Antispyware XP 2009

Résolu
laucath59 -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,
j'ai été infecté par un virus antispyware XP 2009. j'ai regardé dans le forum et j'ai essayé qq conseils donnés sur ce post. Jer n'ai pas réussi à télécharger Hijackthis. j'ai téléchargé http://ww25.evosla.com/pca.php et j'ai scanné mon ordi. Ensuite j'ai téléchargé CCleaner et j'ai réparé kles erreurs jusqu'à ce qu'il n'y en ait plus. J'ai ensuite téléchargé Spybot mais je n'arrive pas à l'installer. Puis je passer en mode sans échec sans avoir désactivé le tea timer ?
d'avance merci pour vos réponses.
Configuration: Windows Vista
Internet Explorer 7.0

50 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Le sujet décrit une infection par un virus antispyware XP 2009 et les difficultés rencontrées pour télécharger et exécuter des outils de nettoyage adaptés sur Windows. Plusieurs conseils sont proposés, notamment la réexécution d'un nettoyage avec CCleaner, l'utilisation de UsbFix et l'envoi de fichiers à VirusTotal, tout en recommandant le passage en mode sans échec et la déconnexion des périphériques externes. Des éléments avancés incluent des vérifications du registre, des rapports d'analyse et des instructions pour isoler les fichiers suspects et redémarrer le système, tout en restant prudent sur les outils non vérifiés. En parallèle, des conseils évoquent l'importance de ne pas ouvrir les supports externes et d'obtenir des rapports détaillés avant toute action corrective, afin d'éviter la propagation.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Al-catraz Messages postés 1625 Statut Membre 283
     
    Et est ce que il est toujours sur ton ordi?
    0
  2. laucath59
     
    merci pour ta rapidité. Oui, il est toujours là. et je ne sais pas si je peux redémarrer en mode sans échec sans avoir désactivé le tea timer ?
    0
  3. Julien
     
    Salut,

    Si tu executes "msconfig" (tu l'entres en bas du menu demarrer sur Windows Vista) tu as un onglet "demarrage" en haut à droite de la fenêtre : tu pourra retirer des elements qui s'executent tout seul au demarrage de ton ordinateur. Tu verra surement ton antivirus, des pilotes d'imprimantes ou de carte video, tu verra peut être aussi des fichiers bizarres situés dans un dossier du genre "Winantispyware", ceux là tu peux les retirer :) en fait tu peux retirer tout ce dont tu n'a pas confiance. Si jamais il s'avère que tu pouvais le laisser, tu peux retrourner dans msconfig et recocher la case.
    0
  4. laucath59
     
    je n'ai pas Vista. je suis sur Windows XP. Faut il faire la même manip?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Salut,

    le "tea timer" est la protection qu'offre Spybot S&D ....donc t'occupe pas de cela vu que tu n'es pas arrivé à l'installler ...

    D' ailleurs n'installes rien pour le moment et tant que la désinfection n'est pas terminée ... ^^

    Fais ceci :

    -> postes le rapport que tu as obtenu avec PCA pour analyse et attends la suite ...
    0
  7. laucath59
     
    Merci pour ta réponse. Je suis sur Windows XP. Dois je faire la même manip ?
    0
  8. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re ,

    j'ai rectifie mon message ... ^^

    pas de protocole particulier pour XP ....

    postes le rapport de PCA stp
    0
  9. laucath59
     
    ci joint le rapport du PCA. Merci

    # PCA Sécurité V 1.2.11, (fichier LOG).
    # Rapport du :30/10/2008 16:43:39
    Microsoft Windows XP Service Pack 3

    ==>> Processus <==
    \SystemRoot\System32\smss.exe
    \??\C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
    C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
    C:\Program Files\Logitech\QuickCam\Quickcam.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\Program Files\QuickTime\QTTask.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
    C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
    C:\WINDOWS\system32\drivers\svchost.exe
    C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
    C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\BRUNELLE\LOCALS~1\Temp\Rar$EX00.312\pca.exe

    //pages de démarrage et de recherche d'Internet Explorer
    RO - HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.google.com/?gws_rd=ssl
    RO - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    RO - HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.google.com/?gws_rd=ssl
    RO - HKCU\Software\Microsoft\Internet Explorer\Toolbar\LinksFolderName = Liens
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Search Page = https://www.google.com/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Search_URL = http://www.google.com/toolbar/ie8/sidebar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Search Page = https://www.google.com/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search\CustomizeSearch = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant = https://www.google.com/?gws_rd=ssl
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard\ShellNext = iexplore
    //applications lancées depuis system.ini,win.ini
    //03 - Browser Helper Objects (BHOs)
    02 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar : Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O3 - Toolbar : eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
    O3 - Toolbar : &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O3 - Toolbar : Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar : Afficher Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
    //04 - applications chargées automatiquement
    04 - HKLM\..\RUN: [Raccourci vers la page des propriétés de High Definition Audio] - HDAShCut.exe
    04 - HKLM\..\RUN: [NvCplDaemon] - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    04 - HKLM\..\RUN: [nwiz] - nwiz.exe /install
    04 - HKLM\..\RUN: [SoundMan] - SOUNDMAN.EXE
    04 - HKLM\..\RUN: [Alcmtr] - ALCMTR.EXE
    04 - HKLM\..\RUN: [SynTPLpr] - C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    04 - HKLM\..\RUN: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    04 - HKLM\..\RUN: [RemoteControl] - "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    04 - HKLM\..\RUN: [InstantOn] - "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
    04 - HKLM\..\RUN: [NeroFilterCheck] - C:\WINDOWS\system32\NeroCheck.exe
    04 - HKLM\..\RUN: [OdTray.exe] - "C:\Program Files\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
    04 - HKLM\..\RUN: [Adobe Photo Downloader] - "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    04 - HKLM\..\RUN: [LogitechCommunicationsManager] - "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
    04 - HKLM\..\RUN: [LogitechQuickCamRibbon] - "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
    04 - HKLM\..\RUN: [SunJavaUpdateSched] - "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    04 - HKLM\..\RUN: [ccApp] - "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    04 - HKLM\..\RUN: [osCheck] - "C:\Program Files\Norton Internet Security\osCheck.exe"
    04 - HKLM\..\RUN: [QuickTime Task] - "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    04 - HKLM\..\RUN: [iTunesHelper] - "C:\Program Files\iTunes\iTunesHelper.exe"
    04 - HKLM\..\RUN: [AntiSpywareXP 2009] - "C:\Program Files\AntiSpywareXP2009\AntiSpywareXP2009.exe" /hide
    04 - HKLM\..\RUN: [brastk] - brastk.ex
    04 - HKCU\..\RUN: [CTFMON.EXE] - C:\WINDOWS\system32\ctfmon.exe
    04 - HKCU\..\RUN: [fsc-reminder.exe] - C:\WINDOWS\reminder\fsc-reminder.exe 2453729 14
    04 - HKCU\..\RUN: [swg] - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    04 - HKCU\..\RUN: [SsAAD.exe] - C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
    04 - HKCU\..\RUN: [updateMgr] - "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
    04 - HKCU\..\RUN: [Sony Ericsson PC Suite] - "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
    04 - HKCU\..\RUN: [SVCHOST.EXE] - C:\WINDOWS\system32\drivers\svchost.exe
    04 - HKLM\..\RunServices: [CTFMON.EXE] - C:\WINDOWS\system32\ctfmon.exe
    04 - HKLM\..\RunServices: [fsc-reminder.exe] - C:\WINDOWS\reminder\fsc-reminder.exe 2453729 14
    04 - HKLM\..\RunServices: [swg] - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    04 - HKLM\..\RunServices: [SsAAD.exe] - C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
    04 - HKLM\..\RunServices: [updateMgr] - "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
    04 - HKLM\..\RunServices: [Sony Ericsson PC Suite] - "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
    04 - HKLM\..\RunServices: [SVCHOST.EXE] - C:\WINDOWS\system32\drivers\svchost.exe
    04 - HKCU\..\RunServices: [CTFMON.EXE] - C:\WINDOWS\system32\ctfmon.exe
    04 - HKCU\..\RunServices: [fsc-reminder.exe] - C:\WINDOWS\reminder\fsc-reminder.exe 2453729 14
    04 - HKCU\..\RunServices: [swg] - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    04 - HKCU\..\RunServices: [SsAAD.exe] - C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
    04 - HKCU\..\RunServices: [updateMgr] - "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
    04 - HKCU\..\RunServices: [Sony Ericsson PC Suite] - "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
    04 - HKCU\..\RunServices: [SVCHOST.EXE] - C:\WINDOWS\system32\drivers\svchost.exe
    04 - HKUS\S-1-5-18\..\RUN: [CTFMON.EXE] - HDAShCut.exe
    04 - HKUS\S-1-5-18\..\RUN: [brastk] - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    04 - HKUS\S-1-5-19\..\RUN: [CTFMON.EXE] - HDAShCut.exe
    04 - HKUS\S-1-5-20\..\RUN: [CTFMON.EXE] - HDAShCut.exe
    04 - HKUS\S-1-5-21-1695547400-3703511322-1684789682-1007\..\RUN: [CTFMON.EXE] - HDAShCut.exe
    04 - HKUS\S-1-5-21-1695547400-3703511322-1684789682-1007\..\RUN: [fsc-reminder.exe] - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    04 - HKUS\S-1-5-21-1695547400-3703511322-1684789682-1007\..\RUN: [swg] - nwiz.exe /install
    04 - HKUS\S-1-5-21-1695547400-3703511322-1684789682-1007\..\RUN: [SsAAD.exe] - SOUNDMAN.EXE
    04 - HKUS\S-1-5-21-1695547400-3703511322-1684789682-1007\..\RUN: [updateMgr] - ALCMTR.EXE
    04 - HKUS\S-1-5-21-1695547400-3703511322-1684789682-1007\..\RUN: [Sony Ericsson PC Suite] - C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    04 - HKUS\S-1-5-21-1695547400-3703511322-1684789682-1007\..\RUN: [SVCHOST.EXE] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    04 - Global Startup: KODAK Software Updater.lnk= C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\KODAK Software Updater.lnk
    04 - Global Startup: Lancement rapide d'Adobe Reader.lnk= C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
    04 - Global Startup: Logiciel Kodak EasyShare.lnk= C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Logiciel Kodak EasyShare.lnk
    04 - Global Startup: Microsoft Office.lnk= C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
    //05 - Accès au panneau de contrôle d'Internet Explorer (control.ini)
    //06- interdiction à l' accès au options (Internet Explorer)
    //07 - blocage de l'exécution de Regedit
    //08 - lignes supplémentaires dans le menu contextuel d'Internet Explorer
    08 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    08 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    08 - Extra context menu item: Recherche sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
    //09 - boutons situés sur la barre d'outils principale d'Internet Explorer
    09 - Extra button: - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    09 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    09 - Extra button: - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
    09 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
    09 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    09 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    //O10 - Pirates de Winsock
    //O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer)
    O11 - Options group: [INTERNATIONAL] - International*
    //O12 - IE plugins
    //013 : DefaultPrefix
    //014 - Option : (Rétablir les paramètres Web)
    //015 - Zone de confiance d'Internet Explorer
    //O16 - Objets ActiveX
    O16 - DPF : QuickTime Object - {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - C:\Program Files\QuickTime\QTPlugin.ocx
    O16 - DPF : MeadCo ScriptX - {1663ed61-23eb-11d2-b92f-008048fdd814} - C:\WINDOWS\system32\MCScripX.dll
    O16 - DPF : Shockwave ActiveX Control - {166B1BCA-3F9C-11CF-8075-444553540000} - C:\WINDOWS\system32\Adobe\Director\SwDir.dll
    O16 - DPF : Shockwave ActiveX Control - {233C1507-6A77-46A4-9443-F871F945D258} - C:\WINDOWS\system32\Adobe\Director\SwDir.dll
    O16 - DPF : UnoCtrl Class - {5D6F45B3-9043-443D-A792-115447494D24} - C:\WINDOWS\Downloaded Program Files\GAME_UNO1.dll
    O16 - DPF : Symantec Download Manager - {6A344D34-5231-452A-8A57-D064AC9B7862} - C:\WINDOWS\Downloaded Program Files\symdlmgr.dll
    O16 - DPF : VirginMega.DMFacade.Interface - {87AF076E-D86D-4E87-ADDD-F05804E1F150} -
    O16 - DPF : MessengerStatsClient Class - {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - C:\WINDOWS\Downloaded Program Files\messengerstatsclient.dll
    O16 - DPF : Aurigma Image Uploader 3.5 Control - {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} - C:\WINDOWS\Downloaded Program Files\ImageUploader3.ocx
    O16 - DPF : DeskUpdate- Activex Control - {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} - C:\WINDOWS\DOWNLO~1\activex.ocx
    O16 - DPF : PB_Uploader Class - {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} - C:\WINDOWS\Downloaded Program Files\uploader_uni.ocx
    O16 - DPF : Shockwave Flash Object - {D27CDB6E-AE6D-11CF-96B8-444553540000} - C:\WINDOWS\system32\Macromed\Flash\Flash9e.ocx
    O16 - DPF : Image Uploader Control - {EDFCB7CB-942C-4822-AF14-F0B687409848} - C:\WINDOWS\Downloaded Program Files\ImageUploader4.ocx
    //O17 - piratage de domaine Lop.com
    //O18 - protocoles additionnels
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} -
    O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\FICHIE~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
    //O19 - feuille de style de l'utilisateur
    //O20 - valeur de Registre AppInit_DLLs et les sous-clés Winlogon Notify
    O20 - AppInit_DLLs : karna.da
    //O21 - ShellServiceObjectDelayLoad
    //O22 - SharedTaskScheduler
    O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
    O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
    //O23 - services de XP,NT, 2000, et 2003
    O23 - Service: [Service de la passerelle de la couche Application] - %SystemRoot%\System32\alg.exe
    O23 - Service: [Apple Mobile Device] - "C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"
    O23 - Service: [ASP.NET State Service] - %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
    O23 - Service: [Automatic LiveUpdate Scheduler] - "C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe"
    O23 - Service: [Symantec Network Proxy] - "C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe"
    O23 - Service: [Gestionnaire de l'Album] - %SystemRoot%\system32\clipsrv.exe
    O23 - Service: [COM Host] - "C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe"
    O23 - Service: [Application système COM+] - C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
    O23 - Service: [Fax] - %systemroot%\system32\fxssvc.exe
    O23 - Service: [Google Updater Service] - "C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe"
    O23 - Service: [InstallDriver Table Manager] - "C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe"
    O23 - Service: [Service COM de gravage de CD IMAPI] -
    O23 - Service: [Service de l'iPod] - "C:\Program Files\iPod\bin\iPodService.exe"
    O23 - Service: [LVCOMSer] - "C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe"
    O23 - Service: [Process Monitor] - "C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe"
    O23 - Service: [LVSrvLauncher] - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
    O23 - Service: [Machine Debug Manager] - "C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE"
    O23 - Service: [Partage de Bureau à distance NetMeeting] - C:\WINDOWS\system32\mnmsrvc.exe
    O23 - Service: [] - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
    O23 - Service: [Distributed Transaction Coordinator] - C:\WINDOWS\system32\msdtc.exe
    O23 - Service: [NVIDIA Display Driver Service] - %SystemRoot%\system32\nvsvc32.exe
    O23 - Service: [Odyssey Client for Fujitsu Siemens Computers] - "C:\Program Files\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe"
    O23 - Service: [] - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
    O23 - Service: [Planificateur LiveUpdate automatique] - "C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
    O23 - Service: [Gestionnaire de session d'aide sur le Bureau à distance] - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: [Localisateur d'appels de procédure distante (RPC)] - %SystemRoot%\system32\locator.exe
    O23 - Service: [QoS RSVP] - %SystemRoot%\system32\rsvp.exe
    O23 - Service: [Spouleur d'impression] - %SystemRoot%\system32\spoolsv.exe
    O23 - Service: [Sony SPTI Service] - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
    O23 - Service: [SonicStage SCSI Service] - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
    O23 - Service: [MS Software Shadow Copy Provider] - C:\WINDOWS\system32\dllhost.exe /Processid:{4EC5626F-D94E-451D-ABEE-2B394D3A43BA}
    O23 - Service: [Symantec Core LC] - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe
    O23 - Service: [Symantec RemoteAssist] - "C:\Program Files\Fichiers communs\Symantec Shared\Support Controls\ssrc.exe"
    O23 - Service: [Journaux et alertes de performance] - %SystemRoot%\system32\smlogsvc.exe
    O23 - Service: [Onduleur] - %SystemRoot%\System32\ups.exe
    O23 - Service: [Service Messenger Sharing Folders USN Journal Reader] - "C:\Program Files\MSN Messenger\usnsvc.exe"
    O23 - Service: [Cliché instantané de volume] - %SystemRoot%\System32\vssvc.exe
    O23 - Service: [Carte de performance WMI] - C:\WINDOWS\system32\wbem\wmiapsrv.exe
    O23 - Service: [Service Partage réseau du Lecteur Windows Media] - "C:\Program Files\Windows Media Player\WMPNetwk.exe"
    0
  10. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Bien ...

    on commence :

    Télécharges SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
    http://siri.urz.free.fr/Fix/SmitfraudFix.exe

    Installes le soft sur ton bureau ( et pas ailleurs! ) .

    !! Déconnectes toi, fermes toute tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!

    Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
    Autre tuto animé ( merci balltrapp34 ;) ) : http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm

    Utilisation ---> option 1 / Recherche :
    Double cliques sur l'icône "Smitfraudfix.exe" et sélectionnes 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.

    Postes le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

    (Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)
    0
  11. laucath59
     
    ok ci joint rapport

    SmitFraudFix v2.369

    Rapport fait à 18:43:44,03, 30/10/2008
    Executé à partir de C:\Documents and Settings\BRUNELLE\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
    C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
    C:\Program Files\Logitech\QuickCam\Quickcam.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\Program Files\QuickTime\QTTask.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
    C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
    C:\WINDOWS\system32\drivers\svchost.exe
    C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
    C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
    C:\DOCUME~1\BRUNELLE\LOCALS~1\Temp\Rar$EX00.312\pca.exe
    C:\Documents and Settings\BRUNELLE\Bureau\SmitfraudFix\Policies.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    C:\WINDOWS\karna.dat PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    C:\WINDOWS\system32\brastk.exe PRESENT !
    C:\WINDOWS\system32\karna.dat PRESENT !
    C:\WINDOWS\system32\_scui.cpl PRESENT !
    C:\WINDOWS\system32\drivers\svchost.exe PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\BRUNELLE

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\BRUNELLE\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\BRUNELLE\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    AntiXPVSTFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="karna.dat"

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    C:\WINDOWS\system32\drivers\beep.sys infecté !

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 212.27.40.240
    DNS Server Search Order: 212.27.40.241

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{079C7812-1AE9-46ED-8448-0B63E1A3A5C2}: DhcpNameServer=212.27.40.240 212.27.40.241
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{E602453A-FD1A-4FA9-ACB0-73EBCEF0D87A}: DhcpNameServer=212.27.53.252 212.27.54.252
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{079C7812-1AE9-46ED-8448-0B63E1A3A5C2}: DhcpNameServer=212.27.40.240 212.27.40.241
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{E602453A-FD1A-4FA9-ACB0-73EBCEF0D87A}: DhcpNameServer=212.27.53.252 212.27.54.252
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{079C7812-1AE9-46ED-8448-0B63E1A3A5C2}: DhcpNameServer=212.27.40.240 212.27.40.241
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{E602453A-FD1A-4FA9-ACB0-73EBCEF0D87A}: DhcpNameServer=212.27.53.252 212.27.54.252
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  12. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ...

    Dans l'ordre

    A- Suite de la manipe ( nettoyage ), fais exactement ce qui suit :

    Impératif : Démarrer en mode sans echec .

    /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

    Comment aller en Mode sans échec :
    1) Redémarres ton ordi .
    2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
    3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
    4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
    5) Choisis ton compte habituel ( et pas Administrateur ).
    attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

    ( note : si tu n'arrives pas à aller en mode sans échec , arrêtes la procédure et préviens moi ... )

    * Double-cliques sur SmitfraudFix.exe

    * Sélectionnes 2 et presses "Entrée" dans le menu pour supprimer les fichiers responsables de l'infection.

    --> Si besion :

    * A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presser Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

    ( Le correctif déterminera si le fichier wininet.dll est infecté.)

    * A la question: "Corriger le fichier infecté ?" répondre O (oui) et presser Entrée
    pour remplacer le fichier corrompu.

    * Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage ( sinon fais le manuellement )

    Le rapport se trouve à la racine de C\:
    (dans le fichier "rapport.txt")

    Postes moi ce dernier rapport pour analyse ....

    Une fois ce rapport posté , fais ce qui suit :

    B- Supprimes ton hijackthis et reprends ainsi :

    Télécharges et installes le logiciel HijackThis :

    ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
    ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
    ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

    1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
    A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
    Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
    "C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

    tuto pour utilisation :
    Regardes ici, c'est parfaitement expliqué en images (merci balltrap34),
    http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
    ( Ne fixes encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

    2- !! Déconnectes toi et fermes toute tes applications en cours !!

    Cliques sur le raccourci du bureau pour lancer le prg :
    fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

    ---> Postes le rapport généré pour analyse ...
    0
  13. laucath59
     
    J'ai bien redémarrer en mode sans échec et appuier sur la touche 2 mais une fenetre apparait :
    "Installater INF avancé" qui note : erreur d'annulation d'entregistrement de OCX
    C:/WINDOWS/SYSTEM32/Macromed/Flash/Flash9b.ocx avec comme réponse Ok (fenetre apparue pendant la phase nettoyage disk)

    est ce normal ? que dois je faire ?
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      click sur OK pour que la procédure puisse continuer ...
      0
  14. laucath59
     
    ci joint new rapport. (l'icone du virus est toujours présente mais nous avons récupéré norton)

    SmitFraudFix v2.369

    Rapport fait à 19:11:08,14, 30/10/2008
    Executé à partir de C:\Documents and Settings\BRUNELLE\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\WINDOWS\karna.dat supprimé
    C:\WINDOWS\system32\brastk.exe supprimé
    C:\WINDOWS\system32\_scui.cpl supprimé
    C:\WINDOWS\system32\drivers\svchost.exe supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

    AntiXPVSTFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{079C7812-1AE9-46ED-8448-0B63E1A3A5C2}: DhcpNameServer=212.27.40.240 212.27.40.241
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{E602453A-FD1A-4FA9-ACB0-73EBCEF0D87A}: DhcpNameServer=212.27.53.252 212.27.54.252
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{079C7812-1AE9-46ED-8448-0B63E1A3A5C2}: DhcpNameServer=212.27.40.240 212.27.40.241
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{E602453A-FD1A-4FA9-ACB0-73EBCEF0D87A}: DhcpNameServer=212.27.53.252 212.27.54.252
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{079C7812-1AE9-46ED-8448-0B63E1A3A5C2}: DhcpNameServer=212.27.40.240 212.27.40.241
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{E602453A-FD1A-4FA9-ACB0-73EBCEF0D87A}: DhcpNameServer=212.27.53.252 212.27.54.252
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""
    0
  15. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ....la suite stp ( hijackthis ) ;)
    0
  16. laucath59
     
    Désolé, j'avais oublié la suite... :(

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:30:25, on 30/10/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16735)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
    C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
    C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
    C:\Program Files\Logitech\QuickCam\Quickcam.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    C:\Program Files\QuickTime\QTTask.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\WINDOWS\brastk.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
    C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
    C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
    C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: Afficher Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
    O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [OdTray.exe] "C:\Program Files\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
    O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [brastk] brastk.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2453729 14
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
    O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
    O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
    O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: KODAK Software Updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Recherche sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega.DMFacade.Interface) - https://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
    O20 - AppInit_DLLs: karna.dat
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
    O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
    O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Odyssey Client for Fujitsu Siemens Computers (odClientService) - Funk Software, Inc. - C:\Program Files\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
    O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
    O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
    O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe
    O23 - Service: Symantec RemoteAssist - Symantec, Inc. - C:\Program Files\Fichiers communs\Symantec Shared\Support Controls\ssrc.exe
    0
  17. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bibjour,

    à ce stade, je voudrais vérifier un ou deux trucs.

    je pense que sKe69 sera d'accord.

    Fais ça :

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt
    0
  18. laucath59
     
    Désolé mais je ne peux pas ouvrir la fenetre.
    Quoi d'autre ?
    :(
    0
  19. laucath59
     
    Bonjour,
    j'ai réessayé ce matin et je ne peux pas me connecter sur l'adresse donnée et mon ordi est toujours infecté. Que dois je faire d'autre ?
    d'avance un grand merci pour votre aide.
    0
  20. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Salut,

    Si tu n'arrives pas à choper RSIT comme t'as demander Lyonnais92 ( que je salut au passage ;) ) , je pense que tu es infecté par une autre salté ( " TDSS " ) ....

    Fais ceci :

    Télécharges MalwareByte's :
    ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
    ou ici : http://www.malwarebytes.org/mbam.php

    Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

    Potasses le tuto pour te familiariser avec le prg :
    https://forum.pcastuces.com/sujet.asp?f=31&s=3
    https://www.androidworld.fr/
    ( cela dis, il est très simple d'utilisation ).

    Lances Malwarebyte's .

    Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ) et supprimes tout ce qu'il peut trouver, c'est à dire :
    -->Laisses le scan se terminer,puis à la fin tu cliques sur "résultat" .
    -->Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) accompagné d'un nouvel hijackthis pour analyse ...

    0
  21. laucath59
     
    salut,
    je ne peux ouvrir aucune des adresses que tu m'as envoyées. J'ai désactivé les pare feux de norton. Que faire ???
    0
  • 1
  • 2
  • 3