Sujet Précédent Sujet Suivant

Virus Fakealert plus autres problèmes

Audrey -  
jacques.gache Messages postés 34829 Statut Contributeur sécurité -
Bonjour,
L'ordi de ma mère a attrapé un virus étrange.. C'est le virus "fakealert" qui fait apparaître une bulle semblable à celles de Windows dans le coin droit de la barre des tâches me disant que mon ordinateur cours des risques, etc etc.

J'ai passé l'antivirus en mode sans échec, ça a semblé fonctionner car là je ne reçois plus de messages. Par contre l'ordinateur fait des trucs bizarres..

Déjà quand on l'ouvre, au lieu de la page d'accueil habituelle de WinXP où on clique sur l'utilisateur, il m'apparaît un rectangle me demandant d'inscrire mon nom d'utilisateur et mon mot de passe. Si je clique sur Ok sans rien inscrire, il fouille un peu et me réapparaît cette même fenêtre. Je reclique sur Ok et là c'est bon.

Ensuite, quand on veut arrêter l'ordi et qu'on fait Démarrer/Arrêter ça prend bien 3-4 minutes avant que la fenêtre apparaisse et qu'on puisse choisir Éteindre/Mettre en veille, etc.

Comment puis-je me débarrasser de ce truc?? Ce serait bien que ça se fasse vite histoire que je puisse régler le problème de ma mère avant de repartir chez moi demain..

Je fais un rapport hijackthis et je vous le poste, car j'imagine que c'est ce que vous allez me demander! ;)

Merci d'avance!!!
A voir également:

9 réponses

Réponse 1 / 9
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour, tu passes Sdfix mais à faire absolument en mode sans echec tu postes le rapport suivi d'un nouveau hijackthis mais avant tu le réinstalleras car il n'est pas installé convenablement, et puis tu le renommeras car il n'y a pas de lignes 02 et ça pourrait être du à la présence d'une infection vudo

1) : Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec

------
= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
-------

= Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
= Appuie sur Y pour commencer le processus de nettoyage.
= Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
= Appuie sur une touche pour redémarrer le PC.
= Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
= Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
= Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
= Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
= Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse

TUTO: https://www.malekal.com/slenfbot-still-an-other-irc-bot/

******************************************************************************************

2) : désinstalles hijackthis réinstalles de cette façon, Merci

télécharge Hijackthis : http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis

.cliques sur download
.cliques sur download Hijackthis installer
.enregistres le sur le bureau
.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux
.installes le , il va s'installer par défaut dans C:\Program Files\Trend Micro\HijackThis
.Cliques sur "Do a system scan and save the logfile"
.Cela va t'ouvrir un bloc note à la fin du scan.
.Copie son contenu et poste le dans ton prochain message. sinon le rapport est dans C:\Program Files\Trend Micro\HijackThis\ hijackthis "document texte"

si besion d'aide pour l'installation : https://www.androidworld.fr/

des expliquations en images pour l'utiliser : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm

*****************************************************************************************
3) : renomme le en suivant cela

POUR RENOMMER HIJACKTHIS:

tu vas dans ton poste de travail
tu double-cliques sur ton disque dur C
bouble-cliques sur program files
double-cliques sur trend micro
double-cliques sur hijackthis
cliques droit sur sur hijackthis.exe
renommer et la tu mets ""monscan.exe"" valide avec Entrée
et puis tu lances le scan et tu postes le rapport merci

1
Réponse 2 / 9
Audrey
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:30:46, on 2008-10-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Documents and Settings\Default\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.canoe.com/infos/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =

http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program

Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program

Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program

files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition

Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WeatherEye] C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE

LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE

RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft

Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program

Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -

C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network

Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program

Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -

C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program

Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) -

https://webmail5.atl.bluecross.ca/iNotes6W.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -

http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://update.microsoft.com/...

739296
O16 - DPF: {6F750202-1362-4815-A476-88533DE61D0C} (Kodak Gallery Easy Upload Manager Class)

- https://www.kodak.com/en/
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) -

http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) -

https://webmail5.atl.bluecross.ca/dwa7W.cab
O18 - Protocol: intu-ir2007 - {52BAEC6B-9405-46F9-A131-6D50720A3CC4} - C:\Program

Files\ImpotRapide 2007\ic2007pp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -

C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: karna.dat
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH -

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH -

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program

Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program

Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) -

Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program

Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
0
Réponse 3 / 9
Audrey
 
[b]SDFix: Version 1.236 [/b]
Run by Default on 2008-10-21 at 13:00

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

[b]Checking Files [/b]:

Trojan Files Found:

C:\Program Files\XP_Antispyware\htmlayout.dll - Deleted
C:\Program Files\XP_Antispyware\pthreadVC2.dll - Deleted
C:\Program Files\XP_Antispyware\XP_Antispyware.cfg - Deleted
C:\Program Files\XP_Antispyware\data\daily.cvd - Deleted
C:\Program Files\XP_Antispyware\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest - Deleted
C:\Program Files\XP_Antispyware\Microsoft.VC80.CRT\msvcm80.dll - Deleted
C:\Program Files\XP_Antispyware\Microsoft.VC80.CRT\msvcp80.dll - Deleted
C:\Program Files\XP_Antispyware\Microsoft.VC80.CRT\msvcr80.dll - Deleted
C:\Documents and Settings\All Users\Documents\enym.ban - Deleted
C:\Documents and Settings\All Users\Documents\noryquferi.dat - Deleted
C:\Documents and Settings\All Users\Documents\oholi.dat - Deleted
C:\Documents and Settings\All Users\Documents\dacawo._sy - Deleted
C:\Program Files\Fichiers communs\vicufem._sy - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\Binaries3.cab4 - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\Binaries3.cab5 - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP1.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP10.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP11.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP12.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP13.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP14.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP15.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP16.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP17.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP18.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP19.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP1A.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP1B.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP1C.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP1D.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP1E.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP1F.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP2.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP20.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP21.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP22.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP23.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP24.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP25.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP26.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP27.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP28.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP29.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP2A.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP2B.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP2C.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP2D.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP2E.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP2F.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP3.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP30.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP31.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP32.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP33.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP34.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP35.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP36.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP37.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP38.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP39.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP3A.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP3B.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP3C.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP3D.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP3E.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP3F.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP4.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP40.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP41.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP42.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP43.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP44.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP45.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP46.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP47.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP48.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP49.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP4A.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP4B.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP4C.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP4D.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP4E.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP4F.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP5.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP50.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP51.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP52.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP53.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP54.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP55.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP56.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP57.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP58.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP59.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP5A.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP5B.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP5C.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP5D.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP5E.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP5F.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP6.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP60.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP61.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP62.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP63.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP64.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP65.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP66.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP67.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP68.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP69.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP6A.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP6B.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP6C.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP6D.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP6E.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP6F.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP7.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP70.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP71.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP72.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP73.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP74.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP75.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP76.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP77.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP78.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP79.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP7A.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP7B.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP7C.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP7D.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP7E.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP7F.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP8.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP80.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP81.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP82.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP83.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP84.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP85.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP86.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP87.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP88.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP89.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP8A.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP8B.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP8C.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP8D.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP8E.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP8F.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP9.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP90.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP91.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP92.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP93.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP94.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP95.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP96.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP97.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP98.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP99.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP9A.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP9B.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP9C.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP9D.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP9E.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMP9F.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPA.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPA0.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPA1.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPA2.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPA3.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPA4.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPA5.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPA6.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPA7.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPA8.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPA9.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPAA.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPAB.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPAC.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPAD.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPAE.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPAF.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPB.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPB0.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPB1.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPB2.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPB3.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPB4.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPB5.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPB6.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPB7.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPB8.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPB9.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPBA.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPBB.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPBC.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPBD.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPBE.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPBF.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPC.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPC0.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPC1.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPC2.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPC3.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPC4.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPC5.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPC6.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPC7.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPC8.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPC9.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPCA.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPCB.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPCC.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPCD.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPCE.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPCF.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPD.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPD0.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPD1.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPD2.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPD3.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPD4.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPD5.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPD6.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPD7.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPD8.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPD9.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPDA.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPDB.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPDC.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPDD.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPDE.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPDF.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPE.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPE0.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPE1.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPE2.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPE3.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPE4.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPE5.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPE6.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPE7.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPE8.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPE9.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPEA.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPEB.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPEC.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPED.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPEE.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPEF.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPF.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPF0.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPF1.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPF2.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPF3.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPF4.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPF5.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPF6.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPF7.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPF8.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPF9.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPFA.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPFB.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPFC.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPFD.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPFE.tmp - Deleted
C:\DOCUME~1\Default\LOCALS~1\Temp\TMPFF.tmp - Deleted
C:\Documents and Settings\Default\Application Data\Microsoft\Internet Explorer\Quick Launch\XP_AntiSpyware.lnk - Deleted
C:\WINDOWS\brastk.exe - Deleted
C:\WINDOWS\system32\brastk.exe - Deleted
C:\WINDOWS\system32\delself.bat - Deleted

Folder C:\Program Files\XP_Antispyware - Removed

Removing Temp Files

[b]ADS Check [/b]:

[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-21 13:07:37
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

[b]Remaining Services [/b]:

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\NetMeeting\\conf.exe"="C:\\Program Files\\NetMeeting\\conf.exe:*:Enabled:Windows© NetMeeting©"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\StubInstaller.exe"="C:\\StubInstaller.exe:*:Enabled:LimeWire swarmed installer"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:

File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Tue 3 Jul 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

[b]Finished![/b]
0
Réponse 4 / 9
Audrey
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:15:02, on 2008-10-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\AntiVir PersonalEdition Classic\avwsc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.canoe.com/infos/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WeatherEye] C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://webmail5.atl.bluecross.ca/iNotes6W.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6F750202-1362-4815-A476-88533DE61D0C} (Kodak Gallery Easy Upload Manager Class) - https://www.kodak.com/en/
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - https://webmail5.atl.bluecross.ca/dwa7W.cab
O18 - Protocol: intu-ir2007 - {52BAEC6B-9405-46F9-A131-6D50720A3CC4} - C:\Program Files\ImpotRapide 2007\ic2007pp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: karna.dat
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
ok tu as bien réinstallé hijackthis mais pas renommé?? tu appliques le paragraphe 3)
sinon avant de me reposter un nouveau hijackthis renommé tu passes smitfraudfix tu fais directement les deux passage recherche en mode normalet et suppression et modes sans echec tu poste les rapports, merci
déactive ton anti-virus le temps de télécharger et faire l'analyse

recherche : Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php

et télécharge SmitfraudFix.exe.

Regarde le tuto

Exécute le en choisissant l’option 1
il va générer un rapport

Copie/colle le sur le poste stp.

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus, ect...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

suppression tu vas faire le Nettoyage des fichiers infectieux en mode sans echec et poster le rapport ainsi qu'un Hijackthis RENOMMER

pour redémarrer en mode sans échec : /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

.Cliques sur Démarrer
.Cliques sur Arrêter
.Sélectionnes Redémarrer et au redémarrage
.Appuis sur la touche F8 sans discontinuer "1 appuis seconde" dès qu'un écran de texte apparaît puis disparaît
.Utilises les touches de direction pour sélectionner mode sans échec
.puis appuis sur ENTRÉE
.Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre
une fois démarré ne t'inquiette pas si les couleurs et les icônes ne sont pas comme d'abitude

Ensuite relancez SmitfraudFix, et dans le menu, tapez 2, puis appuyez sur la touche Entrée de votre clavier.

A la question : voulez-vous nettoyer le registre ? tapez O (oui) et appuyez sur la touche Entrée de votre clavier.

A la question : corriger le fichier infecté ? tapez O (oui) et appuyez sur la touche Entrée de votre clavier.

Soyez ensuite patients, SmitfraudFix va supprimer les fichiers infectieux détectés dans la recherche effectuée précédemment.

Un redemarrage sera peut être necessaire pour terminer la procédure de nettoyage (SmitfraudFix vous le dira si besoin).

Le rapport se trouve à la racine du disque système C:\rapport.txt

poste le rapport dans ton prochain message. Si ton fond d'écran est disparru il suffira d'en remettre un
0
Réponse 6 / 9
Audrey
 
Bonjour,
Je suis pas sûre d'avoir bien tout pigé mais bon.. voilà :

SmitFraudFix v2.366

Rapport fait à 18:53:26,65, 2008-10-21
Executé à partir de C:\Documents and Settings\Default\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\Default\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Default

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Default\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Default\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="karna.dat"

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/100 VE Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 24.200.241.37
DNS Server Search Order: 24.201.245.77
DNS Server Search Order: 24.200.243.189

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B35BEA54-A59F-413A-B4B3-64509366EF17}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B35BEA54-A59F-413A-B4B3-64509366EF17}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B35BEA54-A59F-413A-B4B3-64509366EF17}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 7 / 9
Audrey
 
SmitFraudFix v2.366

Rapport fait à 19:01:14,25, 2008-10-21
Executé à partir de C:\Documents and Settings\Default\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B35BEA54-A59F-413A-B4B3-64509366EF17}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B35BEA54-A59F-413A-B4B3-64509366EF17}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B35BEA54-A59F-413A-B4B3-64509366EF17}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 8 / 9
Audrey
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:05:25, on 2008-10-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\monscan.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WeatherEye] C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://webmail5.atl.bluecross.ca/iNotes6W.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6F750202-1362-4815-A476-88533DE61D0C} (Kodak Gallery Easy Upload Manager Class) - https://www.kodak.com/en/
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - https://webmail5.atl.bluecross.ca/dwa7W.cab
O18 - Protocol: intu-ir2007 - {52BAEC6B-9405-46F9-A131-6D50720A3CC4} - C:\Program Files\ImpotRapide 2007\ic2007pp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
0
Réponse 9 / 9
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour, c'est parfait tout ça tu vois tu as tout compris tu passeras malwarebytes en mode sans echec pour être sur que c'est bon, tu me postes le rapport et puis on finalisera le nettoyage

Télécharge Malwarebytes' Anti-Malware: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

. sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
. enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminée,fermes Malwarebytes
. redemarres en mode sans échec pour savoir comment au cas ou tu ne saurrais pas regarde plus bas
. une fois en mode sans echec tu double-cliques sur l'icône de malwarebytes
. une fois ouvert rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc
. une fois redémarré en mode normal double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller

Si tu as besoin d'aide regarde ces tutoriels :
https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

pour redémarrer en mode sans échec : /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

. Cliques sur Démarrer
. Cliques sur Arrêter
. Sélectionnes Redémarrer et au redémarrage
. Appuis sur la touche F8 sans discontinuer "1 appuis seconde" dès qu'un écran de texte apparaît puis disparaît
. Utilises les touches de direction pour sélectionner mode sans échec
. puis appuis sur ENTRÉE
. Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre
une fois démarré ne t'inquiette pas si les couleurs et les icônes ne sont pas comme d'abitude

tuto:http://www.vista-xp.fr/forum/topic93.html
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
a quoi sert softonic ?
durup1928 -
jacklyn -

25 réponses