Message d'erreur de chargement au démarrageRésolu/Fermé

Question

Bonjour,

J'ai actuellement un problème au démarrage de mon PC, qui m'affiche ce message d'erreur : "Erreur de chargement de c:\WINDOWS\system32\pirotima.dll, le module spécifié est introuvable" et un decond message d'erreur du même type avec "wadibevu.dll"

Cela fait suite à une analyse anti-spyware avec SpyBot, que j'ai lancée parce qu'après une analyse avec avast, un de mes logiciel fonctionnait au ralenti (et c'est d'ailleurs toujours le cas... je crains avoir supprimé quelque chose d'important lors de l'analyse avast, le problème est qu'à chaque fois, je ne sais pas si je dois mettre en quarantaine ou supprimer, alors je supprime... si quelqu'un pouvait m'éclairicir sur ce point aussi, au passage, ça serait bien, aimable ?!)

Donc, suite à l'analyse SpyBot, j'ai supprimé quelques fichiers jugés néfastes par le logiciel, dont un avait rapport avec Windows, d'après son nom... Aurait-ce un rapport avec mon problème ? Quoi qu'il en soit, j'ai restauré ce fichier grâce à l'option de restauration de SpyBot, mais rien ne change, j'ai toujours ces messages au démarrage.
 
Je dois aussi peut-être préciser que j'ai eu divers problèmes pour faire cette analyse, entre autres parce que certaines MAJ ne voulaient pas s'installer, et un message me prévenait d'une éventuelle incompatibilité avec Adaware. J'ai donc désinstallé les 2 logiciels puis réinstallé SpyBot uniquement, avec les MAJ qui ont bien voulu se télécharger cette fois. A noter également que le premier lien commercial pour SpyBot trouvé sur google menait à un message d'alerte d'avast quand j'essayais de télécharger le logiciel, et que j'ai donc finalement téléchargé par l'intermédiaire d'un autre site bien connu dont j'ignore si je peux citer le nom.

Alors, après quelques recherches, j'ai vu qu'il y avait des cas plus ou moins similaires décrits ici, et qu'on demandait en général de fraire une analyse Hijackthis, ce que j'ai fait, et j'affiche donc le résultat : je laisse ensuite ça aux mains de personnes plus avisées pour me dire ce que je dois faire, parce que je dis bien avouer que je n'y connais rien ! Merci d'avance !

___________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:01:31, on 14/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Orange HSS\Systray\SystrayApp.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\INVISI~1\invtray.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Micro Application\9 DICOS Indispensables\MediaDICO9.EXE
C:\Program Files\Micro Application\9 DICOS Indispensables\Rac9.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\Fichiers communs\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange HSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1fcc18b3-df3f-48ce-96b1-0063adaf7a5c} - C:\WINDOWS\system32\bivulota.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange HSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange HSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CPM5f30beb6] Rundll32.exe "c:\windows\system32\wadibevu.dll",a
O4 - HKLM\..\Run: [keradikewe] Rundll32.exe "C:\WINDOWS\system32\pirotima.dll",s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Invisible Secrets 4] C:\PROGRA~1\INVISI~1\invtray.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [MediaDico9] C:\Program Files\Micro Application\9 DICOS Indispensables\LanceMediaDICO9.exe Lancement
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [keradikewe] Rundll32.exe "C:\WINDOWS\system32\pirotima.dll",s (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.fr/
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\fewusopa.dll c:\windows\system32\wadibevu.dll
O20 - Winlogon Notify: xxyyvWNh - xxyyvWNh.dll (file missing)
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\wadibevu.dll (file missing)
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\wadibevu.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

anthony5151 · Answer

Bonjour,

Les messages d'erreurs ne sont pas graves, ils sont dûs au fait que certains fichiers infectés ont été supprimés (par Spybot ou Avast), mais que la clé du registre correspondante essaye toujours de le lancer

Par contre, il y a beaucoup d'autres fichiers infectés qui sont encore actifs d'après le rapport hijackthis...


Télécharge et installe Malwarebytes' Anti-Malware
- A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
- Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
- Clique sur "Lancer l’examen" 
- A la fin du scan, clique sur Afficher les résultats
- Coche tous les éléments  détectés puis clique sur Supprimer la sélection
- Enregistre le rapport
- S'il t'est demandé de redémarrer, clique sur Yes

Poste le rapport de scan après la suppression ici

Evaan · Answer

Aha, merci pour la réponse ! J'ai suivi les instructions et déjà, plusieurs choses miraculeuses se sont produites !

1 - Mon logiciel qui marchait au ralenti remarche correctement !
2 - Mes messages d'erreur décrits ne sont pas apparus au redémarrage !
2 - Quelques nouveaux problèmes qui s'étaient manifestés semblent s'être arrangés, à savoir une lenteur démeusurée de IE (avec souvent des échecs d'ouverture de page), l'ouverture spontanées de pages web indésirées avec un nom de site genre "zustaus", et des pop-up de SpyBot qui m'avertissaient d'un changement important dans le registre et qui réapparaissaient inlassablement quand je répondais de refuser la modification. Il se trouve qu'il détectait le remplacement de mon fameux "wadibevu.ddl"  en "vedilune.ddl". Cette fois, au redémarrage, il détectait d'autres dll qui étaient remplacés par rien du tout, donc j'ai accepté la modif. 

Seul hic, j'ai eu un nouveau message d'erreur assez bizarre : "access violation at adress 00000000. Read of adress 00000000."

Bon, en attendant, je poste donc le rapport de MBAM :
Et merci encore !

(Maintenant, il me faudrait aussi des petits conseils techniques, éventuellement... est-ce qu'il est judicieux que je garde SpyBot, est-ce qu'il est judicieux que je retélécharge Ad-aware? Parce qu'à l'époque où j'ai téléchargé ces 2 antispyware, je m'étais renseigné et j'ai lu qu'ils se complétaient bien, mais est-ce toujours le cas ? Et en ce qui concerne avast, reste-t-il un bon parti ? Parce qu'au cours de mes recherches à propos de mes problèmes actuels, j'ai lu plusieurs fois sur des forums qu'il était déconseillé...)

_________________________

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1500
Windows 5.1.2600 Service Pack 3

15/12/2008 03:20:38
mbam-log-2008-12-15 (03-20-38).txt

Type de recherche: Examen rapide
Eléments examinés: 53992
Temps écoulé: 6 minute(s), 16 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 5
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 5
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\wenijalu.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\fewusopa.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\bivulota.dll (Trojan.Vundo.H) -> Delete on reboot.
c:\WINDOWS\system32\vedilune.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\Program Files\Invisible Secrets 4\keycapt.dll (Trojan.FakeAlert) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1fcc18b3-df3f-48ce-96b1-0063adaf7a5c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{1fcc18b3-df3f-48ce-96b1-0063adaf7a5c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1fcc18b3-df3f-48ce-96b1-0063adaf7a5c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550p (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\keradikewe (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpm5f30beb6 (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\fewusopa.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\fewusopa.dll  -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\fewusopa.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\vedilune.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\vedilune.dll -> Delete on reboot.

Dossier(s) infecté(s):
C:\Program Files\Fichiers communs\Carlson (Dialer) -> Quarantined and deleted successfully.
C:\Program Files\Hot internet offers (Trojan.Downloader) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\wenijalu.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ulajinew.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\vedilune.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\bivulota.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\fewusopa.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\Program Files\Invisible Secrets 4\keycapt.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\782JSX4H\pldr8[1].htm (Trojan.Vundo.H) -> Quarantined and deleted successfully.

gen-hackman · Answer

salut je prends la suite vu que Anthony est alle se coucher apparemment :

ComboFix: 

télécharge combofix (par sUBs) ici : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

et enregistre le sur le bureau. 

déconnecte toi d'internet et ferme toutes tes applications. 

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) 


double-clique sur combofix.exe et suis les instructions 

à la fin, il va produire un rapport C:\ComboFix.txt 

réactive ton parefeu, ton antivirus, la garde de ton antispyware et ta connection internet 

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Tu as un tutoriel complet ici : 

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

anthony5151 · Answer

Non je ne suis pas parti me coucher ;)


@ Evaan :

Pour les conseils techniques, on verra à la fin, ne change rien pour l'instant.
Les trois logiciels dont tu parles étaient en effet conseillés il y a plusieurs années... Depuis les infections ont évolué, et ils sont en partie dépassés (surtout Ad-Aware qui est devenu inutile...)

Pour la suite il va falloir passer Combofix, comme l'indique gen-hackman.  Par contre je voudrais préciser ses explications, Combofix est dangereux et nécessite d'être très prudent...




/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur formé à l'outil vous l'a recommandé.


On va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts...  Fais exactement ce qui suit : 

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix dans dans la fenêtre qui s'ouvre, puis choisis le Bureau comme destination et valide :  http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ---------------------------------------------------------- 
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !! 

Dans ton cas, il s'agit principalement du TeaTimer de Spybot (Lance Spybot --> clique sur Mode => coche Mode avancé => Outils => Résident => décoche la case Résident Tea Timer) et d'Avast (fais un clic-droit sur l'icone près de l'horloge et clique sur « Arrêter la protection résidente ») 

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre... 

Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
--------------------------------------------------------------------------------------------------------------------------------- 

Ensuite : 
Double-clique sur C-Fix.exe (= combofix.exe ) . 

Appuie sur une touche pour démarrer le scan . 

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

gen-hackman · Answer

et oui....comme quoi y a que les bons qui restent..........non Anthony ce n est rien c est un plaisir de voir des gens s'affairer autant que toi et d'autres que je ne citerai pas car la liste est longue...................et non exhaustive......

Evaan · Answer

Ah, merci de prendre du temps pour mon problème !

J'ai quelques doutes sur l'installation de la console de réparation... Il faut le CD d'installation de Windows, or ma version était déjà pré-installée sur mon ordi, donc je ne crois pas avoir de CD (à moins que ce soit dans "Product Recovery CD-ROM" ou "Application & Support CD"). Il existe bien une méthode pour télécharger sans le CD, mais il est stipulé qu'il faut remplir un certain nombre de conditions pour installer ces disquettes, du genre "Vous installez une nouvelle version commerciale complète de Windows XP" ou "Vous pouvez démarrer votre ordinateur à partir d'un lecteur de disquette", ce qui n'est pas mon cas (je n'ai même pas de lecteur de disquettes !)... C'est idiot, mais je voulais m'assurer que je pouvais bien télécharger ça sans conséquences, et que ça marchera correctement même si je ne remplis pas les conditions souhaitées...

Ensuite, il est dit dans le tuto de ComboFix qu'il faut sélectionner la version de windows utilisée (à savoir, pour moi, Windows XP edition familiale) ainsi que le Service Pack installé (SP3). Or il n'y a pas d'item pour Windows XP ed familiale SP3... je suppose que je dois choisir l'item associé à aucun Service Pack ?

Désolé si mes questions sont stupides, mais je voudrais être sûr que je ne pars pas n'importe où ^^'

anthony5151 · Answer

Pour le SP3 il était indiqué dans le tuto d'utiliser la version pour le SP2
Mais effectivement, il est indiqué qu'il faut un lecteur de disquettes

Suis ce tuto, il explique comment installer la console de récupération avec ou sans CD de Windows :
http://www.libellules.ch/installer_console_recuperation.php

Evaan · Answer

Mmh, j'avais bien vu pour SP3, mais vu qu'ils en parlaient après avoir cliqué sur le lien de téléchargement, je croyais que ça concernait autre chose à faire plus tard...
Et donc la présence d'un lecteur de disquette est vraiment nécessaire... c'est ballot !

Sinon, l'autre tuto est louche... Bon, j'ai trouvé un... plusieurs... beaucoup de dossiers i386, y'en a un dans lequel j'ai effectivement trouvé un WINNT32 donc j'ai essayé avec ce chemin d'accès, ça m'a ouvert un grand écran bleu d'ins-allation de windows XP, avec un message d'erreur en prime disant qu'il manquait quelque chose. De toute façon, j'ai annulé ça parce que je pense pas que c'est ce qu'il fallait faire, et j'ai rajouté le /CMDCONS à la fin du chemin d'accès, que j'avais oublié. Cette fois-ci, je suis bien tombé sur une fenêtre pour l'installation de la console de récupération, mais avec le même message d'erreur que précédemment (j'ai fait un screenshot mais en voulant copier l'image sur paint, j'ai cliqué sur "copier" et du coup je l'ai perdue)*. Et du coup, je me retrouve déjà avec le message "la console de récupération windows est installée" en ayant court-circuité toutes les étapes précédentes ! Je ne sais pas si tout ça est bien correct...
En plus, je ne sais même pas où elle s'est installée, et il faut que je la mette sur le bureau pour l'intégrer dans ComboFix, si j'ai bien compris... 

Cette étape est vraiment nécéssaire pour utiliser ComboFix ? Parce que c'est assez galère !

*EDIT : j'ai recommencé la manip poir avoir le fameux message, voilà donc ce qu'il me dit :

Installation de Windows
L'option de mise à niveau ne sera pas disponible à ce moment parce que le programme d'installation n'a pas pu charger le fichier C:\WINDOWS\I386\WINNTUPG\NETUPGRD.DDL.
Le fichier spécifié est introuvable

anthony5151 · Answer

"Cette étape est vraiment nécéssaire pour utiliser ComboFix ? Parce que c'est assez galère "


Non mais c'est une mesure de prudence qui peut être utile en cas de plantage suite à l'utilisation de Combofix...

Si tu as eu un message qui te dit que la console est installée, c'est que ça doit être bon... De toute façon Combofix vérifiera quand tu le lanceras, tu peux tester (pense à bien suivre toutes les précautions indiquées dans mon message).

Evaan · Answer

Bon voilà, c'est fait, avec un ptit moment d'inquiétude quand même lorsqu'il m'a redémarré mon ordi et par la même occasion réactivé avast, ouvert la fenêtre msn, etc... Mais il était seulement en train de préparer le log, donc je pense que c'est bon ! Bref, le voici donc : ___________________________ ComboFix 08-12-14.04 - Antoine 2008-12-16 0:40:37.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.446.140 [GMT 1:00] Lancé depuis: c:\documents and settings\Antoine\Bureau\C-Fix.exe * Un nouveau point de restauration a été créé . [color=purple]Les fichiers ci-dessous ont été désactivés pendant l'exécution:[/color] c:\program files\SuperCopier2\SC2Hook.dll (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\IE4 Error Log.txt . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_ASC3550P ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-15 au 2008-12-15 )))))))))))))))))))))))))))))))))))) . 2008-12-15 03:12 . 2008-12-15 03:12 d-------- c:\documents and settings\Antoine\Application Data\Malwarebytes 2008-12-15 03:11 . 2008-12-15 03:12 d-------- c:\program files\Malwarebytes' Anti-Malware 2008-12-15 03:11 . 2008-12-15 03:11 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2008-12-15 03:11 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-15 03:11 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-15 02:04 . 2008-12-15 11:43 d-------- c:\program files\Navilog1 2008-12-14 18:59 . 2008-12-14 18:59 d-------- c:\program files\Trend Micro 2008-12-14 18:31 . 2008-12-14 18:31 211 --a------ c:\windows\wininit.ini 2008-12-14 15:27 . 2008-12-14 15:31 d-------- c:\program files\Spybot - Search & Destroy 2008-11-30 22:11 . 2008-11-30 22:12 d-------- c:\temp\google 2008-11-30 22:11 . 2008-11-30 22:11 d-------- C:\temp 2008-11-29 19:56 . 2008-11-29 19:56 54,156 --ah----- c:\windows\QTFont.qfn 2008-11-29 19:56 . 2008-11-29 19:56 1,409 --a------ c:\windows\QTFont.for 2008-11-15 00:49 . 2008-11-15 00:50 d-------- c:\program files\BitTorrent Fastest Tool . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-15 23:45 17,408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS 2008-12-15 23:44 --------- d-----w c:\program files\SuperCopier2 2008-12-15 21:58 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater 2008-12-15 10:27 --------- d-----w c:\documents and settings\Antoine\Application Data\uTorrent 2008-12-15 02:44 --------- d-----w c:\program files\eMule 2008-12-15 02:23 --------- d-----w c:\program files\Invisible Secrets 4 2008-12-14 14:32 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2008-12-14 14:06 --------- d-----w c:\program files\Lavasoft 2008-12-14 10:53 --------- d-----w c:\program files\uTorrent 2008-11-14 17:52 --------- d-----w c:\program files\Fichiers communs\Adobe 2008-11-04 20:06 --------- d-----w c:\program files\Nokia 2008-11-04 20:06 --------- d-----w c:\program files\Fichiers communs\PCSuite 2008-11-04 20:06 --------- d-----w c:\program files\Fichiers communs\Nokia 2008-11-04 19:58 --------- d-----w c:\documents and settings\All Users\Application Data\Installations 2008-10-31 20:44 --------- d-----w c:\program files\Micro Application 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll 2008-10-22 12:01 --------- d-----w c:\documents and settings\Antoine\Application Data\Design Science 2008-10-22 11:59 --------- d-----w c:\program files\MathType 2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll 2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll 2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll 2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll 2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-01 68856] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "Invisible Secrets 4"="c:\progra~1\INVISI~1\invtray.exe" [2005-03-01 786944] "SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672] "PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-10-02 1124352] "MediaDico9"="c:\program files\Micro Application\9 DICOS Indispensables\LanceMediaDICO9.exe" [2002-04-09 199168] "Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-09-20 286720] "SystrayORAHSS"="c:\program files\Orange HSS\Systray\SystrayApp.exe" [2007-07-24 94208] "ORAHSSSessionManager"="c:\program files\Orange HSS\SessionManager\SessionManager.exe" [2007-07-24 102400] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792] "SoundMan"="SOUNDMAN.EXE" [2005-10-04 c:\windows\soundman.exe] "VTTimer"="VTTimer.exe" [2005-03-08 c:\windows\system32\VTTimer.exe] "VTTrayp"="VTtrayp.exe" [2005-03-11 c:\windows\system32\VTTrayp.exe] "Dit"="Dit.exe" [2004-07-20 c:\windows\Dit.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] "DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-22 39264] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624] Utilitaire r‚seau pour SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2008-01-23 950272] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"= c:\windows\system32\wadibevu.dll , [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\WINDOWS\system32\sessmgr.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\WINDOWS\system32\fxsclnt.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\eMule\emule.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"= "c:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"= "c:\Program Files\Last.fm\LastFM.exe"= "c:\Program Files\Orange HSS\Connectivity\ConnectivityManager.exe"= "c:\Program Files\uTorrent\uTorrent.exe"= "%windir%\system32\sessmgr.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Messenger\livecall.exe"= "c:\Program Files\Alwil Software\Avast4\ashServ.exe"= "c:\WINDOWS\system32\services.exe"= "c:\WINDOWS\system32\spoolsv.exe"= R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-03 111184] R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-04-03 20560] R2 WinDefend;Windows Defender;"c:\program files\Windows Defender\MsMpEng.exe" [2006-11-03 13592] R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\DRIVERS\WlanBZXP.sys [2008-01-23 450560] S3 aaudstum;aaudstum;\??\c:\docume~1\Antoine\LOCALS~1\Temp\aaudstum.sys [] S3 CardReaderFilter;Card Reader Filter;\??\c:\windows\system32\Drivers\USBCRFT.SYS [2006-01-20 17408] S3 kwwalpgr;kwwalpgr;\??\c:\docume~1\Antoine\LOCALS~1\Temp\kwwalpgr.sys [] S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS [] . Contenu du dossier 'Tâches planifiées' 2008-12-15 c:\windows\Tasks\MP Scheduled Scan.job - c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20] . - - - - ORPHELINS SUPPRIMES - - - - HKU-Default-Run-Nokia.PCSync - c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe Notify-xxyyvWNh - xxyyvWNh.dll . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-16 00:44:51 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... c:\windows\explorer.exe [1372] 0x84249DA0 Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... c:\windows\TEMP\TMP0000001D0B44253AD052FBA1 524288 bytes executable c:\windows\system32\ils.dll 81920 bytes executable Scan terminé avec succès Fichiers cachés: 2 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv] "ImagePath"="\??\c:\docume~1\Antoine\LOCALS~1\Temp\mc22.tmp" . ------------------------ Autres processus actifs ------------------------ . c:\program files\Alwil Software\Avast4\aswUpdSv.exe c:\program files\Alwil Software\Avast4\ashServ.exe c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\[u]0[/u]\FTRTSVC.exe c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe c:\program files\Windows Media Player\wmpnetwk.exe c:\progra~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\[u]0[/u]\AlertModule.exe c:\windows\system32\wscntfy.exe c:\program files\PC Connectivity Solution\ServiceLayer.exe c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe c:\program files\Fichiers communs\Nokia\MPAPI\MPAPI3s.exe c:\program files\HP\Digital Imaging\bin\hpqste08.exe c:\program files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe . ************************************************************************** . Heure de fin: 2008-12-16 0:52:19 - La machine a redémarré ComboFix-quarantined-files.txt 2008-12-15 23:52:15 Avant-CF: 9 256 022 016 octets libres Après-CF: 9,275,375,616 octets libres 194 --- E O F --- 2008-12-12 19:57:26

anthony5151 · Answer

J'ai besoin de vérifier deux fichiers avant de passer au nettoyage :


# Affiche les fichiers cachés
Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.


# Rends toi sur le site https://www.virustotal.com/gui/
Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : c:\document and settings\Antoine\Local Settings\Temp\aaudstum.sys
Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
Fais un copier/coller du rapport sur le forum.

Fais la même chose pour ce fichier :  c:\document and settings\Antoine\Local Settings\Temp\kwwalpgr.sys

Evaan · Answer

Euh... j'arrive bien jusqu'à Temp mais il n'y a pas les deux fichiers .sys demandés !

gen-hackman · Answer

salut bonsoir....

essaie en faisant ceci :

Affiche les fichiers et dossiers cachés … 
Pour ce faire, tu vas dans un dossier, par ex. "Mes Images". 
Ensuite, clique sur > Outils > Options des dossiers ... 
clique sur l' onglet « Affichage » et ... 
coche ---> Afficher les fichiers et dossiers cachés 
décoche > Masquer les extensions des fichiers dont le type est connu 
décoche > Masquer les fichiers protégés du système d' exploitation (recommandé). 
« Appliquer » et « OK »

Evaan · Answer

Mais c'est déjà fait ! A vrai dire, j'ai déjà eu l'occasion de manipuler ces options d'affichage et je passais toujours par cette méthode, donc dans le cas présent, je l'ai déjà essayée moi-même... Tout est bien coché/décoché comme il faut : http://img511.imageshack.us/img511/4133/optionaffichagexa1.jpg et malgré tout, je ne trouve pas les 2 fichiers demandés : http://img511.imageshack.us/img511/5417/tempjk9.jpg

Je ne sais pas si ça peut avoir un rapport, mais il faut peut-être que je précise qu'entre l'analyse MBAM et l'analyse ComboFix, avast m'avait repéré 1 fichier potentiellement infecté qu'il m'a demandé d'envoyer au labo et que j'ai du supprimer ensuite, et un autre fichier infecté que j'ai supprimé... Peut-être s'agit-il de ceux-là ?? Cela dit c'est peu probable puisqu'ils apparaissent dans le log de ComboFix... 

Sinon, je ne sais pas si le prochain nettoyage que je suis sensé faire devrait arranger ça, mais j'en profite pour annoncer que j'ai toujours le message d'erreur "access violation at adress 00000000. Read of adress 00000000." au démarrage...
Et, autre curiosité, les petits logos qui s'affichent dans mes favoris d'IE ont changé pour certains, pour des logos qui n'ont rien à voir !

gen-hackman · Answer

si pleine vide la quarantaine d'avast

Evaan · Answer

Il y a des fichiers dans la catégorie "fichiers importants sauvegardés", faut-il vraiment que je les supprime ? ^^'
Et si je dois vraiment le faire, que faire ensuite ? C'est sensé faire apparaître les fichiers Temp voulus ?

gen-hackman · Answer

on peut avoir les noms des fichiers conservés en quarantaine par Avast ?

Evaan · Answer

Voilà, j'ai fait une capture d'écran ^^ : http://img357.imageshack.us/img357/7477/quarantaineavastaf7.jpg

Evaan · Answer

Bon, je suis le conseil de la sign d'Anthony : pas de réponse depuis + de 24 heures, donc up !

Si il y a un problème avec la lecture de l'image, je vais écrire les noms des fichiers en quarantaine :

- kernel32.ddl (3 fois)
- winsock.ddl
- wsock32.ddl (2 fois)

Sinon, je dois préciser que mon problème avec les logos dans mes favoris est réglé, tout est redevenu normal quand j'ai supprimé les fichiers internet temporaires...

gen-hackman · Answer

moi je la viderais la quarantaine

Evaan · Answer

Et ensuite ^^' ?
(mais où est Anthony ? Il avait l'air d'avoir quand même une idée en tête...)

gen-hackman · Answer

a mon avis il cherche une solution.....bah il ne devrait plus tarder ......

moi j'ai un doute la dessus :

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv] 
"ImagePath"="\??\c:\docume~1\Antoine\LOCALS~1\Temp\mc22.tmp" 

 je vais voir

anthony5151 · Answer

Re,


J'étais absent ce week end, désolé.

Oui j'avais bien une idée en tête comme tu dis, passer au nettoyage ;)
J'avais juste besoin d'un rapport VirusTotal sur deux fichiers pour vérifier deux fichiers, mais je suppose qu'ils ont été supprimés depuis puisque c'étaient des fichiers temporaires.

Je vais te préparer un script, je le poste dès qu'il est prêt.

anthony5151 · Answer

Voici donc la suite tant attendue ;)


/!\ ATTENTION /!\  Le script qui suit a été écrit spécialement pour Evaan, il n'est pas transposable sur un autre ordinateur !


N'oublie pas de désactiver toutes tes protections comme la dernière fois que tu as utilisé Combofix, car cette étape est encore plus dangereuse, et une alerte d'un de tes logiciels de protection pourrait créer des problèmes... Ensuite, fais ceci :

Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
File:: 
 c:\windows\system32\wadibevu.dll
c:\docume~1\Antoine\LOCALS~1\Temp\kwwalpgr.sys

Folder:: 
c:\program files\BitTorrent Fastest Tool 

Registry:: 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] 
"AppInit_DLLs"=-

Driver:: 
kwwalpgr 

------------------------------------------------------------------

- Enregistre ce fichier sur ton bureau (et pas ailleurs !) sous le nom CFScript.txt
- Quitte le Bloc Notes 

·  Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal ! 
Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Evaan · Answer

Ah, pas de problèmes pour ton absence ^^ Voilà le log : ___________________________ ComboFix 08-12-14.04 - Antoine 2008-12-22 12:37:56.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.446.124 [GMT 1:00] Lancé depuis: c:\documents and settings\Antoine\Bureau\C-Fix.exe Commutateurs utilisés :: c:\documents and settings\Antoine\Bureau\CFScript.txt * Un nouveau point de restauration a été créé FILE :: c:\docume~1\Antoine\LOCALS~1\Temp\kwwalpgr.sys c:\windows\system32\wadibevu.dll . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\program files\BitTorrent Fastest Tool . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_KWWALPGR -------\Service_kwwalpgr ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-22 au 2008-12-22 )))))))))))))))))))))))))))))))))))) . 2008-12-15 03:12 . 2008-12-15 03:12 d-------- c:\documents and settings\Antoine\Application Data\Malwarebytes 2008-12-15 03:11 . 2008-12-15 03:12 d-------- c:\program files\Malwarebytes' Anti-Malware 2008-12-15 03:11 . 2008-12-15 03:11 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2008-12-15 03:11 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-15 03:11 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-15 02:04 . 2008-12-15 11:43 d-------- c:\program files\Navilog1 2008-12-14 18:59 . 2008-12-14 18:59 d-------- c:\program files\Trend Micro 2008-12-14 18:31 . 2008-12-14 18:31 211 --a------ c:\windows\wininit.ini 2008-12-14 15:27 . 2008-12-14 15:31 d-------- c:\program files\Spybot - Search & Destroy 2008-11-30 22:11 . 2008-11-30 22:12 d-------- c:\temp\google 2008-11-30 22:11 . 2008-11-30 22:11 d-------- C:\temp 2008-11-29 19:56 . 2008-11-29 19:56 54,156 --ah----- c:\windows\QTFont.qfn 2008-11-29 19:56 . 2008-11-29 19:56 1,409 --a------ c:\windows\QTFont.for . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-22 11:42 17,408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS 2008-12-22 11:31 --------- d-----w c:\documents and settings\Antoine\Application Data\uTorrent 2008-12-22 11:27 --------- d-----w c:\program files\eMule 2008-12-22 04:02 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater 2008-12-15 23:44 --------- d-----w c:\program files\SuperCopier2 2008-12-15 02:23 --------- d-----w c:\program files\Invisible Secrets 4 2008-12-14 14:32 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2008-12-14 14:06 --------- d-----w c:\program files\Lavasoft 2008-12-14 10:53 --------- d-----w c:\program files\uTorrent 2008-11-14 17:52 --------- d-----w c:\program files\Fichiers communs\Adobe 2008-11-04 20:06 --------- d-----w c:\program files\Nokia 2008-11-04 20:06 --------- d-----w c:\program files\Fichiers communs\PCSuite 2008-11-04 20:06 --------- d-----w c:\program files\Fichiers communs\Nokia 2008-11-04 19:58 --------- d-----w c:\documents and settings\All Users\Application Data\Installations 2008-10-31 20:44 --------- d-----w c:\program files\Micro Application 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-22 12:01 --------- d-----w c:\documents and settings\Antoine\Application Data\Design Science 2008-10-22 11:59 --------- d-----w c:\program files\MathType . ((((((((((((((((((((((((((((( snapshot@2008-12-16_ 0.51.16.04 ))))))))))))))))))))))))))))))))))))))))) . + 2008-10-17 00:48:40 3,593,216 -c----w c:\windows\ie7updates\KB960714-IE7\mshtml.dll + 2007-03-06 01:34:38 216,800 -c----w c:\windows\ie7updates\KB960714-IE7\spuninst\spuninst.exe + 2007-03-06 01:35:47 394,976 -c----w c:\windows\ie7updates\KB960714-IE7\spuninst\updspapi.dll - 2008-10-17 00:48:40 3,593,216 -c--a-w c:\windows\system32\dllcache\mshtml.dll + 2008-12-13 06:37:56 3,593,216 -c--a-w c:\windows\system32\dllcache\mshtml.dll - 2008-10-17 00:48:40 3,593,216 ----a-w c:\windows\system32\mshtml.dll + 2008-12-13 06:37:56 3,593,216 ----a-w c:\windows\system32\mshtml.dll + 2008-12-22 11:42:02 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_494.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-01 68856] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "Invisible Secrets 4"="c:\progra~1\INVISI~1\invtray.exe" [2005-03-01 786944] "SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672] "PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-10-02 1124352] "MediaDico9"="c:\program files\Micro Application\9 DICOS Indispensables\LanceMediaDICO9.exe" [2002-04-09 199168] "Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-09-20 286720] "SystrayORAHSS"="c:\program files\Orange HSS\Systray\SystrayApp.exe" [2007-07-24 94208] "ORAHSSSessionManager"="c:\program files\Orange HSS\SessionManager\SessionManager.exe" [2007-07-24 102400] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792] "SoundMan"="SOUNDMAN.EXE" [2005-10-04 c:\windows\soundman.exe] "VTTimer"="VTTimer.exe" [2005-03-08 c:\windows\system32\VTTimer.exe] "VTTrayp"="VTtrayp.exe" [2005-03-11 c:\windows\system32\VTTrayp.exe] "Dit"="Dit.exe" [2004-07-20 c:\windows\Dit.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] "DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-22 39264] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624] Utilitaire r‚seau pour SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2008-01-23 950272] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\WINDOWS\system32\sessmgr.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\WINDOWS\system32\fxsclnt.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\eMule\emule.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"= "c:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"= "c:\Program Files\Last.fm\LastFM.exe"= "c:\Program Files\Orange HSS\Connectivity\ConnectivityManager.exe"= "c:\Program Files\uTorrent\uTorrent.exe"= "%windir%\system32\sessmgr.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Messenger\livecall.exe"= "c:\Program Files\Alwil Software\Avast4\ashServ.exe"= "c:\WINDOWS\system32\services.exe"= "c:\WINDOWS\system32\spoolsv.exe"= R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-03 111184] R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-04-03 20560] R2 WinDefend;Windows Defender;"c:\program files\Windows Defender\MsMpEng.exe" [2006-11-03 13592] R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\DRIVERS\WlanBZXP.sys [2008-01-23 450560] S3 aaudstum;aaudstum;\??\c:\docume~1\Antoine\LOCALS~1\Temp\aaudstum.sys [] S3 CardReaderFilter;Card Reader Filter;\??\c:\windows\system32\Drivers\USBCRFT.SYS [2006-01-20 17408] S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS [] . Contenu du dossier 'Tâches planifiées' 2008-12-22 c:\windows\Tasks\MP Scheduled Scan.job - c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 FF - ProfilePath - c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\vpmr6gc3.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ FF - plugin: c:\program files\DivX\DivX Content Uploader\npUpload.dll FF - plugin: c:\program files\Google\Google Updater\2.4.1399.3742\npCIDetect13.dll FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava11.dll FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava12.dll FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava13.dll FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava14.dll FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava32.dll FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJPI150_06.dll FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPOJI610.dll FF - plugin: c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-22 12:42:21 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... c:\windows\TEMP\TMP00000020482DEEF084FEEF0B 524288 bytes executable c:\windows\TEMP\_av_proI.tm~a01116\stamp.tmp 10 bytes Scan terminé avec succès Fichiers cachés: 2 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv] "ImagePath"="\??\c:\docume~1\Antoine\LOCALS~1\Temp\mc22.tmp" . ------------------------ Autres processus actifs ------------------------ . c:\program files\Alwil Software\Avast4\aswUpdSv.exe c:\program files\Alwil Software\Avast4\ashServ.exe c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\[u]0/u\FTRTSVC.exe c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe c:\program files\Windows Media Player\wmpnetwk.exe c:\progra~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\[u]0/u\AlertModule.exe c:\windows\system32\wscntfy.exe c:\program files\PC Connectivity Solution\ServiceLayer.exe c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe c:\program files\HP\Digital Imaging\bin\hpqste08.exe c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe c:\program files\Fichiers communs\Nokia\MPAPI\MPAPI3s.exe c:\program files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe . ************************************************************************** . Heure de fin: 2008-12-22 12:46:39 - La machine a redémarré ComboFix-quarantined-files.txt 2008-12-22 11:46:35 Avant-CF: 3 898 953 728 octets libres Après-CF: 3,889,152,000 octets libres 199 --- E O F --- 2008-12-18 21:39:11

anthony5151 · Answer

Très bien, redémarre ton ordinateur et poste un nouveau rapport hijackthis (le dernier je pense).
As-tu encore des problème ?

Sinon il me reste à te donner des conseils pour sécuriser ton ordinateur, si tu le souhaites.

Evaan · Answer

Hum, pas de problème notable, si ce n'est que j'ai toujours au démarrage le message d'erreur "access violation at adress 00000000. Read of adress 00000000." et que j'aimerais quand même bien m'en débarrasser ^^'

Sinon, effectivement, je veux bien des conseils pour sécuriser mon ordinateur, et aussi pour ce que je dois faire quand avast (par exemple) me détecte un virus : mettre en quarantaine ou supprimer définitivement ? Parce que si le virus infecte un fichier important, c'est problématique !

En attendant, voilà le rapport hijackthis :

_________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:04:22, on 22/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Orange HSS\Systray\SystrayApp.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\PROGRA~1\INVISI~1\invtray.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\Program Files\Micro Application\9 DICOS Indispensables\MediaDICO9.EXE
C:\Program Files\Micro Application\9 DICOS Indispensables\Rac9.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Fichiers communs\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange HSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange HSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange HSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Invisible Secrets 4] C:\PROGRA~1\INVISI~1\invtray.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [MediaDico9] C:\Program Files\Micro Application\9 DICOS Indispensables\LanceMediaDICO9.exe Lancement
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.fr/
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

anthony5151 · Answer

On va voir si le nettoyage du registre avec CCleaner corrige ce problème (voir les conseils plus bas, à faire dans l'ordre)

Quand un antivirus détecte une infection, il ne faut pas choisir supprimer. Choisis la mise en quarantaine (que tu peux vider de temps en temps si tu ne constates pas de nouveau problème).  Attention, comme tout autre programme, il arrive que les antivirus fasse des erreurs (par exemple, Avast et AVG ont supprimé récemment des fichiers systèmes, et dans le cas d'AVG, ça bloquait complètement toute utilisation de l'ordinateur)... Si tu as un doute sur le fichier détecté, fais une recherche ou pose la question sur un forum.




Et sinon, ton ordinateur n'est plus infecté ;)

Avant de retourner surfer sur internet, il y a quelques petites choses que tu dois faire pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;)  Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).



1) Sécurise ton ordinateur 

- Anti-virus : 
Avast était un antivirus convenable il y a quelques années, mais il est dépassé aujourd'hui. Il existe d'autres antivirus gratuits plus efficaces (Antivir ou AVG)
Désinstalle Avast : Commence par supprimer ce qu'il y a en quarantaine, puis fais clic droit sur l'icone d'Avast près de l'horloge --> désactive la protection résidente.
Puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle Avast. 
Si ça ne fonctionne pas, consulte ce lien : Désinstallation d'Avast

Si tu choisis Antivir pour le remplacer, télécharge le ici.

- Pare-feu :
Tu n’as apparemment aucun pare-feu (sauf peut-être celui de Windows ?) : si tu le souhaites, tu peux en télécharger un vrai. En gratuit, les plus simples sont Kerio et surtout PC Tools Firewall. Tu peux t'aider des tuto suivants pour utiliser celui que tu choisiras : 
- Tutoriel PcTools
- Tutoriel Kerio
Note : si un message comme celui-ci apparaît lors de l'installation, clique sur Continuer.

- Anti-spyware :
* Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement, tous les 10 jours environ, et activer toutes les protections (« Enable all protection ») 
* En complément, garde MalwareBytes pour son scan de nettoyage performant.

- Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille d’installer et d'utiliser le navigateur Firefox 3 avec l’extension « AdBlockPlus ». Tu peux trouver des explications ici

- Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : https://java.com/fr/

- Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version.



2) Relance Hijackthis (pour la dernière fois), fais "scan system only" et coche ces lignes (pas dangereuses mains inutiles) : 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)    
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE    
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe    
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe    
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime    
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"    
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe    
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe    
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')    
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')    

Si tu as bien mis à jour Adobe Reader comme je te l'ai recommandé, cette ligne devrait apparaitre, tu peux la cocher : O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 

Coche également toutes les lignes commençant par 016

Ensuite, clique sur "Fix checked" 



3) Télécharge ToolsCleaner sur ton bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer. 
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.



4) Télécharge et installe CCleaner  (si ce n’est déjà fait) : https://www.ccleaner.com/ccleaner/download

Lance CCleaner
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection). 

* Fais un clic droit sur poste de travail (qui est sur ton bureau ou dans le menu démarrer), puis propriétés. 
* Sélectionne l'onglet restauration du système 
* Coche l'option Désactiver la restauration du système sur tous les lecteurs 
* Clique sur OK. 

Puis refais la manipulation inverse pour réactiver la restauration système. 



6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
Prévention et sécurité sur internet



7) Enfin, si tu n as pas d'autres problèmes, tu peux changer le statut du sujet en résolu : Aide





Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

Evaan · Answer

Eh bien, rien que ça ! Je ne saurais que trop te remercier, ainsi que gen-hackman, pour tout ce que vous avez fait !

Alors, petit bilan et questions : 

- J'ai installé Antivir
- Je n'ai pas (pas encore) installé un pare-feu, j'ai effectivement déjà celui de Windows, mais parmi les 2 que tu me conseilles, y en a-t-il un que tu me conseilles particulièrement ^^' ?
- J'ai bien installé Spyware Blaster, maintenant, que faire d'AdAware ? Pas la peine de le garder j'imagine ?
- Je ne me suis pas encore penché sur Firefox et son extension, je verrai plus tard
- Pour la MAJ de Java, il y a un petit problème : je ne trouve aucune version dans "installation/suppression de programmes" ^^'
- Aucun problème par contre pour la MAJ d'Adobe, mais du coup, il est apparu sur mon bureau un dossier "Programme d'installation d'Adobe Reader 9"... que dois-je en faire ? J'aimerai qu'il soit ailleurs que sur mon bureau ^^'
- Pour Hijackthis, tout est OK, seulement la ligne "O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" n'y étais pas... normal, parce que j'ai désinstallé la version 8.0, non ?
- Le reste est OK je n'ai pas encore lu le doc "prévention et sécurité" mais je n'y manquerait pas !

Voilà, tout est presque bon alors, seulement mon message d'erreur au démarrage continue inlassablement d'apparaître : "access violation at adress 00000000. Read of adress 00000000." Si ça peut aider dans la résolution de ce problème, je peux ajouter que le titre de cette fenêtre est "invtray".
J'ai vonlontairement détaillé ce que j'ai fait et pas encore fait dans mon bilan au dessus au cas où cela ait un rapport avec des choses que je n'ai pas faites, donc voilà... Désolé d'apporter encore du boulot à résoudre, mais j'aimerai quand même bien le débarrasser de ce message d'erreur ^^'

Voilà, merci encore, et merci d'avance pour mes derniers petits problèmes !

EDIT : Ah oui, et autre petite question : que fais-je de ComboFix à présent ? Je le désinstalle ?

gen-hackman · Answer

salut pour combofix :

tu le supprime

pour AdWare , mets plutot spybot ou spy sweeper ou spyware Terminator qui sont plus efficaces

gen-hackman · Answer

et pour le msg d'erreur :


Il n'est pas impossible que ceci soit lié à un problème de matériel mais en premier lieu, il est préférable de mettre Windows en cause.

réparer Windows XP :
Démarrer -> Exécuter -> SFC /SCANNOW (valide)
Il faut le CD de Windows XP.
Attention : Les points de restauration existants sont supprimés.

gen-hackman · Answer

Spybot: 

https://www.commentcamarche.net/telecharger/securite/20939-spybot-search-and-destroy/

Spyware Terminator : 

ftp://zebulon.fr/SpywareTerminator_Setup.exe 

spysweeper est payant par contre : 

http://www.commentcamarche.net/telecharger/telechargement 34055127 spy sweeper 
Ecoutez Armin Van Buuren c'est la musique de l'amour 
                                                       -----g3n-h@ckm@n-----

anthony5151 · Answer

- Je n'ai pas (pas encore) installé un pare-feu, j'ai effectivement déjà celui de Windows, mais parmi les 2 que tu me conseilles, y en a-t-il un que tu me conseilles particulièrement ^^' ?

==> Personnellement, j'ai une préférence pour PC Tools Firewall qui est plus simple à utiliser (car il autorise automatiquement certains processus Windows). Malgré cela, il affichera plus de messages que le pare-feu Windows, surtout au début (tu vas devoir autoriser chaque application la première fois que tu les utiliseras)... Si ça te fait peur, tu peux rester au pare-feu Windows.


- J'ai bien installé Spyware Blaster, maintenant, que faire d'AdAware ? Pas la peine de le garder j'imagine ?

==> Tu peux en effet le désinstaller, c'est un programme totalement inutile de nos jours... Comme antispyware, tu as déjà Spybot, Spyware Blaster (+ MalwareBytes qui a d'ailleurs un champ d'action plus large que les spywares), c'est largement suffisant.


- Je ne me suis pas encore penché sur Firefox et son extension, je verrai plus tard

==> OK


- Pour la MAJ de Java, il y a un petit problème : je ne trouve aucune version dans "installation/suppression de programmes" ^^'

==> Regarde si elle n'apparait pas sous le nom "jre1.5.0_06" : L'icone est une tasse qui fume.
Si tu ne le trouves pas, on devra le supprimer manuellement, car il y a bien une version de java (très ancienne) installée sur ton ordinateur.


- Aucun problème par contre pour la MAJ d'Adobe, mais du coup, il est apparu sur mon bureau un dossier "Programme d'installation d'Adobe Reader 9"... que dois-je en faire ? J'aimerai qu'il soit ailleurs que sur mon bureau ^^'

==> Si tu as bien lancé l'installation, tu peux supprimer le programme d'installation.


- Pour Hijackthis, tout est OK, seulement la ligne "O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" n'y étais pas... normal, parce que j'ai désinstallé la version 8.0, non ?

==> oui c'est normal.


- Pour Combofix, Toolscleaner a dû le détecter, mais parfois il n'arrive pas à le supprimer --> fais le manuellement.


- Concernant ton message d'erreur, invtray semble correspondre à un fichier système.
Tu peux donc faire le SFC /SCANNOW comme t'a indiqué gen-hackman ;)

Evaan · Answer

Ah, je me suis trompé, quand je parlais d'AdAware, je voulais parler de SpyBot bien sûr... AdAware je l'ai déjà enlevé ^^'
Donc si j'ai bien compris, je peux garder SpyBot ?

Sinon pour Java, je n'ai pas "jre1.5.0_06" mais par contre j'ai "J2SE Runtime Environment 5.0 Update 6" avec un icône de tasse qui fume... C'est bien ça ?

Pour le message d'erreur invtray... eh bien je n'ai toujours pas de CD de Windows XP ^^' !

Merci encore !

Evaan · Answer

Bon, finalement j'ai trouvé un CD de Windows XP (il était préinstallé sur l'ordinateur, mais ça me semblait bizarre qu'il n'y ait pas un CD en cas de pépin, donc j'ai fouillé un peu et je l'ai trouvé !), mais à quel moment faut-il l'utiliser ? Parce que j'ai lancé le SFC /SCANNOW en m'attendant qu'il me demande d'insérer le CD et il ne l'a pas fait... Il s'est contenté de faire une "protection de fichiers windows" qui s'est avérée un peu longue, puis plus rien. J'ai voulu redémarrer pour voir, et j'ai eu droit à un message disant que je-ne-sais-quel programme était encore en cours d'utilisation et blablabla, le truc classique qui demande si on veut vraiment arrêter le programme au risque de perdre les données non enregistrées ou si on veut retourner sur Windows pour vérifier l'état du programme. Seulement je n'avais aucune idée de ce qu'était le programme, et le processus de "protection de fichiers windows" était pourtant vraissemblablement fini, donc j'ai arrêté. 
Au redémarrage, le fameux message d'erreur était toujours là. J'ai réessayé de faire le SFC /SCANNOW en ayant cette fois inséré le CD de Windows XP au préalable. Puis nouvel essai de redémarrage. Cette fois, pas de problème de programme toujours en cours d'utilisation, mais au redémarrage, je crois qu'il y a eu un boot sur le CD-Rom (qui était toujours dans le lecteur). Cependant, j'ai encore eu le message d'erreur invtray. Et après un dernier redémarrage en ayant enlevé le CD cette fois-ci, toujours le même message d'erreur...
Voilà ! Que faire ^^' ?

anthony5151 · Answer

Re,


Oui tu peux garder SpyBot, et tu peux désinstaller "J2SE Runtime Environment 5.0 Update 6" avant d'installer la nouvelle version depuis le site officiel de java (java 6 update 11)

Pour la commande sfc, voici un tuto : https://forums.cnetfrance.fr

Evaan · Answer

Alors le tuto est tout à fait équivalent à ce que j'ai fait me semble-t-il. En tout cas, ça mène au même résultat (c'est-à-dire, pas de résultats ^^') ! D'ailleurs, il semblerait que je n'ai pas besoin du CD-Rom pour exécuter cette fonction, parce que même en suivant le tuto, l'étape de la fenêtre demandant de l'insérer à été zapée. Bref, donc après avoir fait cette manip une troisième fois, il y a toujours ce message d'erreur.

En bas du tuto, il y a un lien vers un autre tuto pour réparer de manière plus sérieuse si le problème persiste, en passant par un boot sur le CD-Rom et une réparation de windows qui équivant à une réinstallation. j'ai donc essayé de faire ça, mais rien n'y fait, toujours ce fichu message d'erreur ^^' !

Windows ne serait donc pas en cause et ce serait un problème de matériel ? (pour reprendre les termes de gen-hackman).
En tout cas, je rappelle que ce message ne s'affichait pas originellement. Le message d'erreur faisant l'objet du titre du sujet en était un autre qui a disparu depuis grâce à Malwarebytes Anti-Malware. Le message invtray quant à lui, est justement apparu après le nettoyage de MBAM... Peut-être est-il utile de le repréciser pour la résolution du problème...

(Râh ! Ce que j'aimerai bien cocher la case "résolu" ^^' !)

anthony5151 · Answer

Ah !  Dans ce cas, je ne peux pas t'aider davantage... Ce n'est pas un problème de sécurité, et je suis bien incapable de t'aider à résoudre ce problème :(

Essaye peut-être de poster dans la partie Windows du forum ?
Sinon, tu peux aussi t'habituer à voir ce message apparaitre et l'ignorer puisqu'il ne semble pas avoir de conséquences sur le fonctionnement de ton ordinateur ;)

Evaan · Answer

Ouais... sauf que j'ai l'impression d'être maudit là ^^'...
Depuis que j'ai fait le truc de réparation de windows avec le CD là, y'a plus rien qui marche correctement...

Internet Explorer est revenu à une ancienne version, en plus il ne marche pas correctement. D'ailleurs, il y a un bug sur cette page même (voyez : http://img135.imageshack.us/img135/9536/bugxy9.jpg) de plus il s'obstine à me mettre le site 01.net en page d'accueil depuis que j'ai essayé d'y retélécharger IE7... et cela en vain, pour couronner le tout ! A la fin du téléchargement, il me dit que ça n'a pas pu aboutir et que je dois redémarrer mon ordi pour qu'il puisse désinstaller les composants qu'il a déjà installé... Et il me laisse un fichier-lien d'aide pour résoudre le problème sur le bureau, seulement il ne marche pas...

Et puis, IE n'est pas le seul à être revenu à une ancienne version, le lecteur Windows Media Player en a fait de même... Mais maintenant, combien d'autres logiciels comme ça ne sont plus à jour ???

Et puis un problème ne venant jamais seul, il se trouve que l'ordi se remet à ramer, à planter, un de mes logiciels fonctionne au ralenti (le même qui fonctionnait déjà au ralenti avant la désinfection...)
Se pourrait-il que mes infections soient revenues ??? Manquerait plus que ça !

En tout cas, merci encore pour tout ce que vous avez fait... mais j'ai l'impression que je suis pas sorti de la panade...

anthony5151 · Answer

Ah... Si ton Windows date un peu, en effet, il a dû remettre toutes les anciennes version de Windows, d'IE et de tous les logiciels préinstallés au moment de la réparation

La version d'IE 7 disponible sur 01net est une version modifiée... Ca explique pourquoi tu n'arrives pas à mettre une autre page d'accueil.


Au point où tu en es, tu vas bientôt pouvoir formater, ça ira plus vite ^^
Sinon, reposte un rapport hijackthis, pour voir un peu...

Evaan · Answer

Ah non hein, je veux pas formater moi ^^'
(c'est que je n'ai pas de moyens pour sauvegarder tous mes fichiers ailleurs...)

Bon, vous allez rire, je ne m'en étais pas rendu compte, mais Hijackthis avait disparu aussi de l'ordinateur avec la réparation ! J'ai du le réinstaller.... heureusement il n'a pas fait de caprice pour ça !

Pour IE7, certes, seulement comme je n'ai pas pu l'installer, je ne comprends pas pour la page d'accueil...
Par ailleurs, j'ai essayé de le télécharger à partir du suite de Microsoft et cela n'a pas marché non plus...
Bon, mon ordi est en train de télécharger des MAJ là... Avec un peu de chances, après ça, j'aurais moins de problèmes !

En attendant, voici le rapport Hijackthis... En espérant que ce soit le dernier ^^' !

____________________________


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:19:01, on 24/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\Dit.exe
C:\Program Files\Orange HSS\Systray\SystrayApp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\PROGRA~1\INVISI~1\invtray.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\Program Files\Micro Application\9 DICOS Indispensables\MediaDICO9.EXE
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Micro Application\9 DICOS Indispensables\Rac9.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Fichiers communs\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\SoftwareDistribution\Download\8d1470bed452b5d6aa1e9ba186868288\update\update.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange HSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange HSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange HSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Invisible Secrets 4] C:\PROGRA~1\INVISI~1\invtray.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [MediaDico9] C:\Program Files\Micro Application\9 DICOS Indispensables\LanceMediaDICO9.exe Lancement
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.01net.com/telecharger/
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?e=1230065838176&h=98eff22f513ce81cf9f4e589aa80c947/&filename=jinstall-6u11-windows-i586-jc.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

anthony5151 · Answer

Pas d'infection sur ce rapport...
Côté faille de sécurité, la seule que je puisse voir à travers ce rapport correspond à IE qui n'est pas à jour.

Bon courage pour tout remettre à jour :(

Evaan · Answer

Merci, et il m'en faudra, parce que j'ai déjà fait quelques recherches et rien ne s'est révélé concluant pour l'instant =(

Bon, alors je suppose que je peux marquer le sujet comme résolu et lancer un SOS dans une autre section pour la suite... 

Une fois encore, je vous remercie pour tout, parce que j'avais quand même apparemment pas mal d'infections qui commençaient sérieusement à poser problème, et au moins, ces problèmes là ont disparu ! Efficace ^^ !

Message d'erreur de chargement au démarrage

43 réponses

Discussions similaires

Newsletters