Infobulle harcelante en bas à droite...

Question

Bonjour et merci de vous être arrêté sur ce sujet...
Je voudrais que vous m'aidiez à résoudre un problème avec ma machine... sachant que je suis complètement novice en la matière et ne suis pas parvenue à le résoudre par moi-même. 

### Mes informations

J'ai un ordinateur portable lenovo qui a maintenant deux années de vie, 80 Go - enfin j'en doute affreusement là - et 1 Go de mémoire vive.
Le système d'exploitation est Windows XP.
Anti-virus: Je l'ai eu avec Norton Internet Security, et quand celui-ci a expiré j'ai pris Avast! Édition familiale.
Je le laisse se mettre à jour automatiquement.
Le pare-feu... j'imagine que c'est celui de windows... 


### Le, les problème(s)

Parce que je ne sais pas si tout est lié...
Comme le titre l'indique, j'ai, en bas à droite de mon écran, à côté de la pendule, un genre de petite croix blanche sur fond rouge... et un message qui s'ouvre juste au-dessus de façon régulière et obsédante. J'ai lu le message et en voyant quelques erreurs dedans je me suis méfiée... enfin voilà quoi, le message se dit de Windows mais il est rédigé bizarrement... ça met 'Your computer is infected!' en gras et plein de choses alarmantes en dessous.
Le pire c'est que ça ouvre une fenêtre de 'téléchargement' de antivirus pro ou je sais pas quoi, enfin le truc qui ne m'a pas rassurée et que j'ai immédiatement interrompu.
Un peu après Avast! s'est manifesté et m'a dit qu'il avait trouvé un virus... donc je lui fais supprimer le fichier tout ça... et je lance un scan de l'ordi (je sais le faire ça), il trouve de nouveaux trucs (trojan, virus, je ne sais plus très bien) qu'il supprime aussi...
Mais le message apparaît encore... donc moi je me demande si j'ai bien fait de l'empêcher de télécharger antivirus pro...

Une autre question que je me pose, qui peut être liée en fait, concerne la vraie capacité de mon disque dur... 'sur l'emballage' et sur le petit diagramme en bleu et mauve il fait 80 Go, mais il semblerait qu'en fait non... enfin, quand je regarde ce diagramme se remplir, il me soutient que j'utilise déjà 75 Go, alors que je pense que je suis très très loin de posséder autant d'informations sur mon disque...
Intriguée, j'ai téléchargé un programme appelé 'OverDisk' pour voir quels fichiers occupaient tant de place.. Et Overdisk m'apprend que C:// fait 36.6 Go. Ça veut dire quoi... je me suis faite rouler?


Voilà, si vous avez besoin d'autres renseignements demandez-moi, je serais contente de pouvoir me débarrasser de ce truc et résoudre ce mystère de mon disque dur.
Bonne soirée !

anthony5151 · Answer

Bonjour,


Ne tiens pas compte de cette infobulle, c'est un piège pour te pousser à acheter un faux logiciel de protection... Je vais t'aider à t'en débarrasser.


Télécharge hijackthis (logiciel de diagnostique) sur ton bureau :  https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/ 

Installe le, lance le et clique sur "Do a system scan and save a logfile". 
Fais un copier-coller du rapport entier sur le forum




Puis, télécharge SmitfraudFix : http://siri.urz.free.fr/Fix/SmitfraudFix.exe

- Enregistre-le sur le bureau 

- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée 

- Un rapport sera généré, poste-le dans ta prochaine réponse stp.

Tutoriel ici pour t'aider : http://www.malekal.com//tutorial_SmitFraudfix.php

Neenun · Answer

Merci beaucoup pour la réponse, voici déjà le rapport de HijackThis


*******************************************************

*******************************************************

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:10:21, on 07/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Lenovo\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Lenovo\PM Driver\PMSveH.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
c:\program files\lenovo\system update\suservice.exe
C:\Program Files\Fichiers communs\Lenovo	vt_reg_monitor_svc.exe
C:\Program Files\Lenovo\Rescue and Recoveryrservice.exe
C:\Program Files\Fichiers communs\Lenovo\Scheduler	vtsched.exe
C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Program Files\Fichiers communs\Lenovo\Logger\logmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Lenovo\HOTKEY\TPHKMGR.exe
C:\Program Files\Lenovo\HOTKEY\TpWAudAp.exe
C:\PROGRA~1\Lenovo\PMDRIV~1\PMHandler.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\vsnp2std.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\Lenovo\LENOVO~2\LPMGR.exe
C:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe
C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Program Files\Lenovo\Client Security Solution\cssauth.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\brastk.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\Program Files\Lenovo\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPWAUDAP] C:\Program Files\Lenovo\HOTKEY\TpWAudAp.exe
O4 - HKLM\..\Run: [PMHandler] C:\PROGRA~1\Lenovo\PMDRIV~1\PMHandler.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\Lenovo\LENOVO~2\LPMGR.exe
O4 - HKLM\..\Run: [ACTray] C:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [cssauth] "C:\Program Files\Lenovo\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKCU\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: System Update - {DA320635-F48C-4613-8325-D75A933C549E} - C:\Program Files\Lenovo\System Update\sulauncher.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.lenovo.com/fr/fr
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Lenovo\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe
O23 - Service: OracleServiceXE - Oracle Corporation - c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
O23 - Service: OracleXEClrAgent - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe
O23 - Service: OracleXETNSListener - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\BIN	nslsnr.exe
O23 - Service: PMSveH - Lenovo - C:\Program Files\Lenovo\PM Driver\PMSveH.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: System Update (SUService) -   - c:\program files\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Unknown owner - C:\Program Files\Fichiers communs\Lenovo	vt_reg_monitor_svc.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Program Files\Lenovo\Rescue and Recoveryrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Program Files\Fichiers communs\Lenovo\Scheduler	vtsched.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe

Neenun · Answer

Et voici le rapport de SMITFRAUD


SmitFraudFix v2.373

Rapport fait à 19:17:40,61, 07/11/2008
Executé à partir de C:\Documents and Settings\loic\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Lenovo\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Lenovo\PM Driver\PMSveH.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
c:\program files\lenovo\system update\suservice.exe
C:\Program Files\Fichiers communs\Lenovo	vt_reg_monitor_svc.exe
C:\Program Files\Lenovo\Rescue and Recoveryrservice.exe
C:\Program Files\Fichiers communs\Lenovo\Scheduler	vtsched.exe
C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Program Files\Fichiers communs\Lenovo\Logger\logmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Lenovo\HOTKEY\TPHKMGR.exe
C:\Program Files\Lenovo\HOTKEY\TpWAudAp.exe
C:\PROGRA~1\Lenovo\PMDRIV~1\PMHandler.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\vsnp2std.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\Lenovo\LENOVO~2\LPMGR.exe
C:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe
C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Program Files\Lenovo\Client Security Solution\cssauth.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\brastk.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\loic\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\brastk.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\loic


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\loic\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\loic\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\loic\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 3945ABG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 80.10.246.2
DNS Server Search Order: 80.10.246.129

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8432DD93-C412-442B-AE70-0119F0572C1F}: DhcpNameServer=80.10.246.2 80.10.246.129
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8432DD93-C412-442B-AE70-0119F0572C1F}: DhcpNameServer=80.10.246.2 80.10.246.129
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=80.10.246.2 80.10.246.129
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=80.10.246.2 80.10.246.129


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

anthony5151 · Answer

1) Très bien, maintenant, démarre en mode sans échec : 
Pour cela, tu tapotes sur la touche F8 (F5 sur certains pc) dès le début de l’allumage du PC sans t’arrêter, avant l'apparition du logo Windows. Un menu va apparaitre, déplace-toi avec les flèches du clavier sur Démarrer en mode sans échec puis tape Entrée. Choisis ta session habituelle, et ne t'inquiète pas si les couleurs et la taille des icônes changent, c'est normal !

Relance le programme SmitfraudFix. 
Cette fois, choisis l’option 2, répond oui à tous; 
A la fin, sauvegarde le rapport, redémarre en mode normal, copie-colle le rapport sauvegardé sur le forum. 



2) Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. 
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : 
• Redémarre ton ordinateur 
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). 
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. 
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". 
• Choisis ton compte. 

• Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. 
• Appuie sur une touche pour commencer le processus de nettoyage. 
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
• Appuie sur une touche pour redémarrer le PC. 
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt ==> poste le ici stp




3) Télécharge et installe Malwarebytes' Anti-Malware
- A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
- Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
- Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
- A la fin du scan, clique sur Afficher les résultats
- Coche tous les éléments  détectés puis clique sur Supprimer la sélection
- Enregistre le rapport
- S'il t'est demandé de redémarrer, clique sur Yes

Poste le rapport de scan après la suppression ici




4) Redémarre l'ordinateur et poste un nouveau rapport hijackthis stp

Neenun · Answer

Première étape franchie...
J'aimerais émettre une observation: le message harcelant a disparu!
Par contre à sa place se trouve une infobulle (qui m'a l'air bien officielle cette fois) m'indiquant qu'aucun pare feu n'est activé. J'ai donc immédiatement activé le pare feu de windows.

Bon, voici le rapport du nettoyage de Smith Fraud Ix, en mode sans échec:


********************************************************

SmitFraudFix v2.373

Rapport fait à 19:36:23,40, 07/11/2008
Executé à partir de C:\Documents and Settings\loic\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\brastk.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8432DD93-C412-442B-AE70-0119F0572C1F}: DhcpNameServer=80.10.246.2 80.10.246.129
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8432DD93-C412-442B-AE70-0119F0572C1F}: DhcpNameServer=80.10.246.2 80.10.246.129
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=80.10.246.2 80.10.246.129
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=80.10.246.2 80.10.246.129


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



**********************************************




Je passe à l'étape suivante, avec SDFIX en mode sans échec

anthony5151 · Answer

Tu as bien fait d'activer le pare-feu windows (provisoirement, car c'est une protection insuffisante, mais on verra ça plus tard).

Par contre, ce n'est pas parce que l'infobulle n'apparait plus que l'infection a été supprimée entièrement... Passe à la suite stp (SDFix et MBAM)

Neenun · Answer

Voilà qui est fait!
Étape 2: SDFIX

*******************************************************************



[b]SDFix: Version 1.240 [/b]
Run by loic on 07/11/2008 at 20:17

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

[b]Name [/b]: 
{DEF85C80-216A-43ab-AF70-1665EDBE2780}

[b]Path [/b]:
\??\C:\WINDOWS\TEMP\2A0.tmp 

{DEF85C80-216A-43ab-AF70-1665EDBE2780} - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS\system32\wini10891.exe - Deleted

[color=red]Note - Files associated with the MBR Rootkit have been found on this system, to check the PC use the [url=http://www2.gmer.net/mbr/]MBR Rootkit Detector[/url] by Gmer[/color]




Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-07 20:43:33
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\mIRC Chat CN\mirc.exe"="C:\mIRC Chat CN\mirc.exe:*:Enabled:mIRC CN"
"C:\Program Files\Mozilla Firefox\firefox.exe"="C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:Mozilla Firefox"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\Lionhead Studios Ltd\Black & White\runblack.exe"="C:\Program Files\Lionhead Studios Ltd\Black & White\runblack.exe:*:Enabled:lh"
"C:\wamp\Apache2\bin\httpd.exe"="C:\wamp\Apache2\bin\httpd.exe:*:Enabled:Apache HTTP Server"
"C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Program Files\Real\RealPlayer\realplay.exe"="C:\Program Files\Real\RealPlayer\realplay.exe:*:Disabled:RealPlayer"
"C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:æTorrent"
"C:\Program Files\Azureus\Azureus.exe"="C:\Program Files\Azureus\Azureus.exe:*:Enabled:Azureus"
"C:\Documents and Settings\loic\Bureau\kwartz-auth.exe"="C:\Documents and Settings\loic\Bureau\kwartz-auth.exe:*:Enabled:kwartz-auth"
"C:\Documents and Settings\loic\Bureau\blob\volley.exe"="C:\Documents and Settings\loic\Bureau\blob\volley.exe:*:Enabled:volley"
"C:\Documents and Settings\loic\Bureau\Volley\Volley\volley.exe"="C:\Documents and Settings\loic\Bureau\Volley\Volley\volley.exe:*:Enabled:volley"
"C:\WINDOWS\system32\dplaysvr.exe"="C:\WINDOWS\system32\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\Documents and Settings\loic\Bureau\Merdier\kwartz-auth.exe"="C:\Documents and Settings\loic\Bureau\Merdier\kwartz-auth.exe:*:Enabled:kwartz-auth"
"C:\Documents and Settings\loic\Bureau\Merdier\kwartz-auth..exe"="C:\Documents and Settings\loic\Bureau\Merdier\kwartz-auth..exe:*:Enabled:kwartz-auth."
"C:\Documents and Settings\loic\Bureau\Cours\kwartz-auth..exe"="C:\Documents and Settings\loic\Bureau\Cours\kwartz-auth..exe:*:Enabled:kwartz-auth."
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Enabled:Ex‚cuter une DLL en tant qu'application"
"C:\Program Files\Free Music Zilla\FMZilla.exe"="C:\Program Files\Free Music Zilla\FMZilla.exe:*:Enabled:FMZilla Module"
"C:\Documents and Settings\loic\Bureau\Worms Armagedon\wormsarm\wormsarm\WA.exe"="C:\Documents and Settings\loic\Bureau\Worms Armagedon\wormsarm\wormsarm\WA.exe:*:Disabled:Worms Armageddon"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule"
"C:\Documents and Settings\loic\Bureau\freezer.exe"="C:\Documents and Settings\loic\Bureau\freezer.exe:*:Enabled:freezer"
"C:\wamp\bin\apache\apache2.2.8\bin\httpd.exe"="C:\wamp\bin\apache\apache2.2.8\bin\httpd.exe:*:Enabled:Apache HTTP Server"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Program Files\BitComet\BitComet.exe"="C:\Program Files\BitComet\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Thu 16 Aug 2007             0 ..SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

[b]Finished![/b]


********************************************************************************

Voilà, je commence l'étape 3 avec Malware Bam

Neenun · Answer

Bon, j'ai un ennui avec MBAM.

L'installation s'interrompt. Une fenêtre de ce type s'ouvre:
http://img60.imageshack.us/img60/3923/005655aum0.gif

C'est la première fois que je vois ceci. Il n'y a qu'une option dans la liste déroulante.
Si je clique sur ok, une autre fenêtre me dit après quelques secondes que le chemin 1 est introuvable.
Si je fais annuler, il y a une erreur 1706 et il me dit que l'installation ne peut pas se poursuivre...

Qu'est-ce qu'il faut que je fasse? (j'ai essayé l'installation 3 fois, même résultat à chaque fois)

anthony5151 · Answer

Tu as une infection dans le MBR (secteur amorce du disque dur), c'est assez grave et ça explique probablement ces problèmes...


Télécharge MBR Rootkit Detector (gmer) et enregistre-le sur le bureau.

- Désactive provisoirement les programmes de protection (antivirus, pare-feu, anti-spyware...) : 
Dans ton cas il s'agit d'Avast (fais un clic droit sur l'icone près de l'horloge et clique sur "arrêter la protection résidente")

- Double-clique sur mbr.exe, une fenêtre d'invite de commande va s'ouvrir et se refermer, 

- Un rapport sera généré : mbr.log ==> Copie/colle le résultat de ce log dans ta réponse.

Neenun · Answer

J'ai un naturel méfiant... Tu me proposes de désactiver mes antivirus pour exécuter un logiciel dont je ne connais rien...
Bon ça je conçois que avast puisse gêner l'exécution d'un programme, j'ai déjà entendu parler de problèmes de ce genre.

Mais rien que le fait de cliquer sur le lien entraine une réaction d'avast, qui indique que ce lien télécharge un cheval de Troie : Win32:Crypt-CZU [Trj]

Tu es sûr du lien hein ? Désolée de douter alors que tu me fais preuve de bonnes intentions depuis quelques heures déjà - je t'en suis profondément reconnaissante - , mais bon, certifie moi que tu m'as donné le bon lien et qu'il ne comporte pas de risque, s'il te plaît.

Neenun · Answer

J'ai trouvé de bonnes raisons de t'accorder confiance sur ce coup là, donc voici le rapport de mbr.exe:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 



J'y pense, par le passé Avast m'avait déjà trouvé un rootkit, la suppression s'était apparement bien passée... peut être est-ce inutile de le dire mais sait-on jamais...

anthony5151 · Answer

C'était un faux positif, certains antivirus détectent ce programme, mais il est sans danger ;)

Par contre il ne trouve pas d'infection dans le MBR (alors que SDFix le signalait), c'est bizarre...


- Désactive toutes tes protections (c'est important)

- Va dans le menu démarrer --> Exécuter --> tape : "%userprofile%\Bureau\mbr" -f 
(les guillemets sont importants) 

- Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"

Neenun · Answer

J'ai fait la manip, en désactivant la protection résidente de avast et le pare feu windows;
voici le contenu de mbr.log

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 


Sauf erreur ça n'a pas changé...

anthony5151 · Answer

Ok, redémarre ton ordinateur, puis réessaye de télécharger MBAM depuis cette addresse stp :

http://www.malwarebytes.org/mbam/program/mbam-setup.exe


Installe le, mets le à jour et fais un scan rapide, comme indiqué plus haut.

Neenun · Answer

Nouvel échec de l'installation de MBAM... exactement le même problème.

anthony5151 · Answer

OK, on va sortir la grosse artillerie : Combofix. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts... Fais exactement ce qui suit : 

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide :  http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ---------------------------------------------------------- 
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !! 

Dans ton cas, il s'agit d'Avast

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre... 

Tuto ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
--------------------------------------------------------------------------------------------------------------------------------- 

Ensuite : 
double-clique sur C-Fix.exe (= combofix.exe ) . 

Appuie sur une touche pour démarrer le scan . 

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

Neenun · Answer

Faut il que je fasse les procédures avec la console de récupération Windows?

anthony5151 · Answer

Ce n'est pas obligatoire, à toi de voir ;)

Neenun · Answer

L'utilisation de combofix s'est bien passée. Voici le contenu du fichier log: ComboFix 08-11-07.01 - loic 2008-11-07 23:26:05.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.594 [GMT 1:00] Lancé depuis: c:\documents and settings\loic\Bureau\C-Fix.exe * Un nouveau point de restauration a été créé [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR] . ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-07 au 2008-11-07 )))))))))))))))))))))))))))))))))))) . 2008-11-07 20:59 . 2008-11-07 20:59 d-------- c:\documents and settings\loic\Application Data\Malwarebytes 2008-11-07 20:57 . 2008-11-07 22:39 d-------- c:\program files\Malwarebytes' Anti-Malware 2008-11-07 20:57 . 2008-11-07 20:57 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2008-11-07 20:57 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-11-07 20:57 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-11-07 20:09 . 2008-11-07 20:10 d-------- c:\windows\ERUNT 2008-11-07 19:55 . 2008-11-07 20:47 d-------- C:\SDFix 2008-11-07 19:17 . 2008-11-07 19:36 2,578 --a------ c:\windows\system32 mp.reg 2008-11-07 19:16 . 2008-11-07 19:16 d-------- c:\windows\SmitfraudFix 2008-11-07 19:09 . 2008-11-07 19:09 d-------- c:\program files\Trend Micro 2008-11-03 22:58 . 2008-11-06 12:24 d-------- c:\program files\BitComet 2008-10-24 20:17 . 2008-10-24 20:17 d-------- c:\program files\Matroska Pack 2008-10-24 19:42 . 2008-10-24 19:42 d-------- c:\program files\MKVtoolnix 2008-10-24 19:26 . 2008-10-24 19:26 d-------- c:\documents and settings\loic\Application Data\Media Player Classic 2008-10-24 18:10 . 2008-10-24 18:14 6,833,525 --a------ c:\windows\Combined-Community-Codec-Pack-2008-09-21.exe 2008-10-24 17:53 . 2008-10-25 01:54 d-------- c:\program files\AviSynth 2.5 2008-10-24 17:52 . 2008-10-25 01:54 d-------- c:\program files\Ripp-it_AM 2008-10-18 19:55 . 2008-10-25 20:50 d-------- C:\Installations 2008-10-18 19:51 . 2008-10-18 20:27 d-------- c:\program files\MSN Messenger 2008-10-18 11:26 . 2008-10-27 12:17 d-------- c:\documents and settings\loic\Application Data\gtk-2.0 2008-10-18 11:26 . 2008-10-18 11:27 d-------- c:\documents and settings\loic\Application Data\avidemux 2008-10-18 11:25 . 2008-10-27 12:17 d-------- c:\program files\Avidemux 2.4 2008-10-18 11:06 . 2008-10-18 11:06 1,060 --a------ c:\windows\pae.ini 2008-10-18 11:04 . 2008-10-18 11:06 d-------- C:\PAEDITOR 2008-10-18 11:04 . 1995-04-19 16:55 42,240 --a------ c:\windows\system\WAVEFILE.DLL . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-31 13:45 5,427 ----a-w c:\windows\system32\EGATHDRV.SYS 2008-11-06 19:30 --------- d-----w c:\program files\Windows Live 2008-11-06 11:25 --------- d-----w c:\program files\RomStation 2008-11-02 02:00 --------- d-----w c:\program files\Free Music Zilla 2008-10-18 19:21 --------- d-----w c:\documents and settings\All Users\Application Data\WLInstaller 2008-10-18 18:56 --------- d-----w c:\program files\Messenger Plus! Live 2008-10-18 01:05 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help 2008-10-15 16:55 339,456 ------w c:\windows\system32\dllcache etapi32.dll 2008-10-03 17:12 6,066,176 ------w c:\windows\system32\dllcache\ieframe.dll 2008-09-15 15:14 1,847,040 ------w c:\windows\system32\win32k.sys 2008-09-15 15:14 1,847,040 ------w c:\windows\system32\dllcache\win32k.sys 2008-09-10 10:54 --------- d-----w c:\program files\GIMP-2.0 2008-09-10 08:37 --------- d-----w c:\program files\Photo Filtre 2008-09-07 01:05 --------- d-----w c:\program files\Microsoft SQL Server 2008-08-28 10:04 333,056 ------w c:\windows\system32\dllcache\srv.sys 2008-08-27 09:11 3,593,216 ------w c:\windows\system32\dllcache\mshtml.dll 2008-08-25 08:39 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe 2008-08-25 08:38 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe 2008-08-23 05:56 635,848 ------w c:\windows\system32\dllcache\iexplore.exe 2008-08-23 05:54 161,792 ------w c:\windows\system32\dllcache\ieakui.dll 2008-08-14 13:39 2,188,032 ------w c:\windows\system32\dllcache toskrnl.exe 2008-08-14 13:39 2,144,768 ------w c:\windows\system32 toskrnl.exe 2008-08-14 13:39 2,144,768 ------w c:\windows\system32\dllcache tkrnlmp.exe 2008-08-14 13:39 2,065,024 ------w c:\windows\system32\dllcache tkrnlpa.exe 2008-08-14 13:39 2,022,912 ------w c:\windows\system32 tkrnlpa.exe 2008-08-14 13:39 2,022,912 ------w c:\windows\system32\dllcache tkrpamp.exe 2008-08-14 09:48 138,368 ------w c:\windows\system32\dllcache\afd.sys 2007-07-18 13:52 36,864 ----a-w c:\program files\FLVExtract.exe 2007-04-16 17:17 1,476,669 ------w c:\program files\mIRC CN v0.5.exe . [code]

----a-w        17,929,072 2008-10-18 18:50:19  c:\installations\Install_Messenger 8 .exe

[/code] ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2008-10-19 5724184] "updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-02 7557120] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-05-19 774233] "TPHOTKEY"="c:\program files\Lenovo\HOTKEY\TPHKMGR.exe" [2006-05-08 94208] "TPWAUDAP"="c:\program files\Lenovo\HOTKEY\TpWAudAp.exe" [2006-04-19 24576] "PMHandler"="c:\progra~1\Lenovo\PMDRIV~1\PMHandler.exe" [2006-08-21 33128] "snp2std"="c:\windows\vsnp2std.exe" [2006-07-10 675840] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "TVT Scheduler Proxy"="c:\program files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe" [2006-07-14 503808] "ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184] "ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 81920] "LPManager"="c:\progra~1\Lenovo\LENOVO~2\LPMGR.exe" [2006-07-03 110592] "ACTray"="c:\program files\ThinkPad\ConnectUtilities\ACTray.exe" [2006-08-11 409600] "ACWLIcon"="c:\program files\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2006-08-11 98304] "cssauth"="c:\program files\Lenovo\Client Security Solution\cssauth.exe" [2006-07-14 2341632] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008] "nwiz"="nwiz.exe" [2006-03-02 c:\windows\system32 wiz.exe] "AGRSMMSG"="AGRSMMSG.exe" [2006-06-29 c:\windows\AGRSMMSG.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\ACNotify] 2006-08-11 13:01 32768 c:\program files\ThinkPad\ConnectUtilities\ACNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify photkey] 2006-01-11 07:05 13824 c:\windows\system32 phklock.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\mIRC Chat CN\mirc.exe"= "c:\Program Files\Mozilla Firefox\firefox.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\Program Files\Bonjour\mDNSResponder.exe"= "c:\WINDOWS\system32\dplaysvr.exe"= "c:\WINDOWS\system32\dpvsetup.exe"= "c:\Program Files\Free Music Zilla\FMZilla.exe"= "c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Messenger\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "17594:TCP"= 17594:TCP:BitComet 17594 TCP "17594:UDP"= 17594:UDP:BitComet 17594 UDP "8593:TCP"= 8593:TCP:BitComet 8593 TCP "8593:UDP"= 8593:UDP:BitComet 8593 UDP R1 ANC;ANC;c:\windows\system32\drivers\ANC.SYS [2005-11-08 11520] R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-07-19 78416] R1 IBMTPCHK;IBMTPCHK;c:\windows\system32\Drivers\IBMBLDID.sys [2006-01-12 6016] R1 PMHler;PMHler;c:\windows\system32\drivers\PMHler.sys [2006-05-24 10240] R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560] R2 smi2;smi2;c:\program files\SMI2\smi2.sys [2006-07-14 3968] R3 SNP2STD;USB2.0 PC Camera (SNP2STD);c:\windows\system32\DRIVERS\snp2sxp.sys [2006-07-10 10304384] S3 OracleServiceXE;OracleServiceXE;c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE XE [ ] S3 OracleXETNSListener;OracleXETNSListener;c:\oraclexe\app\oracle\product\10.2.0\server\BIN nslsnr.exe [2006-02-02 204800] S3 USBSTOR;Pilote de stockage de masse USB;c:\windows\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] S3 wampapache;wampapache;c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe [2008-01-18 24635] S3 wampmysqld;wampmysqld;c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe wampmysqld [ ] S4 OracleJobSchedulerXE;OracleJobSchedulerXE;c:\oraclexe\app\oracle\product\10.2.0\server\Bin\extjob.exe XE [ ] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7d32d4fc-9f1c-11dc-8f5a-0016cee09d90}] \Shell\AutoRun\command - E:\setupSNK.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{adac11fe-7a7d-11dd-909a-0016cee09d90}] \Shell\AutoRun\command - E:\Autorun.exe /run \Shell\Shell00\Command - E:\Autorun.exe /run \Shell\Shell01\Command - E:\Autorun.exe /action \Shell\Shell02\Command - E:\Autorun.exe /uninstall *Newly Created Service* - PROCEXP90 . Contenu du dossier 'Tâches planifiées' . - - - - ORPHELINS SUPPRIMES - - - - Notify-WgaLogon - (no file) . ------- Examen supplémentaire ------- . FireFox -: Profile - c:\documents and settings\loic\Application Data\Mozilla\Firefox\Profiles\5fvlmgrv.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr FF -: plugin - c:\program files\Adobe\Acrobat 7.0\Reader\browser ppdf32.dll FF -: plugin - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-07 23:30:20 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- PROCESSUS: c:\windows\system32\winlogon.exe -> c:\program files\ThinkPad\ConnectUtilities\AcSvcStub.dll -> c:\program files\ThinkPad\ConnectUtilities\AcLocSettings.dll -> c:\program files\ThinkPad\ConnectUtilities\ACHelper.dll -> c:\windows\system32 phklock.dll . Heure de fin: 2008-11-07 23:34:00 ComboFix-quarantined-files.txt 2008-11-07 22:33:31 Avant-CF: 14 775 705 600 octets libres Après-CF: 14,781,579,264 octets libres 177 --- E O F --- 2008-10-25 01:01:22

anthony5151 · Answer

Est-ce que le dossiers "installations" sur le disque dur est à toi ?
Est-ce que tu utilises mIRC ?  C'est un client IRC, souvent utilisé par les infections (je demande donc par précaution)

Neenun · Answer

J'utilise effectivement mIRC, enfin je l'ai utilisé un moment mais ne l'ai pas désinstallé.
Le dossier 'Installations'  est bien à moi, oui.

anthony5151 · Answer

D'accord, alors il n'y a rien d'anormal sur ce rapport.  Enfin, il y a ça :

2008-11-07 20:57 . 2008-11-07 22:39 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware 


Tu es sûr que l'installation a échoué ?  Tu as été voir ce qu'il y a dans ce dossier ?




En attendant, fais un scan en ligne avec Kaspersky :

- Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (avec Internet Explorer uniquement)

- En bas à droite clique sur Démarrer Online-scanner

- Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

- Accepte les Contrôle ActiveX

- Choisis Poste de travail pour le scan.

- Celui-ci terminé sauve (Choisis fichier texte) et poste le rapport 

- Pour t'aider à utiliser le scan en ligne : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Neenun · Answer

Alors, concernant MBAM:
Je n'avais pas remarqué cela!
Le dossier existe bien, si j'exécute mbam.exe qui se trouve dans ce répertoire, j'ai une fenêtre qui ressemble à celle de l'installation de mbam, puis plusieurs fois la fenêtre "Unload" dont j'ai parlé sur la page précédente, et enfin une nouvelle fenêtre s'ouvre, et il semblerait que ce soit bien le logiciel (j'ai des onglets Recherche, protection, mise à jour, etc...)
Je ne sais pas dire s'il est correctement installé, j'en doute quand même à cause de ces fenêtres 'Unload'.
Malgré tout j'ai tenté la mise à jour et elle s'est faite avec succès (passage de la version 1306 à 1373)

Je procède donc à l'examen rapide que tu m'as recommandé sur la page précédente.

Aucun élément nuisible n'a été détecté, je te copie ici néanmoins le rapport de MBAM

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1373
Windows 5.1.2600 Service Pack 2

08/11/2008 01:12:31
mbam-log-2008-11-08 (01-12-31).txt

Type de recherche: Examen rapide
Eléments examinés: 55527
Temps écoulé: 5 minute(s), 25 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

*************************

Le scan en ligne te paraît il encore nécessaire?

anthony5151 · Answer

Hé bien c'est parfait, le programme semble fonctionner correctement ;)  Tu as bien la dernière version de la base de données en tout cas ;)  Le scan en ligne n'est plus obligatoire (mais rien ne t'empêche de le faire quand même ^^)

Poste moi un dernier rapport hijackthis et je te donnerai les derniers conseils

Neenun · Answer

Hahaha tes propos me redonnent le sourire enfin!



Voici le rapport de Hijack This

***************************************

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:22:32, on 08/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Lenovo\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Lenovo\PM Driver\PMSveH.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
c:\program files\lenovo\system update\suservice.exe
C:\Program Files\Fichiers communs\Lenovo	vt_reg_monitor_svc.exe
C:\Program Files\Lenovo\Rescue and Recoveryrservice.exe
C:\Program Files\Fichiers communs\Lenovo\Scheduler	vtsched.exe
C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Program Files\Fichiers communs\Lenovo\Logger\logmon.exe
C:\Program Files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Lenovo\HOTKEY\TPHKMGR.exe
C:\Program Files\Lenovo\HOTKEY\TpWAudAp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\Lenovo\LENOVO~2\LPMGR.exe
C:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe
C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Program Files\Lenovo\Client Security Solution\cssauth.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\Program Files\Lenovo\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPWAUDAP] C:\Program Files\Lenovo\HOTKEY\TpWAudAp.exe
O4 - HKLM\..\Run: [PMHandler] C:\PROGRA~1\Lenovo\PMDRIV~1\PMHandler.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\Lenovo\LENOVO~2\LPMGR.exe
O4 - HKLM\..\Run: [ACTray] C:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [cssauth] "C:\Program Files\Lenovo\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: System Update - {DA320635-F48C-4613-8325-D75A933C549E} - C:\Program Files\Lenovo\System Update\sulauncher.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.lenovo.com/fr/fr
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Lenovo\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe
O23 - Service: OracleServiceXE - Oracle Corporation - c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
O23 - Service: OracleXEClrAgent - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe
O23 - Service: OracleXETNSListener - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\BIN	nslsnr.exe
O23 - Service: PMSveH - Lenovo - C:\Program Files\Lenovo\PM Driver\PMSveH.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: System Update (SUService) -   - c:\program files\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Unknown owner - C:\Program Files\Fichiers communs\Lenovo	vt_reg_monitor_svc.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Program Files\Lenovo\Rescue and Recoveryrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Program Files\Fichiers communs\Lenovo\Scheduler	vtsched.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe

anthony5151 · Answer

Très bien, ton ordinateur n'est plus infecté !

Avant de retourner surfer sur internet, il y a quelques petites choses que tu dois faire pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;)  Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).



1) Sécurise ton ordinateur 

- Anti-virus : 
Avast était un antivirus convenable il y a quelques années, mais il est dépassé aujourd'hui. Il existe d'autres antivirus gratuits plus efficaces (Antivir ou AVG)
Désinstalle Avast : Commence par supprimer ce qu'il y a en quarantaine, puis fais clic droit sur l'icone d'Avast près de l'horloge --> désactive la protection résidente.
Puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle Avast. 
Si ça ne fonctionne pas, consulte ce lien : Désinstallation d'Avast

Si tu choisis Antivir pour le remplacer, tu peux trouver un tutoriel et un lien pour le télécharger ici.
Note : cette version est en anglais, mais une pré-version en français est disponible en français ici

- Pare-feu :
Tu n’as apparemment aucun pare-feu (sauf peut-être celui de Windows, qui est inefficace et ne filtre pas les connections sortantes utilisées par beaucoup d'infections...) : Télécharges-en un vrai. En gratuit, les plus simples sont Kerio et surtout PC Tools Firewall. Tu peux t'aider des tuto suivants pour utiliser celui que tu choisiras : 
- Tutoriel PcTools
- Tutoriel Kerio

- Anti-spyware :
Tu n'as apparemment pas d'anti-spyware actif : 
* Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement, tous les 10 jours environ, et activer toutes les protections (« Enable all protection ») 
* En complément, garde MalwareBytes pour son scan de nettoyage performant.

- Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille d’installer et d'utiliser le navigateur Firefox 3 avec l’extension « AdBlockPlus ». Tu peux trouver des explications ici

- Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : https://java.com/fr/

- Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version.



2) Relance Hijackthis (pour la dernière fois), fais "scan system only" et coche ces lignes (pas dangereuses mains inutiles) : 

O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup    
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start    
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe    
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')    
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')    
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')    
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')    
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)

Si tu as bien mis à jour Adobe Reader comme je te l'ai recommandé, cette ligne devrait apparaitre, tu peux la cocher : O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 

Coche également toutes les lignes commençant par 016

Ensuite, clique sur "Fix checked" 



3) Télécharge ToolsCleaner sur ton bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer. 
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.



4) Télécharge et installe CCleaner  (si ce n’est déjà fait) : https://www.ccleaner.com/ccleaner/download

Lance CCleaner
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Relance le nettoyage une deuxième fois.

Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection). 

* Fais un clic droit sur poste de travail (qui est sur ton bureau ou dans le menu démarrer), puis propriétés. 
* Sélectionne l'onglet restauration du système 
* Coche l'option Désactiver la restauration du système sur tous les lecteurs 
* Clique sur OK. 

Puis refais la manipulation inverse pour réactiver la restauration système. 



6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
Prévention et sécurité sur internet





Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

Neenun · Answer

Je pensais déjà à délaisser avast! parce qu'il me paraissait de plus en plus long au démarrage, c'est chose faite. J'ai suivi les conseils que tu m'as prodigués.

Bon et bien il semblerait que cette soirée de folie ait abouti à un assainissement complet de ma machine. 

En tout cas sache que je suis ravie de te permettre d'exercer ta passion, non, non ne me remercie pas, c'est tout naturel.

Tu déchires, mec.

anthony5151 · Answer

"En tout cas sache que je suis ravie de te permettre d'exercer ta passion, non, non ne me remercie pas, c'est tout naturel. "

==> LOL, on me l'avait encore jamais faite celle la ;)  Alors merci  :p

Bonne continuation avec ton PC tout rénové ;)
Je suis dispo pour exercer ma passion... euh pour t'aider à nouveau si besoin ^^

Neenun · Answer

Ho si ça peut te faire plaisir...

J'ai une question quant au pare-feu!

J'ai essayé PCTools. L'installation semble bien se dérouler, l'ordinateur redémarre...
Au redémarrage, quand PCTools s'active, et bien tout se fige, et quand je dis tout, c'est tout... pile au moment où l'icône de notification apparaît à côté de l'horloge, la souris se bloque, aucune touche du clavier ne répond, meme la gestion des tâches, pas moyen. (Ctrl alt suppr)
Après une heure d'attente... - car sait-on jamais, peut être le pare-feu a-t-il besoin de temps pour se mettre en route - toujours rien.
Conséquence, j'ai été forcée d'éteindre l'ordinateur en violence (en appuyant sur le bouton de mise sous tension pendant quelques secondes).
J'ai eu l'intuition folle de démarrer mon ordinateur en mode sans échec pour désinstaller PCTool donc - je me surprends parfois -

J'ai alors essayé le pare-feu Sunbelt de Kerio, mais ce bandit empêche Windows Live Messenger de fonctionner, et ça ben c'est carrément un sacrilège...
Au démarrage de WLM j'ai une erreur, j'ai beau suivre les instructions de sites traitant de problèmes semblables, rien n'y fait. (J'ai remarqué que ces articles sur Sunbelt sont souvent assez vieux quand même)

Là je suis revenue au pare-feu Windows, que tu juges insuffisant.
J'ai beau relire les tutoriels que tu m'as proposés, je ne vois pas où je me suis trompée dans les manipulations.

Comment faire?

anthony5151 · Answer

"J'ai eu l'intuition folle de démarrer mon ordinateur en mode sans échec pour désinstaller PCTool donc - je me surprends parfois" ==> Très bonne intuition ;)

Je ne comprends pas pourquoi PCTools ne fonctionne pas... Tu as eu une alerte et tu as cliqué sur "Refusé" ? Je l'installe partout où j'interviens et je n'ai jamais rencontré ce problème :(
Quant à Kerio, je ne peux pas trop t'aider, je ne le connais pas bien...

Si tu veux je peux te proposer un troisième pare-feu, plus simple que Kerio et qui ne devrait pas poser de problème pour Windows Live Messenger ?



Redémarre en mode sans échec :
    * Clique sur Démarrer, puis sur Arrêter
    * Sélectionne Redémarrer et clique sur OK
    * Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows n'apparaisse, tapote plusieurs fois sur la touche F8 (F5 sur certains ordinateurs).
    * A l'affichage du menu des options avancées de Windows, déplace toi avec les flèches du clavier et sélectionne "Mode sans échec"
    * Patiente lors du démarrage qui peut prendre du temps, puis choisis (si nécessaire) ta session habituelle.


Désinstalle Kerio :
    * Clique sur Menu démarrer, puis sur Panneau de Configuration
    * Double clique sur "Ajout/suppression de programme"
    * Sélectionne Kerio Sunbelt puis clique sur Désinstaller, et laisse toi guider.
    * A la fin de la désinstallation, fais redémarrer ton ordinateur.


Supprime les fichiers temporaires avec CCleaner
    * Lance CCleaner
    * Va dans la section "Nettoyeur"
    * Vérifie que toutes ces cases sont cochées dans la marge gauche : Internet Explorer / Windows Explorer / Système.
    * Clique sur Analyse
    * Une fois le scan terminé, clique sur Lancer le Nettoyage


Nettoie la base de registre avec RegCleaner
    * Télécharge RegCleaner à cette adresse : https://www.01net.com/telecharger/
    * Exécute le fichier RegCleaner.exe pour lancer l'installation et laisse toi guider.
    * Une fois l'installation terminée, lance RegCleaner
    * Au premier démarrage, tu dois valider la licence d'utilisation, pour cela, cliquez sur le bouton "I accept the disclaimer abov"
    * Mets ensuite le logiciel en français en cliquant sur Option &#8594; Langue &#8594; choisir la langue
    * Paramètre ensuite Regcleaner en manuel : Option &#8594; Nettoyage du registre &#8594; Méthode &#8594; Manuelle
    * Vérifie que la sauvegarde automatique est bien paramétrée : Outils &#8594; nettoyage du registre &#8594; Sauvegardes &#8594; Coche « créer une sauvegarde globale ».
    * On passe au nettoyage : clique sur "Outils" puis "Nettoyage du registre" et "Tout faire"
    * Si les clés trouvées te semblent correctes à la fin du scan, clique sur "Sélection" puis sur "Tous" pour tout sélectionner
    * Clique enfin sur le bouton "Supprimer sélection" pour lancer le nettoyage


Installe ZoneAlarm :
    * Clique sur ce lien pour le télécharger : http://download.zonealarm.com/bin/free/3301_fr/zaSetup_fr.exe
    * Choisis le Bureau comme destination
    * Double-clique sur zaSetup_fr.exe pour lancer l'installation et laisse toi guider.

Neenun · Answer

Et bien, voici ce qui se passe lors de l'installation de PcTools:


http://img231.imageshack.us/img231/6990/erreurinstallpctoolyy5.png


Bon, déjà ça m'inspire pas confiance cette fenêtre mal rédigée...


Cependant, lorsque je clique sur 'Arrêter maintenant', j'aboutis sur l'écran de fin d'installation, qui me propose de redémarrer. - là j'ai mis non, je compte le désinstaller tout de suite -.
Enfin, la première fois que j'ai installé pctool ça m'avait fait ça, puis j'ai redémarré et tu connais la suite.

Neenun · Answer

Précision: j'ai pris le lien sur le site officiel https://fr.norton.com/

anthony5151 · Answer

Ce message apparait pour de nombreuses applications, c'est la faute à Microsoft, il ne faut pas en tenir compte...
La première fois tu avais fait "Continuer" ?  Sinon c'est normal qu'il ne fonctionne pas...

Neenun · Answer

pcTools produit le même plantage quoi que je fasse (arrêter maintenant ou continuer)
ZoneAlarm bloque aussi WLM, par contre  le vieux truc 'Windows Messenger' fonctionne...

Je ne reviendrai pas avant un certain temps, donc d'ici là je n'ai qu'à compter sur le pare-feu de windows pour assurer les fonctions dont j'ai besoin.

Je te remercie pour ta patience en tout cas, passe une bonne fin de week-end!

Infobulle harcelante en bas à droite...

34 réponses

Votre réponse

Discussions similaires

Newsletters