pages internet qui s'ouvrent toutes seules Fermé

Question

Bonjour,

alors voila mon problème , quand j'ouvre une session mozzilla ou bien IE j'ai toujours une tonne de pub ou autre qui s'affiche dans d'autres pages internet. des fois c'est même des programme sois disant antivirus qui se télécharge eux même ...

apparemment un rapport hijackthis permettait de découvrir d'où venais le problème.

merci de votre aide

matzingueur · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:26:15, on 25/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\windows\system32lwnw64s.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\mattzingueur\Application Data\Facegame\Facegame.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\mattzingueur\Application Data\Gool\Gool.exe
C:\Documents and Settings\mattzingueur\Application Data\SpeedRunner\SpeedRunner.exe
C:\Documents and Settings\mattzingueur\Application Data\Microsoft\Windows\belhpyl.exe
C:\WINDOWS\system32\RACLE~1\logonui.exe
C:\Program Files\Common Files\??pPatch?ndll.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
c:\progra~1\crawler\ctoolbar.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\ctbr.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [{05-59-9F-FC-DW}] C:\windows\system32lwnw64s.exe DWmmm01FF
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [68b05953] rundll32.exe "C:\WINDOWS\system32\dpvnjymy.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CurseClient] C:\Program Files\Curse\CurseClient.exe -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Facegame] "C:\Documents and Settings\mattzingueur\Application Data\Facegame\Facegame.exe" 61A847B5BBF72813329B385772FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gool] "C:\Documents and Settings\mattzingueur\Application Data\Gool\Gool.exe"
O4 - HKCU\..\Run: [SpeedRunner] C:\Documents and Settings\mattzingueur\Application Data\SpeedRunner\SpeedRunner.exe
O4 - HKCU\..\Run: [SfKg6wIP] C:\Documents and Settings\mattzingueur\Application Data\Microsoft\Windows\belhpyl.exe
O4 - HKCU\..\Run: [GetPack23] "C:\Program Files\GetPack\GetPack23.exe"
O4 - HKCU\..\Run: [Trtu] "C:\WINDOWS\system32\RACLE~1\logonui.exe" -vt yazb
O4 - HKCU\..\Run: [Lqnudlm] "C:\Program Files\Common Files\??pPatch?ndll.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32
cntmtdl.exe
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32lwnw64s.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet	ools\BitCometBHO_1.2.2.28.dll/206 (file missing)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\ctbr.dll
O20 - AppInit_DLLs: iztsed.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

jorginho67 · Answer

Salut.

Tu n'as aucun protection sur ton pc !!!

Télécharge et installe Avira Antivir qui est très bon et gratuit .
https://www.clubic.com/telecharger-fiche10821-avira-antivir-personal-free-antivirus.html


Installe ANTIVIR...
TUTO D' installation par Malekal
Tuto D'instalation et de mise en Oeuvre
Encore un au cas ou...
Reconnecte toi, fais les mises à jours Antivir... tu seras mieux protégé !

Après l'installation, mets le à jour - si ton firewall fait une alerte.. accepte la connexion.
Assure toi qu'Antivir est bien à jour, ( clic droit sur le parapluie => Start Update ) et laisse faire la MàJ.

Redémarre en mode sans échec !
Pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

- Ouvre Antivir par le menu Démarrer / Programmes
- Cliquez sur l'onglet Scanner.
- Sélectionne Manual Selection
- Sélectionne le disque C
- Lance le scan - Mets en quarantaine tous les éléments détectés.
- Une fois le scan terminé Enregistre le rapport.

Redémarre en mode normal.

Poste le rapport ici.

jacques.gache · Answer

bonjour, tu n'as pas d'anti- virus il faut en mettre un d'urenge ainsi qu'un pare-feu comme anti-virus performant et gratuit tu as antivir ou avg8 free, et comme pare-feu zone alarme ou kério en autre, et un anti-spyware en mode résident comme spybot ou windows défender,  car comme tu fais du téléchargement sur le p2p même avec des protections c'est risqué mais si tu n'as aucune protection c'est du sucide, car la tu as une infection multiple, je te propose donc dans un premier temps d'installer antivir , tu fais un scane complet avec antivir en mode sans echec et tu supprimes tout ce qu'il aura trouvé et puis tu posteras un nouveau hijackthis ,Merci

matzingueur · Answer

merci de vos réponses rapides,
je vous réponds depuis un autre ordinateur, celui infecté étant dans la chambre de mes enfants je n'ai pu continuer l'analyse d'avira qui n'était encore pas rendu a la moitié et pourtant avais déjà fait 3 quart d heures d'analyses.
c'est un pc qu'un ami m'avais donné et donc je pense terminer l'analyse demain pour que les bambins puisse dormir sans le gros bruit des ventilos.

j'ai constaté néanmoins qu'il y avais un fichier enrichi en virus (vundo apparemment) ce fichier s'appelle c:/windows/fonts/"/.... quelque chose comme ça est-ce normal ? d'autant plus que lorsque j'ai navigué dans l'explorateur des fichier, ce fichier fonts contenais seulement des fichier de police d'écriture.... je n'y comprend pas grand chose.

je recommencerais dés demain matin quitte a ce que l'analyse mette toute la journée :-)

rajaa_2008 · Answer

svp jai l meme problme les pages d'interenet s'ouvrent automatiqumet mem si j sesait rien
 cé ca le test de hijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:20:01, on 25/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Menara\dslmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Packet Tracer 5.0\bin\PacketTracer5.exe
C:\Program Files\Packet Tracer 5.0\extensions\upnp\upnp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Wallperizer.lnk = C:\Program Files\Wallperizer\Wallperizer.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{38F4398F-293C-431B-A7E2-B9F8CEBB799E}: NameServer = 212.217.1.17 212.217.0.3
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O24 - Desktop Component 0: (no name) - http://static.hugedomains.com/images/logo_huge_domains.gif

rajaa_2008 · Answer

svp jai l meme problme les pages d'interenet s'ouvrent automatiqumet mem si j sesait rien
 cé ca le test de hijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:20:01, on 25/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Menara\dslmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Packet Tracer 5.0\bin\PacketTracer5.exe
C:\Program Files\Packet Tracer 5.0\extensions\upnp\upnp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Wallperizer.lnk = C:\Program Files\Wallperizer\Wallperizer.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{38F4398F-293C-431B-A7E2-B9F8CEBB799E}: NameServer = 212.217.1.17 212.217.0.3
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O24 - Desktop Component 0: (no name) - http://static.hugedomains.com/images/logo_huge_domains.gif

jacques.gache · Answer

rajaa_2008 bonjour , ouvres toi ton propre sujet ça sera plus claire pour tout le monde, tu le dis quand c'est fais et j'irrai te rejoindre pour t'aider @+

rajaa_2008 · Answer

ok

matzingueur · Answer

bonsoir, j'ai fait une analyse avec antivir et ça fait 3 fois que j essai de poster mon rapport mas il dois surement etre trop volumineux car il met une bonne vingtaine de minute pour se copier collé ici et 20 minute de plus pour etre posté et pourtant je ne le vois toujours pas affiché .... donc je vais prossédé par petit paquet en esperant que cela ira.
merci d'avoir le courage de lire


Avira AntiVir Personal
Report file date: dimanche 26 octobre 2008  10:23

Scanning for 1707541 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Boot mode:        Save mode
Username:         Administrateur
Computer name:    MATT

Version information:
BUILD.DAT     : 8.2.0.334      16933 Bytes  16/10/2008 14:55:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes  26/06/2008 08:57:53
AVSCAN.DLL    : 8.1.4.0        40705 Bytes  26/05/2008 07:56:40
LUKE.DLL      : 8.1.4.5       164097 Bytes  12/06/2008 12:44:19
LUKERES.DLL   : 8.1.4.0        12033 Bytes  26/05/2008 07:58:52
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18/07/2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24/06/2008 13:54:15
ANTIVIR2.VDF  : 7.0.7.59     4366336 Bytes  19/10/2008 21:58:10
ANTIVIR3.VDF  : 7.0.7.92      192000 Bytes  25/10/2008 21:58:11
Engineversion : 8.2.0.9   
AEVDF.DLL     : 8.1.0.6       102772 Bytes  25/10/2008 21:58:22
AESCRIPT.DLL  : 8.1.1.9       319867 Bytes  25/10/2008 21:58:21
AESCN.DLL     : 8.1.1.3       123252 Bytes  25/10/2008 21:58:20
AERDL.DLL     : 8.1.1.2       438644 Bytes  25/10/2008 21:58:20
AEPACK.DLL    : 8.1.2.4       369014 Bytes  25/10/2008 21:58:19
AEOFFICE.DLL  : 8.1.0.29      196988 Bytes  25/10/2008 21:58:18
AEHEUR.DLL    : 8.1.0.63     1479032 Bytes  25/10/2008 21:58:17
AEHELP.DLL    : 8.1.1.2       115062 Bytes  25/10/2008 21:58:15
AEGEN.DLL     : 8.1.0.42      319861 Bytes  25/10/2008 21:58:14
AEEMU.DLL     : 8.1.0.9       393588 Bytes  25/10/2008 21:58:13
AECORE.DLL    : 8.1.2.8       172406 Bytes  25/10/2008 21:58:12
AEBB.DLL      : 8.1.0.3        53618 Bytes  25/10/2008 21:58:12
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09/07/2008 08:40:05
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16/05/2008 09:28:01
AVREP.DLL     : 8.0.0.2        98344 Bytes  25/10/2008 21:58:11
AVREG.DLL     : 8.0.0.1        33537 Bytes  09/05/2008 11:26:40
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12/02/2008 08:29:23
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12/06/2008 12:27:49
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22/01/2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12/06/2008 12:49:40
NETNT.DLL     : 8.0.0.1         7937 Bytes  25/01/2008 12:05:10
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12/06/2008 13:48:07
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27/06/2008 13:34:37

Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, 
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: dimanche 26 octobre 2008  10:23

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
12 processes with 12 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
    [INFO]      No virus was found!
Master boot sector HD1
    [INFO]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
    [INFO]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '51' files ).


Starting the file scan:

Begin scan in 'C:\' <disque dur>
C:\pagefile.sys
    [WARNING]   The file could not be opened!
C:\Documents and Settings\mattzingueur\Local Settings\Temporary Internet Files\Content.IE5\MWITQS3R\!update-4495[1].0000
    [DETECTION] Is the TR/Dldr.PurityScan.FK Trojan
    [NOTE]      The file was moved to '4974393d.qua'!
C:\WINDOWS\Fonts\'\Ad-Aware 2007 Pro v7.0.2.1.zip
    [0] Archive type: ZIP
    --> Setup.exe
      [DETECTION] Is the TR/Vundo.DVD Trojan
    [NOTE]      The file was moved to '49313db7.qua'!
C:\WINDOWS\Fonts\'\Ad-Aware 2007 Pro v7.0.2.7.zip
    [0] Archive type: ZIP
    --> Setup.exe
      [DETECTION] Is the TR/Vundo.DVD Trojan
    [NOTE]      The file was moved to '49313db8.qua'!
C:\WINDOWS\Fonts\'\Ad-Aware 2008 Pro v7.1.0.8.zip
    [0] Archive type: ZIP
    --> Setup.exe
      [DETECTION] Is the TR/Vundo.DVD Trojan
    [NOTE]      The file was moved to '49cc1839.qua'!
C:\WINDOWS\Fonts\'\Adam And Steve LIMITED DVDRip XviD-NeDiVx.zip
    [0] Archive type: ZIP
    --> Setup.exe
      [DETECTION] Is the TR/Vundo.DVD Trojan
    [NOTE]      The file was moved to '49653db9.qua'!
C:\WINDOWS\Fonts\'\Adam Wests Tales From Beyond 2004 WS DVDRip XviD-EwDp.zip
    [0] Archive type: ZIP
    --> Setup.exe
      [DETECTION] Is the TR/Vundo.DVD Trojan
    [NOTE]      The file was moved to '49653dba.qua'!
C:\WINDOWS\Fonts\'\Adams Aepfel DVDRiP MD XViD-NTG.zip
    [0] Archive type: ZIP
    --> Setup.exe
      [DETECTION] Is the TR/Vundo.DVD Trojan
    [NOTE]      The file was moved to '49653dbb.qua'!
C:\WINDOWS\Fonts\'\ADAPT PT V7.20.1.zip
    [0] Archive type: ZIP
    --> Setup.exe
      [DETECTION] Is the TR/Vundo.DVD Trojan
    [NOTE]      The file was moved to '49453d9c.qua'!
C:\WINDOWS\Fonts\'\ADAPT RC V5.00.2.zip
    [0] Archive type: ZIP
    --> Setup.exe
      [DETECTION] Is the TR/Vundo.DVD Trojan
    [NOTE]      The file was moved to '49453d9d.qua'!
C:\WINDOWS\Fonts\'\AdBlock Pro v2.0.zip
    [0] Archive type: ZIP
    --> Setup.exe
      [DETECTION] Is the TR/Vundo.DVD Trojan
    [NOTE]      The file was moved to '49463dbe.qua'!
C:\WINDOWS\Fonts\'\AdBlock Pro v2.2 fixed.zip
    [0] Archive type: ZIP
    --> Setup.exe
      [DETECTION] Is the TR/Vundo.DVD Trojan
    [NOTE]      The file was moved to '49463dc0.qua'!
C:\WINDOWS\Fonts\'\AdBlock Pro v2.2.zip
    [0] Archive type: ZIP
    --> Setup.exe
      [DETECTION] Is the TR/Vundo.DVD Trojan
    [NOTE]      The file was moved to '49463dc1.qua'!
C:\WINDOWS\Fonts\'\AdCleaner 1.21.zip
    [0] Archive type: ZIP
    --> Setup.exe
      [DETECTION] Is the TR/Vundo.DVD Trojan
    [NOTE]      The file was moved to '49473dc2.qua'!
C:\WINDOWS\Fonts\'\AdCleaner v1.21.zip
    [0] Archive type: ZIP
    --> Setup.exe
      [DETECTION] Is the TR/Vundo.DVD Trojan
    [NOTE]      The file was moved to '49473dc3.qua'!
C:\WINDOWS\Fonts\'\Addams Family Values DVDRip Xvid.zip
    [0] Archive type: ZIP
    --> Setup.exe


voila maintenant en gros c'est une chaine sans fin avec ce fichier fonts ...

et voila la fin de l'analyse :

C:\WINDOWS\Fonts\'\[Mac] NetworkLocation 3.0.2.zip
    [0] Archive type: ZIP
    --> Setup.exe
      [DETECTION] Is the TR/Vundo.DVD Trojan
    [NOTE]      The file was moved to '49659b75.qua'!
C:\WINDOWS\system32\g9.exe
    [DETECTION] Contains recognition pattern of the DR/Click.Agent.btl.2 dropper
    [NOTE]      The file was moved to '49329e87.qua'!
C:\WINDOWS\system32\gtglxidd.exe
    [DETECTION] Is the TR/QLowZones.S Trojan
    [NOTE]      The file was moved to '496b9ec5.qua'!
C:\WINDOWS\system32\odsadwat.dll
    [DETECTION] Is the TR/Crypt.FKM.Gen Trojan
    [NOTE]      The file was moved to '49779f21.qua'!
C:\WINDOWS\system32\qwpmohid.dll
    [DETECTION] Is the TR/Crypt.FKM.Gen Trojan
    [NOTE]      The file was moved to '49749f40.qua'!
C:\WINDOWS\system32\rlwnw64s.exe
    [DETECTION] Is the TR/Dldr.Agent.afzg Trojan
    [NOTE]      The file was moved to '497b9f3c.qua'!
C:\WINDOWS\system32\stlkljgr.exe
    [DETECTION] Is the TR/QLowZones.S Trojan
    [NOTE]      The file was moved to '49709f60.qua'!
C:\WINDOWS\system32\ubwnas.dll
    [DETECTION] Is the TR/Crypt.FKM.Gen Trojan
    [NOTE]      The file was moved to '497b9f57.qua'!
C:\WINDOWS\system32\vtUlMFWq.VIR
    [DETECTION] Is the TR/Crypt.FKM.Gen Trojan
    [NOTE]      The file was moved to '49599f72.qua'!
C:\WINDOWS\system32\vwegikbv.dll
    [DETECTION] Is the TR/Crypt.FKM.Gen Trojan
    [NOTE]      The file was moved to '49699f75.qua'!
C:\WINDOWS\system32\wgudly.dll
    [DETECTION] Is the TR/Crypt.FKM.Gen Trojan
    [NOTE]      The file was moved to '49799f6a.qua'!
C:\WINDOWS\system32\yfvicuss.exe
    [DETECTION] Is the TR/QLowZones.S Trojan
    [NOTE]      The file was moved to '497a9f82.qua'!
C:\WINDOWS\system32\ykkjnbqe.dll
    [DETECTION] Is the TR/Crypt.FKM.Gen Trojan
    [NOTE]      The file was moved to '496f9f88.qua'!
C:\WINDOWS\system32\drivers\sptd.sys
    [WARNING]   The file could not be opened!
C:\WINDOWS\system32\EV02\EV022328.exe
    [DETECTION] Is the TR/Dldr.VB.hzp.1 Trojan
    [NOTE]      The file was moved to '4934a014.qua'!
C:\WINDOWS\system32\m2\YIE45V15.exe
    [DETECTION] Is the TR/Dldr.Agent.afzg Trojan
    [NOTE]      The file was moved to '4949a00b.qua'!
C:\WINDOWS\system32\pci\PDI5MDi2.exe
    [DETECTION] Is the TR/Dldr.CWS.gen.2 Trojan
    [NOTE]      The file was moved to '494da00e.qua'!


End of the scan: dimanche 26 octobre 2008  17:51
Used time:  7:27:45 Hour(s)

The scan has been done completely.

   1848 Scanning directories
 169873 Files were scanned
  21927 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
  21927 files were moved to quarantine
      0 files were renamed
      2 Files cannot be scanned
 147944 Files not concerned
  23182 Archives were scanned
      2 Warnings
  21927 Notes

jacques.gache · Answer

bonjour, ok comment va le pc ???
passes malwarebytes en mode sans echec

Télécharge Malwarebytes' Anti-Malware: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

. sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
. enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation  de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminée,fermes Malwarebytes
. redemarres en mode sans échec  pour savoir comment au cas ou tu ne saurrais pas regarde plus bas
. une fois en mode sans echec tu double-cliques sur l'icône de malwarebytes
. une fois ouvert rend-toi dans l'onglet, Recherche
. Sélectionnes  Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc
. une fois redémarré en mode normal double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

pour redémarrer en mode sans échec : /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 
 


. Cliques sur Démarrer
. Cliques sur Arrêter
. Sélectionnes Redémarrer et au redémarrage
. Appuis sur la touche F8 sans discontinuer "1 appuis seconde" dès qu'un écran de texte apparaît puis disparaît
. Utilises les touches de direction pour sélectionner mode sans échec
. puis appuis sur ENTRÉE
. Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre
une fois démarré ne t'inquiette pas si les couleurs et les icônes ne sont pas comme d'abitude 

tuto:http://www.vista-xp.fr/forum/topic93.html

matzingueur · Answer

bonsoir, voici le rapport malware :

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1325
Windows 5.1.2600 Service Pack 2

27/10/2008 20:20:04
mbam-log-2008-10-27 (20-20-04).txt

Type de recherche: Examen complet (C:\|F:\|)
Eléments examinés: 114854
Temps écoulé: 6 hour(s), 25 minute(s), 35 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 39
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 10
Fichier(s) infecté(s): 52

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\opnmLfef.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ddcBSmMc.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\kwtsht.dll (Trojan.Vundo) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{061a5f0f-56a1-4dac-bdbf-890b555509c2} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{061a5f0f-56a1-4dac-bdbf-890b555509c2} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b40b865d-b0d3-4ed1-a8cb-9ef352bc6ea9} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcbsmmc (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{b40b865d-b0d3-4ed1-a8cb-9ef352bc6ea9} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cc022971-d21e-4099-8a0a-8c999a93c630} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{cc022971-d21e-4099-8a0a-8c999a93c630} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\oincs.oinanalytics (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6b221e01-f517-4959-8c41-81948e7f2f17} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6b221e01-f517-4959-8c41-81948e7f2f17} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6b221e01-f517-4959-8c41-81948e7f2f17} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\oincs.oinanalytics.1 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{17e44256-51e0-4d46-a0c8-44e80ab4ba5b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2e4a04a1-a24d-45ae-aca4-949778400813} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e0f01490-dcf3-4357-95aa-169a8c2b2190} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{63334394-3da3-4b29-a041-03535909d361} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{80ef304a-b1c4-425c-8535-95ab6f1eefb8} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{f7fa36a4-3177-4b57-b9c1-e9c5b2e0d3a9} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{ff46f4ab-a85f-487e-b399-3f191ac0fe23} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{15421b84-3488-49a7-ad18-cbf84a3efaf6} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b40b865d-b0d3-4ed1-a8cb-9ef352bc6ea9} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{cc022971-d21e-4099-8a0a-8c999a93c630} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\oinanalytics (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\OINAnalytics.DLL (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\BHO_MyJavaCore.DLL (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID	estCPV6.DLL (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\GetPack (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpeedRunner (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iCheck (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\SpeedRunner (Adware.SurfAccuracy) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoftdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor (Trojan.Service) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gool (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{b40b865d-b0d3-4ed1-a8cb-9ef352bc6ea9} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\getpack23 (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\opnmlfef -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\opnmlfef  -> Delete on reboot.

Dossier(s) infecté(s):
C:\Program Files\Network Monitor (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Program Files\Webtools (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\' (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\OINAnalytics (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\GetPack (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Mjcore (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\NetMon (Trojan.NetMon) -> Quarantined and deleted successfully.
C:\Documents and Settings\mattzingueur\Application Data\Facegame (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\mattzingueur\Application Data\speedrunner (Adware.SurfAccuracy) -> Quarantined and deleted successfully.
C:\Documents and Settings\mattzingueur\Application Data\Gool (Trojan.Agent) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\opnmLfef.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\fefLmnpo.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fefLmnpo.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ddcBSmMc.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\kwtsht.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\lapwtckl.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lkctwpal.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\spdmdaga.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\agadmdps.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\mattzingueur\Application Data\Gool\Gool.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Program Files\OINAnalytics\OINAnalytics2.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\Program Files\Mjcore\Mjcore.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Program Files\Webtools\webtools.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Documents and Settings\mattzingueur\Local Settings\Temp\__147.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP37\A0011595.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP37\A0011604.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP37\A0011623.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP37\A0012612.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP37\A0014650.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP40\A0014729.dll (Adware.CommAd) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP40\A0014730.exe (Adware.CommAd) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP41\A0016667.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP44\A0016908.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP44\A0016915.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP44\A0016923.dll (Adware.ClickSpring) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP44\A0016957.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP44\A0016965.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP44\A0018961.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP44\A0018963.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP44\A0018965.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP44\A0018969.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP44\A0018971.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP44\A0018972.exe (Adware.ZenoSearch) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP44\A0018973.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5B4D3091-F9F9-4291-AD27-8E62EC6B9267}\RP45\A0018990.dll (Adware.CommAd) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\brqymtfp.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\efcASmmn.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jkkJdCTL.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mlJYPFya.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32
nnlmJYS.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vtUolMda.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Program Files\OINAnalytics\Uninstall.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\GetPack\dictame.gz (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\GetPack\GetPack23.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\GetPack	rgtame.gz (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\NetMon\domains.txt (Trojan.NetMon) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\NetMon\log.txt (Trojan.NetMon) -> Quarantined and deleted successfully.
C:\Documents and Settings\mattzingueur\Application Data\speedrunner\config.cfg (Adware.SurfAccuracy) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winpfz33.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\zxdnt3d.cfg. (Adware.ZenoSearch) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msnav32.ax (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\zxdnt3d.cfg (Malware.Trace) -> Quarantined and deleted successfully.

l'ordinateur a l'air de se porté mieux je n'ai plus toutes ces fenetres intenpestives, est-ce la fin ou me rejouis-je trop vite?  merci encore

jacques.gache · Answer

bonjour, tu m'étonnes que le pc aille mieu , mais peux tu mettre un nouveau hijackthis pour controlé tout ça et puis te donner les dernières démarches à effectuer pour finir le nettoyage

jacques.gache · Answer

bon il y a encore un truc une toolbar tu passes toolbar S&D tu me postes les deux rapports suivi d'un nouveau hijackthis, consernant tes protections je vois que tu as antivir très bien et terminator perso je ne le connais pas fait il fonction résident "temps réel" , sinon tu devrais en plus un pare-feu comme zone alarme ou kério

passes toolbar comme expliqué et postes les rapports et un nouveau hijackthis, Merci

Télécharge ToolBar-S&D ( Merci à Eric_71, Angeldark, Sham_Rock et XmichouX )
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 

Lances l'installation du programme en exécutant le fichier téléchargé. 
Double-clique maintenant sur le raccourci de Toolbar-S&D. 
Sélectionnes la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. 
Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche. 
Postes le rapport généré. (C:\TB.txt) 

Suppression 

Relance Toolbar-S&D en double-cliquant sur le raccourci. Tape sur "2" puis valide en appuyant sur "Entrée". 
! Ne ferme pas la fenêtre lors de la suppression ! 
Un rapport sera généré, poste son contenu ici. 

NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. 
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." 
Tape explorer puis valide. 



 Aide en images: https://sites.google.com/site/toolbarsd/aideenimages

matzingueur · Answer

oui spyware terminator fais bien la fonction resident voici le premier rapport : -----------\ ToolBar S&D 1.2.4 XP/Vista Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2 X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3400+ ) BIOS : BIOS Date: 04/19/05 18:04:09 Ver: 08.00.12 USER : mattzingueur ( Administrator ) BOOT : Normal boot Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated) A:\ (USB) C:\ (Local Disk) - NTFS - Total:74 Go (Free:30 Go) D:\ (CD or DVD) E:\ (CD or DVD) F:\ (Local Disk) - NTFS - Total:18 Go (Free:12 Go) "C:\ToolBar SD" ( MAJ : 27-10-2008|09:25 ) Option : [1] ( 27/10/2008|21:28 ) -----------\ Recherche de Fichiers / Dossiers ... C:\Program Files\Crawler C:\Program Files\Crawler\adrkeys.dat C:\Program Files\Crawler\Cache C:\Program Files\Crawler\common_ff.dat C:\Program Files\Crawler\confirm.dat C:\Program Files\Crawler\ctbcomm.dll C:\Program Files\Crawler\ctbr.dll C:\Program Files\Crawler\CTConf.dat C:\Program Files\Crawler\CTipsDef.dll C:\Program Files\Crawler\CToolbar.exe C:\Program Files\Crawler\CUpdate.exe C:\Program Files\Crawler\Download C:\Program Files\Crawler\firefox C:\Program Files\Crawler\Languages C:\Program Files\Crawler\lookfor.dat C:\Program Files\Crawler\majorse.dat C:\Program Files\Crawler ootmenu.dat C:\Program Files\Crawler\services.dat C:\Program Files\Crawler\STWSGLanguageAct C:\Program Files\Crawler\stwsg_ff.dat C:\Program Files\Crawler\TBR5LanguageAct C:\Program Files\Crawler\TempDir C:\Program Files\Crawler\Update C:\Program Files\Crawler\WebSecurityGuard.dll C:\Program Files\Crawler\WSGData C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Crawler Toolbar C:\Program Files\DAEMON Tools Toolbar C:\Program Files\DAEMON Tools Toolbar\_DTLite.xml -----------\ Extensions (mattzingueur) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar -----------\ [..\Internet Explorer\Main] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Local Page"="C:\WINDOWS\system32\blank.htm" "Start Page"="https://www.google.fr/?gws_rd=ssl" "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home" --------------------\ Recherche d'autres infections C:\WINDOWS\system32\qWFMlUtv.ini C:\WINDOWS\system32\qWFMlUtv.ini2 [b]==> VUNDO <==/b 1 - "C:\ToolBar SD\TB_1.txt" - 27/10/2008|21:29 - Option : [1] second rapport -----------\ ToolBar S&D 1.2.4 XP/Vista Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2 X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3400+ ) BIOS : BIOS Date: 04/19/05 18:04:09 Ver: 08.00.12 USER : mattzingueur ( Administrator ) BOOT : Normal boot Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated) A:\ (USB) C:\ (Local Disk) - NTFS - Total:74 Go (Free:30 Go) D:\ (CD or DVD) E:\ (CD or DVD) F:\ (Local Disk) - NTFS - Total:18 Go (Free:12 Go) "C:\ToolBar SD" ( MAJ : 27-10-2008|09:25 ) Option : [2] ( 27/10/2008|21:31 ) -----------\ SUPPRESSION Supprime! - C:\Program Files\Crawler\adrkeys.dat Supprime! - C:\Program Files\Crawler\Cache Supprime! - C:\Program Files\Crawler\common_ff.dat Supprime! - C:\Program Files\Crawler\confirm.dat Supprime! - C:\Program Files\Crawler\ctbcomm.dll Supprime! - C:\Program Files\Crawler\ctbr.dll Supprime! - C:\Program Files\Crawler\CTConf.dat Supprime! - C:\Program Files\Crawler\CTipsDef.dll Supprime! - C:\Program Files\Crawler\CToolbar.exe Supprime! - C:\Program Files\Crawler\CUpdate.exe Supprime! - C:\Program Files\Crawler\Download Supprime! - C:\Program Files\Crawler\firefox Supprime! - C:\Program Files\Crawler\Languages Supprime! - C:\Program Files\Crawler\lookfor.dat Supprime! - C:\Program Files\Crawler\majorse.dat Supprime! - C:\Program Files\Crawler ootmenu.dat Supprime! - C:\Program Files\Crawler\services.dat Supprime! - C:\Program Files\Crawler\STWSGLanguageAct Supprime! - C:\Program Files\Crawler\stwsg_ff.dat Supprime! - C:\Program Files\Crawler\TBR5LanguageAct Supprime! - C:\Program Files\Crawler\TempDir Supprime! - C:\Program Files\Crawler\Update Supprime! - C:\Program Files\Crawler\WebSecurityGuard.dll Supprime! - C:\Program Files\Crawler\WSGData Supprime! - C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Crawler Toolbar Supprime! - C:\Program Files\DAEMON Tools Toolbar\_DTLite.xml Supprime! - C:\Program Files\Crawler Supprime! - C:\Program Files\DAEMON Tools Toolbar -----------\ Recherche de Fichiers / Dossiers ... -----------\ Extensions (mattzingueur) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar -----------\ [..\Internet Explorer\Main] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Local Page"="C:\WINDOWS\system32\blank.htm" "Start Page"="https://www.google.fr/?gws_rd=ssl" "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" "Start Page"="https://www.msn.com/fr-fr/" --------------------\ Recherche d'autres infections C:\WINDOWS\system32\qWFMlUtv.ini C:\WINDOWS\system32\qWFMlUtv.ini2 [b]==> VUNDO <==/b 1 - "C:\ToolBar SD\TB_1.txt" - 27/10/2008|21:29 - Option : [1] 2 - "C:\ToolBar SD\TB_2.txt" - 27/10/2008|21:33 - Option : [2] -----------\ Fin du rapport a 21:33:23,30

jacques.gache · Answer

ok c'est bon tu me mets le nouveau hijackthis pour que je te donnes les lignes à fixer et la finalisation de la désinfection

matzingueur · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:47:39, on 27/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Curse\CurseClient.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\BitComet\BitComet.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.2.2.28.dll
O2 - BHO: (no name) - {63fbca1a-3139-fc82-3c72-ce389195faab} - (no file)
O2 - BHO: (no name) - {6BF4C548-5CA5-725E-8E3A-5CC077508293} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {AA52AE10-5461-4D44-833B-D611D573939A} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CurseClient] C:\Program Files\Curse\CurseClient.exe -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32
cntmtdl.exe
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\dwwnw64r.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet	ools\BitCometBHO_1.2.2.28.dll/206 (file missing)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O20 - AppInit_DLLs: kwtsht.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

jacques.gache · Answer

il faudra que tu mettes Internet Explorer à jour en passe à IE7 regarde pourquoi garder IE à JOUR
rends toi sur ce site et met IE7  http://www.microsoft.com/downloads/details.aspx?familyid=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=fr

sinon pour l'instant tu relance hijackthis comme expliqué pour Fixer les lignes

.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux 
.Lances HijackThis 
.Cliques sur "Do a system scan only" 
.Tu coches les lignes suivantes : 
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {63fbca1a-3139-fc82-3c72-ce389195faab} - (no file)
O2 - BHO: (no name) - {6BF4C548-5CA5-725E-8E3A-5CC077508293} - (no file)
O2 - BHO: (no name) - {AA52AE10-5461-4D44-833B-D611D573939A} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)

.Tu cliques sur "Fix Checked" 
.Tu fermes HijackThis 

des expliquations en images : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm


*******************************************************************************************
  
ouvres malwarebytes et vides la quarantaine


*******************************************************************************************

désinstalles tout les outils utilisés avec toolscleaner2 lui tu le supprimeras manuellement de sur le bureau

Télécharge toolscleaner sur ton Bureau :  http://bibou0007.com/outils-specifiques-f78/tutorial-toolscleaner-2-t375.htm

si le lien ne marche pas essais avec celui ci  http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

. Double-cliques sur ToolsCleaner2.bat et laisse le travailler 
. Cliques sur Recherche et laisse le scan se terminer. 
. Cliques sur Suppression pour finaliser. 
. Tu peux, si tu le souhaites, te servir des Options facultatives. 
. Clique sur Quitter, pour que le rapport puisse se créer. 
. Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse




*******************************************************************************************

redémarres le PC et passes ccleaner avec ces réglages LA


télécharge Ccleaner à partir de cette adresses

https://www.01net.com/outils/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/tele32599.html


.enregistres le sur le bureau
.double-cliques sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur intaller
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.cochesla première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI " tu pourras dans 24 ou 48 h supprimer cette sauvegarde si pas de problème sur le pc "
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vériffis en relancant  rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé  tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner

pour aider si besion tutoriel: https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

*******************************************************************************************
  

purges la restauration système pour supprimer ce que malwarebytes à trouvé dedans "System Volume Information\_restore" et repartir sur un point de restauration sain en suivant cette procédure

Supprimer les anciens points de restauration 

(1) Désactiver la Restauration du système

cliques sur Démarrer
Cliques droit sur Poste de travail 
cliques sur Propriétés
Cliques sur l'onglet Restauration du système
Coches Désactiver la Restauration du système sur tous les lecteurs
Cliques sur Appliquer, Lorsque le message de confirmation apparaît, 
cliques sur Oui.
Cliques sur OK.


(2) Activer la Restauration du système


cliques sur Démarrer
Cliques droit sur Poste de travail 
cliques sur Propriétés
Cliques sur l'onglet Restauration du système
Décoches Désactiver la Restauration du système sur tous les lecteurs
Cliques sur Appliquer, Lorsque le message de confirmation apparaît,
cliques sur Oui.
Cliques sur OK.

jacques.gache · Answer

bonjour, pour soundman c'est parce que c'est inutil au démarrage ça prend de la puissance au pc pour rien comme expliqué http://translate.google.com/...
 perso sur les 5 pc de la maison j'ai tout ou presque bloqué au démarrage j'ai juste laissé mon anti-virus , mon pare-feu, mon anti-spyware, une tollbar de google, et ccleaner car en automatique à la maison et puis un trucs systéme ctfmon qui si tu le bloque il revient automatiquement pour ça j'utilise ccleaner sur outil , démarrage et la je cliques sur la ligne à bloquer et puis je déactives  si tu veux je pourrais te poster une capture d'écran de ce que j'ai dans le démarrage

jorginho67 · Answer

Hello les gars ;-)

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe 

C'est un service de FranceTelecom, bien inutile, qui malheureusement est à l'origine de plantage sur certaines machines ... (aucun probleme à l'enlever, tout fonctionnera parfaitement). Il collecte des infos sur ton PC.
Ce service n est pas infectueux mais il peut entrainer des dysfonctionnements sur le systeme! Par ailleurs, il est installé sans le consentement de l utilisateur avec une update de wanadoo!

Clic sur « Démarrer » => « Exécuter » ; ensuite, dans la lucarne de saisie, coller ce qui est en gras :(recommencer pour chacune des trois commandes suivantes) :
# 1- sc stop FTRTSVC > valider par OK
# 2- sc config FTRTSVC start= disabled > valider par OK
# 3- sc delete FTRTSVC > valider par OK 
=========================
Jacques, que pense tu de O20 - AppInit_DLLs: kwtsht.dll 

https://www.google.fr/search?client=firefox-a&rls=org.mozilla%3Afr%3Aofficial&channel=s&hl=fr&q=O20+-+AppInit_DLLs%3A+kwtsht.dll+&meta=&btnG=Recherche+Google&gws_rd=ssl

jacques.gache · Answer

jorginho67 bonsoir, consernant la 020 désolé d'être passé à coté j'aurai du la faire fixer par sécurité car in connu , sinon pour la 023 pour moi elle est légitime http://www.castlecops.com/O23.html  mais si tu me dis qu'il est préférable de  supprimer ok mais as tu un article sur cela !!

jorginho67 · Answer

Pas d'articles sous la main, mais j'ai toujours vu mes "Profs" faire désactiver ce service.
J'essairais de trouver une doc pour toi ;-)

En attendant, un lien  ( qui date un peu ), mais tu y verras les coms de Tesgaz ( un ponte ), Jack Burton ( également ) et Angélique ( la posteuse initiale ) qui aujourd'hui est une maître en matière de désinfection.
J'ai appris pas mal de trucs avec eux ;-)

Afideg, Le Sioux, et d'autres font de même.

@+

jacques.gache · Answer

jorginho67 ok message reçu je ferais de même la prochaine fois

jacques.gache · Answer

matzingueur la capture d'écran https://imageshack.com/

Pages internet qui s'ouvrent toutes seules

23 réponses

Discussions similaires