Help! Virus

Résolu
rubberduck -  
 rubberduck -
Bonjour,

Je crois que j'ai attrapé un virus sur mon PC.
Je suis sous WinXP. J'ai dans ma barre en bas à droite deux nouvelles petites icônes.

L'une affiche régulièrement le message:
Your computer is infected. et me propose de cliquer dessus pour télécharger de quoi le nettoyer... ce que je ne ferai pas bien sur.

L'autre icone me dit :
True vector security service is shut down
Et je me demande s'il ne s'agit pas de mon firewall qui est hors service (zone alarm)

J'ai essayé de lancer mon antivirus (Avira) mais ça plante et l'ordi redémarre.
J'ai aussi essayé spybot mais il ne veut pas se lancer.

Je ne sais plus quoi faire.
Merci à ceux qui peuvent m'aider.
Configuration: Windows XP
Internet Explorer 6.0

52 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Des signes d'infection apparaissent sur un PC sous Windows XP, avec des avertissements récurrents "Your computer is infected" et une alerte sur ZoneAlarm ou une disparition du pare-feu. Plusieurs solutions de détection et de nettoyage sont évoquées, notamment HijackThis, SmitFraudFix et des scans d'antivirus en mode sans échec, suivis de la suppression des fichiers et des clés de registre compromis. Des mises en garde signalent des possibles faux positifs et recommandent de refaire des analyses et de vérifier les programmes et services au démarrage. D'autres répondants proposent des outils plus lourds comme ComboFix ou Malwarebytes, tout en rappelant que leur usage requiert prudence et parfois l'avis d'un expert.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Salut,
    - Télécharge SmitfraudFix (de S!Ri, balltrap34 et moe31) :
    http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou http://www.geekstogo.com/forum/files/file/6-smitfraudfix/

    - Enregistre-le sur le bureau

    - Double-clique sur SmitfraudFix.exe et choisis l’option 1 puis Entrée

    - Un rapport sera généré, poste-le dans ta prochaine réponse.

    [*] process.exe est détecté par certains antivirus comme étant un risktool. Il ne s’agit pas d’un virus mais d’un utilitaire destiné à mettre fin à des processus. [*]

    ** Ne fais l’étape 2 que si on te le demande, on doit d’abord examiner le premier rapport de SmitfraudFix**
    0
  2. rubberduck
     
    Merci, mais ça ne marche pas.
    J'ai lancé Smithfraudfix mais il plante immédiatement.
    J'ai essayé plusieurs fois sans succès :(
    0
  3. rubberduck
     
    Je viens de renommer Smithfraudfix et cette fois ça marche !

    Voici le résultat du rapport:

    SmitFraudFix v2.376

    Rapport fait à 0:51:15,57, 22/11/2008
    Executé à partir de C:\Downloads\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\windows\System32\smss.exe
    C:\windows\system32\winlogon.exe
    C:\windows\system32\services.exe
    C:\windows\system32\lsass.exe
    C:\windows\system32\svchost.exe
    C:\windows\System32\svchost.exe
    C:\windows\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Utilitaires\WindowBlinds\WindowBlinds\wbload.exe
    C:\windows\Explorer.EXE
    C:\windows\System32\CNAC4RPK.EXE
    C:\WINDOWS\System32\PDesk\PDesk.exe
    C:\windows\SOUNDMAN.EXE
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\PROGRA~1\UTILIT~1\MAXTOR~1\Utils\OneTouch.exe
    C:\WINDOWS\MXOALDR.EXE
    C:\Program Files\Fichiers communs\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe
    C:\windows\vsnpstd.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\Program Files\Son\iTunes\iTunesHelper.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Utilitaires\Symbol commander\Sensiva.exe
    C:\Program Files\Internet\ZoneAlarm\zapro.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\windows\System32\mgabg.exe
    C:\windows\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Internet\Avant Browser\avant.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
    C:\windows\System32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\windows

    C:\windows\karna.dat PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\windows\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\windows\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\windows\system32

    C:\windows\system32\brastk.exe PRESENT !
    C:\windows\system32\karna.dat PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ZardOz

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ZardOz\LOCALS~1\Temp

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ZardOz\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ZardOz\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="7db39a0d-580f-4be9-9195-8bfcd226f6c2"
    "SubscribedURL"="C:\\windows\\System32\\AquaReal.ocx"
    "FriendlyName"="Aqua Real"

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="karna.dat"

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\windows\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    C:\windows\system32\drivers\beep.sys infecté !

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Marvell Yukon Gigabit Ethernet 10/100/1000Base-T Adapter, Copper RJ-45 - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 89.2.0.1
    DNS Server Search Order: 89.2.0.2

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{C898E003-F4A5-4C65-8516-BC7F810408E5}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{C898E003-F4A5-4C65-8516-BC7F810408E5}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{C898E003-F4A5-4C65-8516-BC7F810408E5}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  4. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Parfait !
    Nettoyage :

    Redémarre en mode sans échec, pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8.
    Un menu va apparaître, choisis Mode sans échec grâce aux flèches directionnelles de ton clavier et appuie ensuite sur le touche Entrée de ton clavier.

    - Lance SmitfraudFix double clic sur SmitfraudFix.cmd (ne clique sur aucun autre fichier)
    - Choisis l’option 2 et appuie sur Entrée
    - Réponds o (Oui) aux deux questions suivantes si elles sont posées
    - Un rapport sera généré sauvegarde le dans un dossier.

    Redémarre en mode normal :
    - Menu Démarrer
    - Arrêter
    - Redémarre l’ordinateur

    Poste l’intégralité du rapport que tu as sauvegardé.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. rubberduck
     
    CCM? c'est quoi?
    0
    1. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
       
      c'est juste mon phrase perso (CCM = comment ca marche = là où tu es ;-) )
      0
  7. rubberduck
     
    OK merci :)
    je fais ça et je reviens poster le rapport
    0
  8. rubberduck
     
    Ca a marché à moitié.
    J'ai du m'y prendre à plusieurs reprises.
    Je double clique sur smithfraudfix.cmd en mode sans echec et lance l'option 2
    seulement voila, mon ordi plante pendant la phase de nettoyage du disque ( quand il calcule la quantité d'espace pouvant être libéré sur mes disques )... du coup, je ne peux pas aller plus loin et suis obligé de redémarrer en mode normal.
    Que puis je faire?
    0
  9. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Refais l'option un pour voir s'il a supprimé des choses ...
    Un rapport a-t-il été généré ?
    As tu un rapport à la racine du disque dur ? (C:\)
    0
  10. rubberduck
     
    Oui, je viens de trouver un rapport à la racine de C:// mais je ne sais pas s'il est complet.

    SmitFraudFix v2.376

    Rapport fait à 1:23:18,31, 22/11/2008
    Executé à partir de C:\Downloads\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{C898E003-F4A5-4C65-8516-BC7F810408E5}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{C898E003-F4A5-4C65-8516-BC7F810408E5}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{C898E003-F4A5-4C65-8516-BC7F810408E5}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""
    0
  11. rubberduck
     
    Je viens de relancer l'option 1 en mode normal et voici le résultat :

    SmitFraudFix v2.376

    Rapport fait à 1:49:52,25, 22/11/2008
    Executé à partir de C:\Downloads\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\windows\System32\smss.exe
    C:\windows\system32\winlogon.exe
    C:\windows\system32\services.exe
    C:\windows\system32\lsass.exe
    C:\windows\system32\svchost.exe
    C:\windows\System32\svchost.exe
    C:\windows\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Utilitaires\WindowBlinds\WindowBlinds\wbload.exe
    C:\windows\Explorer.EXE
    C:\windows\System32\CNAC4RPK.EXE
    C:\WINDOWS\System32\PDesk\PDesk.exe
    C:\windows\SOUNDMAN.EXE
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\PROGRA~1\UTILIT~1\MAXTOR~1\Utils\OneTouch.exe
    C:\WINDOWS\MXOALDR.EXE
    C:\Program Files\Fichiers communs\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe
    C:\windows\vsnpstd.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\Program Files\Son\iTunes\iTunesHelper.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Search Settings\SearchSettings.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
    C:\Program Files\Internet\ZoneAlarm\zapro.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\windows\System32\mgabg.exe
    C:\windows\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Utilitaires\Symbol commander\Sensiva.exe
    C:\Program Files\Internet\Avant Browser\avant.exe
    C:\windows\System32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\windows

    »»»»»»»»»»»»»»»»»»»»»»»» C:\windows\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\windows\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\windows\system32

    C:\windows\system32\karna.dat PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ZardOz

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ZardOz\LOCALS~1\Temp

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ZardOz\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ZardOz\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="7db39a0d-580f-4be9-9195-8bfcd226f6c2"
    "SubscribedURL"="C:\\windows\\System32\\AquaReal.ocx"
    "FriendlyName"="Aqua Real"

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="karna.dat"

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\windows\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Marvell Yukon Gigabit Ethernet 10/100/1000Base-T Adapter, Copper RJ-45 - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 89.2.0.1
    DNS Server Search Order: 89.2.0.2

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{C898E003-F4A5-4C65-8516-BC7F810408E5}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{C898E003-F4A5-4C65-8516-BC7F810408E5}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{C898E003-F4A5-4C65-8516-BC7F810408E5}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  12. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Recommence l'option 2 avec la procédure donnée précédemment.
    0
  13. rubberduck
     
    Ca me refait pareil. Il plante pendant la procédure. Je me retrouve avec un écran noir et je suis obligé de faire 3 resets successifs pour retrouver mon système.
    0
  14. Utilisateur anonyme
     
    Hi,

    Pour avancer fait ceci:

    ==>Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau.

    ==>Double clique sur RSIT.exe pour lancer l'outil.

    ==>Clique sur ' continue ' à l'écran Disclaimer.

    ==>Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

    ==>Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports
    ( log.txt & info.txt )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Alut.
    0
  15. rubberduck
     
    décidément, pas de chance, je n'arrive pas à télécharger RSIT
    je tombe à chaque fois sur une page "We can't open the web page you requested ..."
    0
  16. Utilisateur anonyme
     
    Hi,

    Et sa tu peut :

    télécharge hijackthis
    -> enregistre la cible sous .... "le bureau"

    -> Fais un double-clic sur "HJTInstall.exe" afin de lancer l'installation

    -> Clique sur Install ensuite sur "I Accept"

    -> Clique sur" Do a scan system and save log file"

    -> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse

    ->Tuto hijackthis(Merci à Balltrap34)

    Alut.
    0
  17. rubberduck
     
    Hello :)

    Merci, voici le log hijackthis :

    Logfile of HijackThis v1.99.1
    Scan saved at 02:42:25, on 22/11/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\windows\System32\smss.exe
    C:\windows\system32\winlogon.exe
    C:\windows\system32\services.exe
    C:\windows\system32\lsass.exe
    C:\windows\system32\svchost.exe
    C:\windows\System32\svchost.exe
    C:\windows\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Utilitaires\WindowBlinds\WindowBlinds\wbload.exe
    C:\windows\System32\mgabg.exe
    C:\windows\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\windows\Explorer.EXE
    C:\windows\System32\CNAC4RPK.EXE
    C:\WINDOWS\System32\PDesk\PDesk.exe
    C:\windows\SOUNDMAN.EXE
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\PROGRA~1\UTILIT~1\MAXTOR~1\Utils\OneTouch.exe
    C:\WINDOWS\MXOALDR.EXE
    C:\Program Files\Fichiers communs\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe
    C:\windows\vsnpstd.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\Program Files\Son\iTunes\iTunesHelper.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Search Settings\SearchSettings.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
    C:\Program Files\Utilitaires\Symbol commander\Sensiva.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Internet\ZoneAlarm\zapro.exe
    C:\Program Files\Internet\Avant Browser\avant.exe
    C:\Downloads\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
    O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\en-us\msntb.dll
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
    O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\windows\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
    O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\UTILIT~1\MAXTOR~1\Utils\OneTouch.exe
    O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
    O4 - HKLM\..\Run: [NexusServer] "C:\Program Files\Fichiers communs\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch
    O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Program Files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
    O4 - HKLM\..\Run: [snpstd] C:\windows\vsnpstd.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\video\QT\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\Son\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
    O4 - HKCU\..\Run: [Sensiva] "C:\Program Files\Utilitaires\Symbol commander\Sensiva.exe"
    O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Program Files\Internet\Orca Browser\plugins\NPSWF32_FlashUtil.exe -p
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Internet\ZoneAlarm\zapro.exe
    O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\Internet\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\Internet\DAP\dapextie2.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre d'Avant Browser - C:\Program Files\Internet\Avant Browser\OpenInNewBrowser.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\Internet\DAP\DAP.EXE
    O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
    O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.fr/s/v/e/36.24/KBTUZDFvTZs/uploader2.cab
    O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - AppInit_DLLs: karna.dat
    O20 - Winlogon Notify: WB - C:\PROGRA~1\UTILIT~1\WINDOW~1\WINDOW~1\fastload.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\windows\System32\mgabg.exe
    O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\windows\System32\irdvxc.exe" /service (file missing)
    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  18. Utilisateur anonyme
     
    Hi,

    Tu as utiliser mon lien ou pas car la c'est la version Logfile of HijackThis v1.99.1

    Et mon lien donne la 2.0.2??

    Alut.
    0
  19. rubberduck
     
    j'ai essayé ton lien mais il ne marchait pas sur mon pc alors j'ai du aller chercher à une autre adresse
    0
  20. rubberduck
     
    Voila, je viens de trouver la version 2.0.2 et ça donne ça :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 02:52:15, on 22/11/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\windows\System32\smss.exe
    C:\windows\system32\winlogon.exe
    C:\windows\system32\services.exe
    C:\windows\system32\lsass.exe
    C:\windows\system32\svchost.exe
    C:\windows\System32\svchost.exe
    C:\windows\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Utilitaires\WindowBlinds\WindowBlinds\wbload.exe
    C:\windows\System32\mgabg.exe
    C:\windows\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\windows\Explorer.EXE
    C:\windows\System32\CNAC4RPK.EXE
    C:\WINDOWS\System32\PDesk\PDesk.exe
    C:\windows\SOUNDMAN.EXE
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\PROGRA~1\UTILIT~1\MAXTOR~1\Utils\OneTouch.exe
    C:\WINDOWS\MXOALDR.EXE
    C:\Program Files\Fichiers communs\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe
    C:\windows\vsnpstd.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\Program Files\Son\iTunes\iTunesHelper.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Search Settings\SearchSettings.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
    C:\Program Files\Utilitaires\Symbol commander\Sensiva.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Internet\ZoneAlarm\zapro.exe
    C:\Program Files\Internet\Avant Browser\avant.exe
    C:\Downloads\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
    O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\en-us\msntb.dll
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
    O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\windows\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
    O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\UTILIT~1\MAXTOR~1\Utils\OneTouch.exe
    O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
    O4 - HKLM\..\Run: [NexusServer] "C:\Program Files\Fichiers communs\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch
    O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Program Files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
    O4 - HKLM\..\Run: [snpstd] C:\windows\vsnpstd.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\video\QT\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\Son\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
    O4 - HKCU\..\Run: [Sensiva] "C:\Program Files\Utilitaires\Symbol commander\Sensiva.exe"
    O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Program Files\Internet\Orca Browser\plugins\NPSWF32_FlashUtil.exe -p
    O4 - HKUS\S-1-5-18\..\Run: [Win32 SSL Driver] winssv.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [brastk] C:\windows\System32\brastk.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [Win32 SSL Driver] winssv.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [Win32 SSL Driver] winssv.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [Win32 SSL Driver] winssv.exe (User 'Default user')
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Internet\ZoneAlarm\zapro.exe
    O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\Internet\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\Internet\DAP\dapextie2.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre d'Avant Browser - C:\Program Files\Internet\Avant Browser\OpenInNewBrowser.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\Internet\DAP\DAP.EXE
    O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
    O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.fr/s/v/e/36.24/KBTUZDFvTZs/uploader2.cab
    O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
    O20 - AppInit_DLLs: karna.dat
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\windows\System32\mgabg.exe
    O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\windows\System32\irdvxc.exe (file missing)
    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    O24 - Desktop Component 0: Aqua Real - 7db39a0d-580f-4be9-9195-8bfcd226f6c2
    0
  21. Utilisateur anonyme
     
    hi,

    Il a du boulot a faire dessus:

    Combofix. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts...

    Fais exactement ce qui suit :

    Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
    Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide :

    --------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
    !! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation (si jamais tu en as et que je ne les ai pas vu sur le rapport hijackthis....)

    ---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

    Tuto ici : TUTO
    ---------------------------------------------------------------------------------------------------------------------------------

    Ensuite :

    Double-clique sur C-Fix.exe (= combofix.exe ) .

    Appuie sur une touche pour démarrer le scan .

    Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

    Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

    Alut.
    0
  • 1
  • 2
  • 3