700.0.1004 2008.10.03 Mal_Otorun3
    VBA32 3.12.8.6 2008.10.02 -
    ViRobot 2008.10.3.1405 2008.10.03 -
    VirusBuster 4.5.11.0 2008.10.02 -
    Information additionnelle
    File size: 337417 bytes
    MD5...: f3a1c654f1c0a6f49d067c782de5fd91
    SHA1..: 7861bbd2fdbf691a0a4d3cd7e06ae44232616c4a
    SHA256: 73bca5d289ff9072f056ee278d8d68b4c9bdf91d8d88fb86e7a982296b80f566
    SHA512: ec5961ccdac8b4fc6ddd98ca8163d722e2d755729ee41a60ae47d04a7dc8712b
    b7d8a0982bd2294e5236cafe2f668fb3aa815a1c107919a8826f8c121b068a9e
    PEiD..: -
    TrID..: File type identification
    file seems to be plain text/ASCII (0.0%)
    PEInfo: -
    0
  3. amanda
     
    c'est exactement ce spiderh qui est le responsable de ces degat ( il etait associé au titre de l'image que j'ai en fond d'ecaran là) si je supprime le fichier tout simplement ça marcherait ?
    0
  4. amanda
     
    merci ,
    je ne suis pas a la maison pour l'instant, dès que j'applique, je posterai le rapport, merci pour l aide je suis surprise d'une telle efficacité et rapidité du forum
    0
    1. amanda
       
      voici le rapport et désolée pour le retard, si toute fois vous voulez encore m'aider, je n'avais plus de connexion internet pendant toute cette période
      ComboFix 08-11-21.05 - user 2008-11-22 16:56:47.1 - NTFSx86
      Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.665 [GMT 1:00]
      Lancé depuis: c:\documents and settings\user\Bureau\ComboFix.exe
      * Un nouveau point de restauration a été créé
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\windows\system32\hhvddbwy.ini
      c:\windows\system32\iwjtpbjl.ini
      c:\windows\system32\nhjxcahw.ini
      c:\windows\system32\nmslivhv.ini
      c:\windows\system32\rjbyhglc.ini
      c:\windows\system32\vuimmjrv.ini

      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-22 au 2008-11-22 ))))))))))))))))))))))))))))))))))))
      .

      2008-11-20 16:03 . 2008-11-20 16:03 <REP> d-------- c:\program files\KAZAA
      2008-11-20 16:03 . 2008-11-20 16:03 <REP> d-------- C:\My Downloads
      2008-11-20 16:03 . 2008-11-22 16:31 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP
      2008-11-20 16:03 . 2002-03-27 04:06 794,624 -r-hs---- c:\windows\system32\winudp64.exe
      2008-11-19 00:14 . 2008-11-19 00:14 <REP> d-------- c:\documents and settings\All Users\Application Data\Crystal Office
      2008-11-19 00:13 . 2008-11-19 00:14 <REP> d-------- c:\program files\Maple
      2008-11-18 12:54 . 2008-08-14 14:44 2,182,400 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
      2008-11-18 12:54 . 2008-08-14 14:44 2,138,112 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
      2008-11-18 12:54 . 2008-08-14 14:44 2,059,776 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
      2008-11-18 12:54 . 2008-08-14 14:44 2,017,792 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
      2008-11-13 15:20 . 2008-10-24 12:10 453,632 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
      2008-10-24 15:55 . 2008-10-24 15:55 <REP> d-------- c:\program files\Real
      2008-10-24 15:55 . 2008-10-24 15:55 <REP> d-------- c:\program files\Fichiers communs\xing shared
      2008-10-24 15:55 . 2008-10-24 15:55 <REP> d-------- c:\program files\Fichiers communs\Real

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-11-22 15:27 --------- d-----w c:\documents and settings\user\Application Data\uTorrent
      2008-11-21 11:47 --------- d-----w c:\documents and settings\user\Application Data\LimeWire
      2008-11-20 15:03 --------- d-----w c:\program files\LimeWire
      2008-11-19 01:29 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
      2008-11-15 18:47 --------- d-----w c:\documents and settings\user\Application Data\CyberLink
      2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
      2008-10-17 17:09 --------- d-----w c:\program files\Trend Micro
      2008-10-17 14:10 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
      2008-10-17 14:10 --------- d-----w c:\documents and settings\user\Application Data\Malwarebytes
      2008-10-17 14:10 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
      2008-10-17 11:05 --------- d-----w c:\program files\CONEXANT
      2008-10-17 10:53 --------- d-----w c:\program files\QuickTime
      2008-10-17 10:52 --------- d-----w c:\documents and settings\All Users\Application Data\QuickTime
      2008-10-16 18:25 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
      2008-10-16 18:25 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
      2008-10-16 13:54 --------- d-----w c:\documents and settings\user\Application Data\Skype
      2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
      2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
      2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
      2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
      2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
      2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
      2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
      2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
      2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
      2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
      2008-10-16 10:50 --------- d-----w c:\documents and settings\user\Application Data\skypePM
      2008-10-15 11:51 --------- d-----w c:\program files\Business-in-a-Box
      2008-10-09 07:46 --------- d-----w c:\program files\MSBuild
      2008-10-09 07:46 --------- d-----w c:\program files\Microsoft Works
      2008-10-09 07:45 --------- d-----w c:\program files\Microsoft.NET
      2008-10-09 07:30 --------- d-----w c:\program files\QuickZip4
      2008-10-08 17:31 --------- d-----w c:\documents and settings\user\Application Data\LGSync
      2008-10-08 17:30 --------- d--h--w c:\program files\InstallShield Installation Information
      2008-10-08 17:30 --------- d-----w c:\program files\LGE GSM PC Sync
      2008-10-08 17:30 --------- d-----w c:\program files\LG Electronics
      2008-10-08 17:29 --------- d-----w c:\program files\Fichiers communs\InstallShield
      2008-10-08 13:28 --------- d-----w c:\program files\Sun
      2008-10-08 13:27 --------- d-----w c:\program files\Java
      2008-10-08 13:05 --------- d-----w c:\program files\Fichiers communs\Java
      2008-10-06 19:57 28,672 ----a-w c:\windows\system32\ncmd.exe
      2008-10-06 11:28 --------- d-----w c:\program files\MSXML 4.0
      2008-10-06 09:57 --------- d-----w c:\program files\uTorrent
      2008-10-06 07:31 --------- d-----w c:\program files\Skype
      2008-10-06 07:31 --------- d-----w c:\program files\Fichiers communs\Skype
      2008-10-06 07:31 --------- d-----w c:\documents and settings\All Users\Application Data\Skype
      2008-10-06 05:39 --------- d-----w c:\documents and settings\All Users\Application Data\WLInstaller
      2008-10-05 18:06 --------- d-----w c:\program files\Windows Live
      2008-10-05 17:35 --------- dcsh--w c:\program files\Fichiers communs\WindowsLiveInstaller
      2008-10-05 10:33 --------- d-----w c:\program files\Alwil Software
      2008-10-05 10:07 --------- d-----w c:\program files\MAXON
      2008-10-05 09:56 --------- d-----w c:\documents and settings\All Users\Application Data\Adobe Systems
      2008-10-05 09:53 --------- d-----w c:\program files\Fichiers communs\Adobe
      2008-10-05 09:52 --------- d-----w c:\program files\Fichiers communs\Adobe Systems Shared
      2008-10-05 09:51 82,432 ----a-w c:\windows\system32\msxml4r.dll
      2008-10-05 09:36 --------- d-----w c:\documents and settings\All Users\Application Data\FLEXnet
      2008-10-05 09:30 --------- d-----w c:\program files\Fichiers communs\Control Panels
      2008-10-05 09:27 --------- d-----w c:\documents and settings\All Users\Application Data\ALM
      2008-10-05 09:13 --------- d-----w c:\program files\Bonjour
      2008-10-05 09:09 --------- d-----w c:\program files\Fichiers communs\Macrovision Shared
      2008-10-03 13:22 --------- d-----w c:\documents and settings\All Users\Application Data\CyberLink
      2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
      2008-09-15 15:39 1,846,144 ----a-w c:\windows\system32\win32k.sys
      2008-09-04 16:45 1,106,944 ----a-w c:\windows\system32\msxml3.dll
      2002-03-27 03:06 794,624 --sh--r c:\windows\system32\winudp64.exe
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
      "BIBLauncher"="c:\program files\Business-in-a-Box\BIBLauncher.exe" [2008-08-13 585432]
      "Power2GoExpress"="c:\program files\CyberLink\Power2Go\Power2GoExpress.exe" [2005-09-16 2048093]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2002-09-13 212992]
      "RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
      "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
      "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
      "Adobe_ID0EYTHM"="c:\progra~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 1884160]
      "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
      "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
      "GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
      "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-10-17 77824]
      "CnxTrApp"="c:\program files\Conexant\Conexant USB Network\CnxTrApp.dll" [2003-07-18 247296]
      "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-10-24 185872]
      "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]
      "nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]
      "winudp64.exe"="winudp64.exe" [2002-03-27 c:\windows\system32\winudp64.exe]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
      "winudp64.exe"="winudp64.exe" [2002-03-27 c:\windows\system32\winudp64.exe]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

      c:\documents and settings\user\Menu D‚marrer\Programmes\D‚marrage\
      Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

      c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
      Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-22 734872]
      Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "msacm.clmp3enc"= c:\progra~1\CYBERL~1\power2go\CLMP3Enc.ACM

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "AntiVirusOverride"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
      "c:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
      "c:\\Program Files\\MAXON\\NET Render R10\\NET Render Server.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
      "c:\\WINDOWS\\system32\\dpvsetup.exe"=
      "c:\\Program Files\\uTorrent\\uTorrent.exe"=
      "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
      "c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
      "c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
      "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
      "c:\\Program Files\\LimeWire\\LimeWire.exe"=
      "c:\\WINDOWS\\system32\\winudp64.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
      "3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
      "50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
      "50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

      R0 atiide;atiide;c:\windows\system32\DRIVERS\ATIIDE.SYS [2007-03-28 6016]
      R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-10-05 78416]
      R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [2008-08-29 11970]
      R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-10-05 20560]
      R3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [2008-08-29 130112]
      R3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;c:\windows\system32\Drivers\hcw88rc5.sys [2008-08-29 11841]
      R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [2008-08-29 296259]
      R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;c:\windows\system32\drivers\hcw88tun.sys [2008-08-29 137793]
      R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [2008-08-29 611444]
      R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\HCW88BAR.sys [2008-08-29 27984]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\Z]
      \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe folder.htt 480 480

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ef14da0-b8aa-11dd-99cb-0016171957e8}]
      \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wallpaper.vbs
      \Shell\Explore\Command - Wscript \Wallpaper.vbs
      \Shell\Open\Command - Wscript \Wallpaper.vbs

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5269fc89-955e-11dd-996e-0016171957e8}]
      \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wallpaper.vbs
      \Shell\Explore\Command - Wscript \Wallpaper.vbs
      \Shell\Open\Command - Wscript \Wallpaper.vbs

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6baa390-ae79-11dd-99b5-0016171957e8}]
      \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wallpaper.vbs
      \Shell\Explore\Command - Wscript \Wallpaper.vbs
      \Shell\Open\Command - Wscript \Wallpaper.vbs

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ef5078ee-93e0-11dd-9969-0016171957e8}]
      \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wallpaper.vbs
      \Shell\Explore\Command - Wscript \Wallpaper.vbs
      \Shell\Open\Command - Wscript \Wallpaper.vbs

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f8b8daca-9eda-11dd-9989-0016171957e8}]
      \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wallpaper.vbs
      \Shell\Explore\Command - Wscript \Wallpaper.vbs
      \Shell\Open\Command - Wscript \Wallpaper.vbs

      *Newly Created Service* - PROCEXP90
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      ShellExecuteHooks-{00F53620-736E-4AE9-9A38-BB79D731D36A} - (no file)


      .
      ------- Examen supplémentaire -------
      .
      FireFox -: Profile - c:\documents and settings\user\Application Data\Mozilla\Firefox\Profiles\70siypwi.default\
      FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.facebook.com/
      .

      **************************************************************************

      catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-11-22 16:57:57
      Windows 5.1.2600 Service Pack 2 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      Heure de fin: 2008-11-22 16:58:35
      ComboFix-quarantined-files.txt 2008-11-22 15:58:32

      Avant-CF: 279 264 198 656 octets libres
      Après-CF: 280,167,628,800 octets libres

      WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
      [boot loader]
      default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      multi(0)disk(0)rdisk(0)partition(2)\WINNT="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

      219 --- E O F --- 2008-11-20 22:35:10
      0
      1. amanda > amanda
         
        salut,
        j'ai finalement décidé de supprimer les fichiers spider (jpeg) et spider (.psd) du dossier system 32 . résultat, le fond d'écran a disparu laissant place à un fond bleu mais le message "hi user, don't worry i am a friend have a nice day" est présent à chaque démarrage de l'ordinateur

        svp help
        0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. totobetourne Messages postés 5677 Statut Membre 65
     
    bonjour.

    1)Telecharges malwares bytes anti malwares :

    Malwarebytes Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Tutoriel Malwarebytes Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
    fais comme indique,mise a jour , scan complet en mode sans echec et les rapports.

    garde le et lance un scan tout les mois comme indique.

    si tu as ad aware tu peux desinstalle car il ne reconnait plus grand chose.

    2)telecharge cela:util pour voir ce que peut etre l infection et agir ensuite.

    http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

    installe le normallement comme tout autre programme dans c/programme/...............
    clique sur do a scan and save a logfile, tu obtiens un rapport que tu colles.
    parfois alerte comme quoi, sans la fonction administrateur le rapport ne peut pas etre complet .
    a ce moment relance hijack avec un clique droit sur le raccourci et executer en tant qu administrateur.
    -1
    1. amanda
       
      voici le rapport, j'ai installé et excuté en mode sans echec le logiciel malwarebytes'anti_malware
      merci beaucoup de m'aider
      0
      1. amanda > amanda
         
        Malwarebytes' Anti-Malware 1.29
        Version de la base de données: 1278
        Windows 5.1.2600 Service Pack 2

        17/10/2008 19:00:29
        mbam-log-2008-10-17 (19-00-19).txt

        Type de recherche: Examen complet (C:\|D:\|)
        Eléments examinés: 155504
        Temps écoulé: 2 hour(s), 26 minute(s), 10 second(s)

        Processus mémoire infecté(s): 0
        Module(s) mémoire infecté(s): 1
        Clé(s) du Registre infectée(s): 10
        Valeur(s) du Registre infectée(s): 1
        Elément(s) de données du Registre infecté(s): 2
        Dossier(s) infecté(s): 0
        Fichier(s) infecté(s): 27

        Processus mémoire infecté(s):
        (Aucun élément nuisible détecté)

        Module(s) mémoire infecté(s):
        C:\WINDOWS\system32\fccaXPgh.dll (Trojan.Vundo.H) -> No action taken.

        Clé(s) du Registre infectée(s):
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00f53620-736e-4ae9-9a38-bb79d731d36a} (Trojan.Vundo.H) -> No action taken.
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkiabxn (Trojan.Vundo.H) -> No action taken.
        HKEY_CLASSES_ROOT\CLSID\{00f53620-736e-4ae9-9a38-bb79d731d36a} (Trojan.Vundo.H) -> No action taken.
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e094e81d-7904-498f-b323-946fc8041a86} (Trojan.Vundo.H) -> No action taken.
        HKEY_CLASSES_ROOT\CLSID\{e094e81d-7904-498f-b323-946fc8041a86} (Trojan.Vundo.H) -> No action taken.
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00c8b865-b10f-4edb-89a5-62d120beccea} (Trojan.BHO.H) -> No action taken.
        HKEY_CLASSES_ROOT\CLSID\{00c8b865-b10f-4edb-89a5-62d120beccea} (Trojan.BHO.H) -> No action taken.
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

        Valeur(s) du Registre infectée(s):
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\24e8db03 (Trojan.Vundo.H) -> No action taken.

        Elément(s) de données du Registre infecté(s):
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\fccaxpgh -> No action taken.
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\fccaxpgh -> No action taken.

        Dossier(s) infecté(s):
        (Aucun élément nuisible détecté)

        Fichier(s) infecté(s):
        C:\WINDOWS\system32\jkkIabXN.dll (Trojan.Vundo.H) -> No action taken.
        C:\WINDOWS\system32\fccaXPgh.dll (Trojan.Vundo.H) -> No action taken.
        C:\WINDOWS\system32\hgPXaccf.ini (Trojan.Vundo.H) -> No action taken.
        C:\WINDOWS\system32\hgPXaccf.ini2 (Trojan.Vundo.H) -> No action taken.
        C:\WINDOWS\system32\tptajvpk.dll (Trojan.Vundo.H) -> No action taken.
        C:\WINDOWS\system32\kpvjatpt.ini (Trojan.Vundo.H) -> No action taken.
        C:\WINDOWS\system32\sbdhwbmj.dll (Trojan.BHO.H) -> No action taken.
        C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\CXQZ8X2J\upd105320[1] (Trojan.Vundo) -> No action taken.
        C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\RSJYP1T0\at5a[1].dll (Trojan.Vundo) -> No action taken.
        C:\System Volume Information\_restore{96FADBE2-720D-4190-9324-1FCEDBFE9810}\RP27\A0005979.dll (Trojan.Vundo) -> No action taken.
        C:\System Volume Information\_restore{96FADBE2-720D-4190-9324-1FCEDBFE9810}\RP28\A0007087.dll (Trojan.Vundo) -> No action taken.
        C:\System Volume Information\_restore{96FADBE2-720D-4190-9324-1FCEDBFE9810}\RP28\A0007098.dll (Trojan.Vundo) -> No action taken.
        C:\System Volume Information\_restore{96FADBE2-720D-4190-9324-1FCEDBFE9810}\RP28\A0007101.dll (Trojan.Vundo) -> No action taken.
        C:\System Volume Information\_restore{96FADBE2-720D-4190-9324-1FCEDBFE9810}\RP28\A0007102.dll (Trojan.Vundo) -> No action taken.
        C:\System Volume Information\_restore{96FADBE2-720D-4190-9324-1FCEDBFE9810}\RP28\A0007104.dll (Trojan.Vundo) -> No action taken.
        C:\System Volume Information\_restore{96FADBE2-720D-4190-9324-1FCEDBFE9810}\RP28\A0007105.dll (Trojan.Vundo) -> No action taken.
        C:\System Volume Information\_restore{96FADBE2-720D-4190-9324-1FCEDBFE9810}\RP28\A0007106.dll (Trojan.Vundo) -> No action taken.
        C:\System Volume Information\_restore{96FADBE2-720D-4190-9324-1FCEDBFE9810}\RP28\A0007107.dll (Trojan.Vundo) -> No action taken.
        C:\System Volume Information\_restore{96FADBE2-720D-4190-9324-1FCEDBFE9810}\RP28\A0007108.dll (Trojan.Vundo) -> No action taken.
        C:\System Volume Information\_restore{96FADBE2-720D-4190-9324-1FCEDBFE9810}\RP28\A0007109.dll (Trojan.Vundo) -> No action taken.
        C:\System Volume Information\_restore{96FADBE2-720D-4190-9324-1FCEDBFE9810}\RP28\A0007113.dll (Trojan.Vundo) -> No action taken.
        C:\System Volume Information\_restore{96FADBE2-720D-4190-9324-1FCEDBFE9810}\RP28\A0007115.dll (Trojan.Vundo) -> No action taken.
        C:\System Volume Information\_restore{96FADBE2-720D-4190-9324-1FCEDBFE9810}\RP30\A0008167.dll (Trojan.Vundo) -> No action taken.
        C:\WINDOWS\system32\ebxooadh.dll (Trojan.Vundo) -> No action taken.
        C:\WINDOWS\system32\lakcpimx.dll (Trojan.Vundo) -> No action taken.
        C:\WINDOWS\system32\tygiqwqk.dll (Trojan.Vundo) -> No action taken.
        C:\Documents and Settings\user\Local Settings\Temp\svchost.exe (Trojan.Agent) -> No action taken.
        0
  7. totobetourne Messages postés 5677 Statut Membre 65
     
    1)as tu supprimer ce qu il t a trouve car la tu me montres le scan avec (no action taken)aucune action de prise , si tu as bien tout supprimer tu en as un deuxieme avec inscrit (quarantined and deleted successfully).

    vire ce qui est en quarantaine de malwarebyte.

    2)Ensuite,
    *Rends toi sur ce site :

    https://www.virustotal.com/gui/

    *Clique sur "Parcourir" et cherche ce fichier : C:\WINDOWS\system32\SpiderH.vbs
    *Un rapport va s'élaborer ligne à ligne.
    *Attends la fin. Il doit comprendre la taille du fichier envoyé.
    *Sauvegarde le rapport avec le bloc-note.
    *Copie le dans ta réponse.
    *Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Reanalyse" le fichier maintenant
    colle le rapport.
    -1
    1. amanda
       
      vraiment merci beaucoup,

      oui j'ai bien supprimé, là je viens de virer tout les fichier qu'il avait en quarantaine
      et je vais me rendre sur le site indiqué de suite
      a +
      0
  8. totobetourne Messages postés 5677 Statut Membre 65
     
    pas sur qu il parte vraiment , il doit etre associe a autre chose.on va utiliser un autre outil

    pour voir télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    -1