You have a securityproblem

Résolu
philou974 -  
neor Messages postés 1119 Statut Membre -
Bonjour,

j'ai un probleme de sécurité. le message suivant s'affiche dans la zone en bas à droite de mon écran, dans un écusson rouge : "You have a security problem!".
J'ai déjà lu des solutions pour l'éradiquer et après avoir lancé Hijickthis j'ai le log ci-dessous.
Quelqu'un a-t-il une solution pour moi ?

Merci d'avance

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:37:33, on 12/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\a.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~tmpb.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~tmpc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: (no name) - {C4C007CB-6433-46A1-86BB-37E4CE5B0B05} - C:\WINDOWS\system32\cdfvie.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [DrvLsnr] "C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~tmpb.exe
O4 - HKCU\..\Run: [MSFox] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\a.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: https://www.orange.fr/portail
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game05.zylom.com/activex/zylomgamesplayer.cab
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 3740 bytes
Configuration: Windows XP
Internet Explorer 6.0

20 réponses

  1. neor Messages postés 1119 Statut Membre 30
     
    Bonjour,

    Lance Malwarebyte's https://download.cnet.com/Malwarebytes/3000-8022_4-10804572.html

    Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ).

    --> Laisses le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    http://site-naheulbeuk.com/
    0
    1. philou974
       
      J'ai fais ce que tu as dit. J'ai téléchargé le programme mbam-setup.exe sur le site malwarebytes mais au moment de l'execution il ne fait rien !

      Je le vois apparaître une fraction de seconde dans le gestionnaire de taches de windows, onglet processus puis plus rien. Ca s'est déjà produit avec un autre logiciel qu'on m'avait dit de lancer.

      ???
      0
  2. neor Messages postés 1119 Statut Membre 30
     
    -------------recherche-----------------------

    Télécharge SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
    http://siri.urz.free.fr/Fix/SmitfraudFix.exe

    Installe le soft sur ton bureau ( et pas ailleurs! ) .

    !! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!

    Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
    Autre tuto animé ( merci balltrapp34 Wink ) : http://pagesperso-orange.fr/rginformatique/section%20virus/s­mitfraudfix.htm

    Utilisation ---> option 1 / Recherche :
    Double-clique sur l'icône "Smitfraudfix.exe" et sélectionne 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.

    Poste le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

    (Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)
    0
  3. philou974
     
    j'ai fait ce que tu m'as dit. tout arrété. internet débranché.

    dès execution de smitfraudfix j'obtiens j'ai la fenetre windows avec le message :" smitfraudfix a rencontré un problème et doit fermer" et les boutons "envoyer lerapport d'erreur' / "ne pas envoyer"

    ai-je d'autres virus peut-être ??
    0
  4. neor Messages postés 1119 Statut Membre 30
     
    Télécharge FindyKill de Chiquitine29 :

    http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

    ->Enregistre le sur ton bureau et pas ailleurs !

    !! Déconnecte toi et ferme toutes applications en cours !!

    ( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)

    -> Clique sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.

    Notes importantes :
    * si tu as le prg Elibagla sur ton PC , supprime le ( risque de conflit entre les deux outils ) .

    --> Double clique sur le raccourci " FindyKill " qui est sur ton bureau .
    ( sur la 1er fenêtre , tapes f puis [entrèe] pour la version en français ).

    -->choisis l'option 1 ( recherche ) . Puis laisse travailler l'outil sans rien toucher ...

    Une fois terminé, poste le rapport FindyKill.txt qui est généré ...

    ( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

    PS : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Tuto : https://www.malekal.com/tutorial-findykill/
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. philou974
     
    Voici le résultat de findykill :

    ----------------- FindyKill V4.709 ------------------

    * User : Administrateur - SANS-CF17852F88
    * Emplacement : C:\Program Files\FindyKill
    * Outils Mis a jours le 10/12/08 par Chiquitine29
    * Recherche effectuée à 21:03:30 le 12/12/2008
    * Windows XP - Internet Explorer 6.0.2900.2180

    ((((((((((((((((( *** Recherche *** ))))))))))))))))))

    --------------- [ Processus actifs ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\system32\xR1xKLTW.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\a.exe
    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~tmpb.exe
    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~tmpc.exe

    --------------- [ Fichiers/Dossiers infectieux ] ----------------

    »»»» Presence des fichiers dans C:

    »»»» Presence des fichiers dans C:\WINDOWS

    »»»» Presence des fichiers dans C:\WINDOWS\Prefetch

    »»»» Presence des fichiers dans C:\WINDOWS\system32

    »»»» Presence des fichiers dans C:\WINDOWS\system32\config\systemprofile\AppData\Roaming

    »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

    »»»» Presence des fichiers dans C:\Documents and Settings\Administrateur\Application Data

    »»»» Presence des fichiers dans C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp

    »»»» Presence des fichiers dans C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5

    Found ! [27/11/2008 17:28] - C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\01YBW9YZ\image_1378_48c826b64e074[1].jpg
    Found ! [07/12/2008 21:45] - C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\0FXRAYBH\3FC6B6486BDA0C649611928D3BF6D[1].jpg
    Found ! [02/11/2008 20:38] - C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\IJK7WXS1\l_f53a47922ade153f447bf4ffef2b6498[1].jpg
    Found ! [03/08/2008 23:56] - C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\O96BCPMN\WMP482db059-9b91-4be1-90bb-6139f5b64de6[1]..jpg
    Found ! [05/11/2008 22:33] - C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\VZ9BZD0W\gSbXbEUmXdkFbTtiVY88ea24ef3WqPq8[1].jpg
    Found ! [08/12/2008 20:13] - C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\ZJHF7TKW\BACF734D62CAEBDF7427C0FECB64[1].jpg

    --------------- [ Registre / Startup ] ----------------

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    Cognac=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~tmpb.exe
    MSFox=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\a.exe

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    Smapp=C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
    IgfxTray=C:\WINDOWS\system32\igfxtray.exe
    HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
    DrvLsnr="C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe"
    Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
    <NO NAME>=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
    Installed=1
    <NO NAME>=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
    NoChange=1
    Installed=1
    <NO NAME>=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
    Installed=1
    <NO NAME>=

    [HKEY_CURRENT_USER\software\local appwizard-generated applications\Smapanel]

    --------------- [ Registre / Clés infectieuses ] ----------------

    --------------- [ Etat / Services ] ----------------

    +- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

    Ndisuio - Type de démarrage = 3

    Ip6Fw - Type de démarrage = 3

    SharedAccess - Type de démarrage = 2

    wuauserv - Type de démarrage = 2

    wscsvc - Type de démarrage = 2

    --------------- [ Recherche dans supports amovibles] ----------------

    +- Informations :

    C: - Lecteur fixe

    +- presence des fichiers :

    --------------- [ Registre / Mountpoint2 ] ----------------

    -> Not found !

    ------------------- ! Fin du rapport ! --------------------
    0
  7. neor Messages postés 1119 Statut Membre 30
     
    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

    --> Double clic sur le raccourci FindyKill sur ton bureau

    --> Au menu principal,choisi l option 2 (Suppression)

    /!\ il y aura 2 redémarrage, laisse travailler l outils jusqu'à l'apparition du message "nettoyage effectué"

    /!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !

    -------> ensuite post le rapport FindyKill.txt

    Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
    Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
    0
  8. philou974
     
    ca y est!

    j'ai exécuté findykill option 2 et voici le résultat :

    ----------------- FindyKill V4.709 ------------------

    * User : Administrateur - SANS-CF17852F88
    * executed from : C:\Program Files\FindyKill
    * Update on 10/12/08 par Chiquitine29
    * Start at 8:17:02 the 13/12/2008
    * Windows XP - Internet Explorer 6.0.2900.2180

    ((((((((((((((( *** deleting *** ))))))))))))))))))

    --------------- [ Active Processes ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\userinit.exe

    --------------- [ Infected files / folders ] ----------------

    »»»» Supression files in C:

    »»»» Supression files in C:\WINDOWS

    »»»» Supression files in C:\WINDOWS\Prefetch

    »»»» Supression files in C:\WINDOWS\system32

    »»»» Supression files in C:\WINDOWS\system32\config\systemprofile\AppData\Roaming

    »»»» Supression files in C:\WINDOWS\system32\drivers

    »»»» Supression files in C:\Documents and Settings\Administrateur\Application Data

    »»»» Supression files in C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp

    »»»» Supression files in C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5

    Deleted ! - C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\01YBW9YZ\image_1378_48c826b64e074[1].jpg
    Deleted ! - C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\0FXRAYBH\3FC6B6486BDA0C649611928D3BF6D[1].jpg
    Deleted ! - C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\IJK7WXS1\l_f53a47922ade153f447bf4ffef2b6498[1].jpg
    Deleted ! - C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\O96BCPMN\WMP482db059-9b91-4be1-90bb-6139f5b64de6[1]..jpg
    Deleted ! - C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\VZ9BZD0W\gSbXbEUmXdkFbTtiVY88ea24ef3WqPq8[1].jpg
    Deleted ! - C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\ZJHF7TKW\BACF734D62CAEBDF7427C0FECB64[1].jpg

    --------------- [ Registry / Infected keys ] ----------------

    --------------- [ States / Restarting of services ] ----------------

    +- Services : [ Auto=2 / Request=3 / Disable=4 ]

    Ndisuio - Type of startup = 3

    Ip6Fw - Type of startup = 2

    SharedAccess - Type of startup = 2

    wuauserv - Type of startup = 2

    wscsvc - Type of startup = 2

    --------------- [ Cleaning removable drives ] ----------------

    +- Informations :

    C: - Lecteur fixe

    +- deleting files :

    --------------- [ Registry / Mountpoint2 ] ----------------

    -> Not found !

    --------------- [ Searching Cracks / Keygen ] ----------------

    ---------------- ! End of report ! ------------------
    0
  9. neor Messages postés 1119 Statut Membre 30
     
    Télécharge SDFix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe?thread (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

    /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

    Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    comment demarrer en mode sans echec en images
    Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    Choisis ton compte.

    Déroule la liste des instructions ci-dessous :

    * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    * Appuie sur Y pour commencer le processus de nettoyage.
    Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    * Appuie sur une touche pour redémarrer le PC.
    Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

    Tuto d'instalation et de mise en oeuvre https://www.malekal.com/slenfbot-still-an-other-irc-bot/
    0
  10. philou974
     
    après Findykill le "you have a security problem!" semble avoir disparu!

    j'avais encore des processus nommés "~tmpb" et autre "a" ou encore "2" que je désactivais car rallentissant beaucoup Internet.

    et après sdfix voici le résultat.
    Je ne sais pas si c'est fini, mais en tout cas un grand merci déjà !!!!!!!!!!!

    le rapport de Sdfix :

    [b]SDFix: Version 1.240 [/b]
    Run by Administrateur on 13/12/2008 at 14:37

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\DOCUME~1\ADMINI~1\Bureau\SDFix

    [b]Checking Services [/b]:

    Restoring Default Security Values
    Restoring Default Hosts File

    Rebooting

    [b]Checking Files [/b]:

    Trojan Files Found:

    C:\Documents and Settings\Administrateur\Local Settings\Temp\2.tmp.exe - Deleted
    C:\WINDOWS\Temp\5.tmp.exe - Deleted
    C:\WINDOWS\Temp\5.tmp.exe - Deleted
    C:\WINDOWS\system32\wini10737.exe - Deleted
    C:\WINDOWS\system32\msxml71.dll - Deleted
    C:\WINDOWS\system32\TDSShrxr.dll - Deleted
    C:\WINDOWS\system32\TDSSmtql.dll - Deleted
    C:\WINDOWS\system32\TDSSxfum.dll - Deleted
    C:\WINDOWS\system32\TDSSlxwp.dll - Deleted
    C:\WINDOWS\system32\TDSSmtvd.dat - Deleted
    C:\WINDOWS\system32\TDSSkkbi.log - Deleted

    Could Not Remove C:\WINDOWS\system32\TDSSoiqt.dll

    Removing Temp Files

    [b]ADS Check [/b]:

    [b]Final Check [/b]:

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-13 14:54:02
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    disk error: C:\WINDOWS\system32\config\system, 0
    scanning hidden registry entries ...

    disk error: C:\WINDOWS\system32\config\software, 0
    disk error: C:\Documents and Settings\Administrateur\ntuser.dat, 0
    scanning hidden files ...

    disk error: C:\WINDOWS\

    please note that you need administrator rights to perform deep scan

    [b]Remaining Services [/b]:

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\ma-config.com\\maconfservice.exe"="C:\\Program Files\\ma-config.com\\maconfservice.exe:LocalSubNet:Enabled:maconfservice"
    "C:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\french\\setup.exe"="C:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\french\\setup.exe:*:Enabled:Programme d'installation de Kaspersky Internet Security 2009"
    "C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
    "C:\\WINDOWS\\system32\\usmt\\migwiz.exe"="C:\\WINDOWS\\system32\\usmt\\migwiz.exe:*:Enabled:Assistant Transfert de fichiers et de paramŠtres"
    "C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
    "C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

    [b]Remaining Files [/b]:

    C:\WINDOWS\system32\TDSSoiqt.dll Found

    File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\SDFix\backups\backups.zip

    [b]Files with Hidden Attributes [/b]:

    [b]Finished![/b]
    0
  11. neor Messages postés 1119 Statut Membre 30
     
    Télécharge OTMoveIt3 de OldTimer
    http://oldtimer.geekstogo.com/OTMoveIt3.exe

    * Enregistre-le sur ton bureau
    * Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître)
    * Copie-colle l'entièreté de ceci ci dessous dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) :

    :processes
    explorer.exe
    
    :files
    C:\WINDOWS\system32\TDSSoiqt.dll
     
    :commands
    [emptytemp]
    [Reboot]
    
    


    * Clique sur le bouton rouge Moveit! pour lancer le nettoyage
    * Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results (en vert à droite)
    --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
    * Ferme OTMoveIt3 (en cliquant sur Exit)

    Note : Si un fichier ou un dossier ne sait être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter...
    0
  12. philou974
     
    impossible d'aller sur les sites :

    http://oldtimer.geekstogo.com/OTMoveIt3.exe

    http://download.bleepingcomputer.com/oldtimer/OTMoveIt3.exe

    il affiche impossible d'afficher la page.

    Je ne comprends pas
    0
  13. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut

    redémarre en mode sans échec et va supprimer manuellement ce fichier :

    C:\WINDOWS\system32\TDSSoiqt.dll
    0
    1. neor Messages postés 1119 Statut Membre 30
       
      salut

      un combofix pour resoudre le blocage de tdss ?
      0
      1. g!rly Messages postés 18462 Statut Contributeur 407 > neor Messages postés 1119 Statut Membre
         
        Salut neor,
        oué ça pourrait surement aider :)
        0
    2. philou974
       
      salut

      pas trouvé le TDSSoiqt.dll dans system32 mais dans bureau\SDFIX\backups\catchme.zip comme élément compressé donc. je n'ai pas cherché à supprimer l'archive.
      mais je vais maintenant essayer le combofix.

      merci

      @+
      0
  14. neor Messages postés 1119 Statut Membre 30
     
    Télécharge combofix.exe (par sUBs) sur ton Bureau.

    -> http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    -> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    post egalement un nouveau rapport hijack this dans ta reponse
    0
    1. philou974
       
      OK. J'essaie tout ça et je reviens poster les 2 résultats des scan.
      mais avant tout, je précise qu'actuellement je n'ai ni antivirus ni spyware installé sur mon PC.

      pouvez-vous mes conseiller pour l'acquisition ddes deux types de logiciel mais plutôt gratuit. merci d'avance.
      0
  15. philou974
     
    je viens d'essayer le lien http://download.bleepingcomputer.com/sUBs/ComboFix.exe.
    il m'affiche : "impossible d'afficher la page" comme pour OTMoveIt3.

    vais-je m'en sortir??? je l'éspère...
    0
  16. neor Messages postés 1119 Statut Membre 30
     
    0
    1. philou974
       
      ca y est, voici le log de bobofix :
      ComboFix 08-12-13.03 - Administrateur 2008-12-15 20:48:15.1 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1015.788 [GMT 3:00]
      Lancé depuis: c:\documents and settings\Administrateur\Mes documents\utilitaires\anti spyware\BoBoFix.exe

      [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\windows\system32\xR1xKLTW.exe.a_a

      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Legacy_TDSSSERV.SYS


      ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-15 au 2008-12-15 ))))))))))))))))))))))))))))))))))))
      .

      2008-12-15 18:54 . 2008-12-15 18:54 96,976 --a------ c:\windows\system32\drivers\klin.dat
      2008-12-15 18:54 . 2008-12-15 18:54 87,855 --a------ c:\windows\system32\drivers\klick.dat
      2008-12-15 18:53 . 2008-12-15 18:53 <REP> d-------- c:\program files\Kaspersky Lab
      2008-12-15 18:53 . 2008-12-15 20:40 <REP> d-------- c:\documents and settings\All Users\Application Data\Kaspersky Lab
      2008-12-13 14:31 . 2008-12-13 14:31 <REP> d-------- c:\windows\ERUNT
      2008-12-12 21:01 . 2008-12-13 08:25 <REP> d-------- c:\program files\FindyKill
      2008-12-12 12:00 . 2008-12-12 12:00 <REP> dr------- c:\documents and settings\NetworkService\Favoris
      2008-12-12 11:40 . 2008-12-12 11:40 <REP> d-------- c:\documents and settings\All Users\Application Data\Grisoft
      2008-12-12 10:47 . 2008-12-12 11:04 77,824 --a------ c:\windows\system32\xR1xKLTW.exe
      2008-11-25 19:42 . 2008-11-25 19:47 379 --a------ c:\windows\ODBC.INI
      2008-11-25 19:41 . 2008-11-25 19:47 <REP> d-------- c:\windows\ShellNew
      2008-11-25 19:40 . 2008-11-25 19:40 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Microsoft Web Folders
      2008-11-21 06:13 . 2008-11-10 20:01 523,984 --a------ c:\windows\VeronicaZemanova.scr
      2008-11-20 21:24 . 2007-11-30 08:45 644,400 --a------ c:\windows\system32\MSCOMCT2.OCX

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-12-11 07:38 --------- d-----w c:\documents and settings\All Users\Application Data\ZoomBrowser
      2008-12-11 07:38 --------- d-----w c:\documents and settings\Administrateur\Application Data\ZoomBrowser EX
      2008-11-29 09:17 --------- d-----w c:\program files\FourPillars
      2008-11-20 19:41 --------- d-----w c:\program files\FPFS
      2008-11-20 18:24 --------- d--h--w c:\program files\InstallShield Installation Information
      2008-11-20 18:24 --------- d-----w c:\program files\Google
      2008-11-13 15:13 --------- d-----w c:\documents and settings\Administrateur\Application Data\GetRightToGo
      2008-11-12 17:07 164 ----a-w C:\install.dat
      2008-11-12 16:43 99,072 ----a-w c:\windows\system32\cdfvie.dll
      2008-11-12 16:40 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
      2008-11-11 17:00 218,376 ----a-w c:\windows\system32\klogon.dll
      2008-11-11 16:58 25,601 ----a-w c:\windows\system32\drivers\klopp.dat
      2008-11-10 17:38 13,312 ----a-w c:\documents and settings\Administrateur\S87ekhV.exe
      2008-11-10 14:00 --------- d-----w c:\documents and settings\Administrateur\Application Data\Smart Panel
      2008-11-10 13:55 --------- d-----w c:\program files\Smart Panel
      2008-11-10 13:40 --------- d-----w c:\documents and settings\Administrateur\Application Data\EPSON
      2008-11-10 13:36 --------- d-----w c:\program files\EPSON
      2008-11-05 04:43 --------- d-----w c:\documents and settings\All Users\Application Data\Zylom
      2008-11-05 04:00 --------- d-----w c:\program files\Alwil Software
      2008-10-29 19:09 --------- d-----w c:\documents and settings\Administrateur\Application Data\Winamp
      2008-10-24 04:57 --------- d-----w c:\documents and settings\All Users\Application Data\ConeXware
      2008-10-24 04:38 --------- d-----w c:\program files\Ghostgum
      2008-10-20 17:41 --------- d-----w c:\program files\Fichiers communs\Apple
      2008-10-20 17:39 --------- d-----w c:\program files\PageTech
      2008-10-20 17:38 --------- d-----w c:\program files\Zylom Games
      2008-10-16 20:37 --------- d-----w c:\program files\CDex_170b2
      2008-09-17 16:06 4,608 ----a-w c:\windows\system32\yrhottan.dll
      2008-09-17 15:44 73,216 ----a-w c:\windows\ST6UNST.EXE
      2008-09-17 15:44 286,720 ------w c:\windows\Setup1.exe
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C4C007CB-6433-46A1-86BB-37E4CE5B0B05}]
      2008-11-12 19:43 99072 --a------ c:\windows\system32\cdfvie.dll

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
      "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
      "IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-21 155648]
      "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-21 126976]
      "DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
      "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
      "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

      c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
      Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588]

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winci78.sys]
      @="Driver"

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
      --a------ 2008-09-10 17:40 289576 c:\program files\iTunes\iTunesHelper.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
      --a------ 2008-09-06 15:09 413696 c:\program files\QuickTime\QTTask.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wallpaper]
      --a------ 2007-08-21 02:27 233472 c:\program files\Wallpaper\Wallpaper.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
      "LightScribeService"=2 (0x2)
      "iPod Service"=3 (0x3)
      "Bonjour Service"=2 (0x2)
      "CCALib8"=2 (0x2)

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\french\\setup.exe"=
      "c:\\Program Files\\Messenger\\msmsgs.exe"=
      "c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
      "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
      "c:\\Program Files\\iTunes\\iTunes.exe"=

      R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
      R0 tfsaihsp;tfsaihsp;c:\windows\system32\drivers\tfsaihsp.sys [2004-08-05 23424]
      R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2008-04-30 24592]
      S0 Winci78;Winci78;c:\windows\system32\Drivers\Winci78.sys []

      *Newly Created Service* - TDSSSERV.SYS

      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
      "c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe"
      .
      Contenu du dossier 'Tâches planifiées'

      2008-12-12 c:\windows\Tasks\At1.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-14 c:\windows\Tasks\At10.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-14 c:\windows\Tasks\At11.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At12.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At13.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At14.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-13 c:\windows\Tasks\At15.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-14 c:\windows\Tasks\At16.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At17.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-15 c:\windows\Tasks\At18.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-15 c:\windows\Tasks\At19.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At2.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-15 c:\windows\Tasks\At20.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-15 c:\windows\Tasks\At21.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At22.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At23.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At24.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At25.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At26.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At27.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At28.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At29.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At3.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At30.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At31.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At32.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-14 c:\windows\Tasks\At33.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-14 c:\windows\Tasks\At34.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-14 c:\windows\Tasks\At35.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At36.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At37.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At38.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-13 c:\windows\Tasks\At39.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At4.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-13 c:\windows\Tasks\At40.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At41.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-15 c:\windows\Tasks\At42.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-15 c:\windows\Tasks\At43.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-15 c:\windows\Tasks\At44.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-15 c:\windows\Tasks\At45.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At46.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At47.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At48.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At5.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At6.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At7.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-12 c:\windows\Tasks\At8.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]

      2008-12-14 c:\windows\Tasks\At9.job
      - c:\windows\system32\xR1xKLTW.exe [2008-12-12 11:04]
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      HKU-Default-Run-Cognac - c:\windows\TEMP\5.tmp.exe
      MSConfigStartUp-Cognac - c:\docume~1\ADMINI~1\LOCALS~1\Temp\2.tmp.exe
      MSConfigStartUp-MSFox - c:\docume~1\ADMINI~1\LOCALS~1\Temp\a.exe


      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://fr.yahoo.com/
      mStart Page = hxxp://www.google.com
      uInternet Settings,ProxyOverride = *.local

      c:\windows\Downloaded Program Files\zylomgamesplayer.dll - O16 -: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B}
      hxxp://game05.zylom.com/activex/zylomgamesplayer.cab
      c:\windows\Downloaded Program Files\ZylomGamesPlayer.inf
      .

      **************************************************************************

      catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-12-15 20:57:35
      Windows 5.1.2600 Service Pack 2 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés:

      **************************************************************************

      [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys]
      "imagepath"="\systemroot\system32\drivers\TDSSmqct.sys"
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\program files\Analog Devices\SoundMAX\SMAgent.exe
      c:\windows\system32\wdfmgr.exe
      c:\windows\system32\wscntfy.exe
      .
      **************************************************************************
      .
      Heure de fin: 2008-12-15 20:59:22 - La machine a redémarré [Administrateur]
      ComboFix-quarantined-files.txt 2008-12-15 17:59:17

      Avant-CF: 4,988,870,656 octets libres
      Après-CF: 5,140,987,904 octets libres

      247 --- E O F --- 2008-07-31 16:20:52
      0
  17. neor Messages postés 1119 Statut Membre 30
     
    Télécharge SDFix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe?thread (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

    /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

    Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    comment demarrer en mode sans echec en images
    Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    Choisis ton compte.

    Déroule la liste des instructions ci-dessous :

    * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    * Appuie sur Y pour commencer le processus de nettoyage.
    Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    * Appuie sur une touche pour redémarrer le PC.
    Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

    Tuto d'instalation et de mise en oeuvre https://www.malekal.com/slenfbot-still-an-other-irc-bot/
    0
  18. philou974
     
    voici le rapport :

    [b]SDFix: Version 1.240 [/b]
    Run by Administrateur on 15/12/2008 at 21:17

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\DOCUME~1\ADMINI~1\Bureau\SDFix

    [b]Checking Services [/b]:

    Restoring Default Security Values
    Restoring Default Hosts File

    Rebooting

    [b]Checking Files [/b]:

    Trojan Files Found:

    C:\WINDOWS\system32\TDSSlxwp.dll - Deleted
    C:\WINDOWS\system32\TDSSmtvd.dat - Deleted
    C:\WINDOWS\system32\TDSSkkbi.log - Deleted

    Could Not Remove C:\WINDOWS\system32\TDSSoiqt.dll
    Could Not Remove C:\WINDOWS\system32\TDSShrxr.dll
    Could Not Remove C:\WINDOWS\system32\TDSSmtql.dll
    Could Not Remove C:\WINDOWS\system32\TDSSxfum.dll

    Removing Temp Files

    [b]ADS Check [/b]:

    [b]Final Check [/b]:

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-15 21:27:21
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    disk error: C:\WINDOWS\system32\config\system, 0
    scanning hidden registry entries ...

    disk error: C:\WINDOWS\system32\config\software, 0
    disk error: C:\Documents and Settings\Administrateur\ntuser.dat, 0
    scanning hidden files ...

    disk error: C:\WINDOWS\

    please note that you need administrator rights to perform deep scan

    [b]Remaining Services [/b]:

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\french\\setup.exe"="C:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\french\\setup.exe:*:Enabled:Programme d'installation de Kaspersky Internet Security 2009"
    "C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
    "C:\\WINDOWS\\system32\\usmt\\migwiz.exe"="C:\\WINDOWS\\system32\\usmt\\migwiz.exe:*:Enabled:Assistant Transfert de fichiers et de paramŠtres"
    "C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
    "C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

    [b]Remaining Files [/b]:

    C:\WINDOWS\system32\TDSSoiqt.dll Found
    C:\WINDOWS\system32\TDSShrxr.dll Found
    C:\WINDOWS\system32\TDSSmtql.dll Found
    C:\WINDOWS\system32\TDSSxfum.dll Found
    C:\WINDOWS\system32\TDSSlxwp.dll Found
    C:\WINDOWS\system32\TDSSkkbi.log Found

    File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\SDFix\backups\backups.zip

    [b]Files with Hidden Attributes [/b]:

    [b]Finished![/b]
    0
  19. neor Messages postés 1119 Statut Membre 30
     
    il faut que tu t'inscrive sur le forum pour que je t'envoi un message PV STP
    0
    1. philou974 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
       
      ca y est, je suis inscrit sous le pseudo philou974
      0
  20. philou974 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
     
    salut
    j'ai fais tout ce que tu m'as dit. C'est Ok mais mon système est un peu lent.

    Merci pour tout.
    0
  21. neor Messages postés 1119 Statut Membre 30
     
    Lance Malwarebyte's https://download.cnet.com/Malwarebytes/3000-8022_4-10804572.html

    Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ).

    --> Laisses le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
    0