Bonjour, Depuis quelques jours, j'ai sur mon pc un spyware assez virulent. Dans ma barre de tâches est apparu une croix blanche dans un rond rouge associée à plusieurs étiquettes (Warning! Security report, Warning! Spyware files : Win32.Banker.FS Trojan.SpyAgent.DA ... ou Your computer is infected! It is recommended to start spyware cleaner tool), ainsi que des Crash Alert !! J'ai essayer un bon nombre d'anti-spywares (doctor spyware, spy-bot, ad-aware,...) mais en vain. Il est toujours là! De plus Avast n'a détecté aucun virus. J'ai vu sur le forum que d'autres personnes ont connu des problèmes similaires. J'ai téléchargé HiJackThis. Si quelqu'un peut m'aider je lui en serais reconnaissant. En attendant une réponse, Bonne fin de weekend.

Salut, fais ceci pour voir de quoi il retourne ... cela ressemble à une infection via MSN / Facebook ... ;) Télécharge et installe le logiciel HijackThis : ici HijackThis ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html 1- Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : "C:\ program files\Trend Micro\HijackThis\HijackThis.exe " . tuto pour utilisation : Regarde ici, c'est parfaitement expliqué en images (merci balltrap34), http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm ( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement ) 2- !! Déconnecte toi et ferme toutes tes applications en cours !! Clique sur le raccourci du bureau pour lancer le prg : fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" ---> Poste le rapport généré pour analyse ...

Bien ... fais ceci : Télécharge SDFix sur ton bureau : ici http://downloads.andymanchesta.com/RemovalTools/SDFix.exe. ou ici http://sdfix.net/SDFix.exe --> Double-clique sur SDFix.exe et choisis "Install" . ( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ ) Puis une fois l'installe faite , Impératif : Démarrer en mode sans echec . /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ Comment aller en Mode sans échec : 1) Redémarre ton ordi . 2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" . 3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] . 5) Choisis ton compte habituel ( et pas Administrateur ). attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ... Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer l'outil . -->Tapes Y pour lancer le script ... Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc : presses une touche pour redémarrer quand il te le sera demandé . Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche . Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier C:\SDFix sous le nom "Report.txt". Poste ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...

Télécharge se petit soft , ZEB_RESTORE : ici http://telechargement.zebulon.fr/zeb-restore.html ou https://forum.zebulon.fr/index.php?act=attach&type=blogentry&id=1153 Enregistre ce fichier sur ton bureau. -Clique droit Zeb-Restore.zip ==> "Extraire tout" choisis comme lieu d'enregistrement le bureau. -Ouvre le dossier ZR_1.0.0.37 ==> double clique sur Zeb-Restore.exe ---> Coche la case devant ( et uniquement celle-ci ! ) : * Extension des fichiers : répare les extensions des fichiers .exe .bat .reg .pif .cmd .scr .com -Clique sur : " Restaurer " et laisse faire .... --> Une fois finit, redémarre ton PC en mode sans échec et re-tente la manipe de SDFix ... postes moi les rapports demandé ... ;)

Tu est dans une session administrateur ou pas ? Laisse tomber SDFix pour le momment et fais ceci : Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau : https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 ( Tuto : https://sites.google.com/site/toolbarsd/aideenimages ) !! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !! * Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ... * Tape 1 ( option "recherche" ) et tape [entrée] ... La recherche commence , touche à rien ... * Une fois le scan finit , un rapport va apparaître, copie/colle l'intégralité de son contenu dans ta prochaine réponse ... ( le rapport est en outre sauvegardé ici -> C:\TB.txt )

Bien ... des crack infectieux en pls qu'il faut nettoyer ... dans l'ordre : 1- Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau. http://oldtimer.geekstogo.com/OTMoveIt3.exe ! Déconnecte toi et ferme toutes tes applications en cours ! Double clique sur "OTMoveIt3.exe" pour ouvrir le prg . Puis copie ce qui se trouve en citation ci-dessous, :Processes explorer.exe :Services :Reg :Files C:\DOCUME~1\Thomas\Mes documents\sauvegarde\Avast 4.5\Avast Home & Professionnal Edition 4.5\Avast Home Edition 4.5.523\Keygen.exe C:\DOCUME~1\Thomas\Mes documents\sauvegarde\Avast 4.5\Avast Home & Professionnal Edition 4.5\Avast Professional Edition 4.5.523\Keygen.exe :Commands [purity] [emptytemp] [start explorer] [Reboot] et colle le dans le cadre de gauche de OTMoveIt3 : Paste Instructions for items to be moved. (ne touche à rien d'autre !) -> clique sur MoveIt! pour lancer la suppression. -> laisse travailler l'outil ... ( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .) -> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " . Ton PC va redémarrer de lui même ... -->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles" ( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ). 2- Télécharge Navilog1 sur ton bureau : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe !! Déconnecte toi,désactive tes défenses( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !! Ensuite double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, le fix s'exécutera automatiquement. (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). Laisse-toi guider. Au menu principal, choisis 1 et valide . (ne fais pas le choix 2,3 ou 4 sans notre avis/accord) Patiente jusqu'au message : *** Analyse Termine le ..... *** Appuie sur une touche comme demandé, le bloc-note va s'ouvrir. Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite . (Le rapport est en outre sauvegardé à la racine du disque "C\:fixnavi.txt" ) TUTO (aide) : http://www.malekal.com/Adware.Magic_Control.php#mozTocId595901

postes moi le rapport OTmoveIt stp ... ensuite fais ceci : Télécharge MalwareByte's : ici http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware ou ici : http://www.malwarebytes.org/mbam.php * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour . (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ ) * Potasse le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3 ( cela dis, il est très simple d'utilisation ). ! Déconnecte toi et ferme toutes applications en cours ! * Lance Malwarebyte's . Fais un examen dit "Rapide" . --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). --> à la fin tu cliques sur "résultat" . --> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " . Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date), accompagné d'un nouveau rapport hijackthis pour analyse ...

Bien ... la suite maintenant ...

Impec ... Dans l'ordre : 1- Supprimes tout ce qui se trouve dans la quarantaine de Malwarebytes . ============ 2- Télécharge : - CCleaner https://www.pcastuces.com/logitheque/ccleaner.htm Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . Lors de l'installation: -choisis bien "francais" en langue . -avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. Un tuto ( aide ): http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm ---> Utilisation: ! déconnecte toi et ferme toutes applications en cours ! * va dans "nettoyeur" : fais -analyse- puis -nettoyage- * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) ======================= 3- Ouvre le dossier ZR_1.0.0.37 ==> double clique sur Zeb-Restore.exe ---> Coche les cases devant ( et uniquement celles-ci ! ) : * regedit : rétablis l'editeur de registre * clés run : réactive les valeurs bloquant l'utilisation de celles-ci * Extension des fichiers : répare les extensions des fichiers .exe .bat .reg .pif .cmd .scr .com * Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.) * Réinitialiser Fichier Hosts : réinitialise le fichier Hosts -Clique sur : " Restaurer " et laisse faire .... --> Une fois finit, redémarre ton PC en mode sans échec et tentes une fois de plus la manipe de SDFix : http://www.commentcamarche.net/forum/affich 9909779 alerte trojan win32 banker fs?#3

grrrr ... C'est SDbot qui fout sa merde ... Changeons de stratégie ... Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !): http://download.bleepingcomputer.com/sUBs/ComboFix.exe --------------------------------------------- [ ! ATTENTION ! ] ---------------------------------------------------------- !! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !! --->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ... Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ... --------------------------------------------------------------------------------------------------------------------------------- Ensuite : double-clique sur l'icône "combofix.exe" pour lancer l'outil . Appuie sur la touche Y (Yes) pour démarrer le scan . Notes importantes : -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi . -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire . -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ... -> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) Le rapport sera crée ici : C:\Combofix.txt Réactive bien tes défenses . Poste le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...

Vu .. encore autre chose .... ^^ 1- Télécharge UsbFix ( de Chiquitine29 et Chimay8 ) sur ton bureau : http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe ! Déconnecte toi d'internet et ferme toutes applications en cours ! --> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) . Impératif : Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3, etc...) succeptibles d'avoir été infectés, ainsi que les CD et DVD rom dont tu te sers éventuellement le plus souvent ( mais sans les ouvrir ! ) . --> Double-clique sur le raccourci "UsbFix" qui est sur ton bureau pour lancer l'outil : * Tape sur 1 ( option " nettoyage " ) puis sur [entrée] et suis les instructions ... --> Le pc va redémarrer ... laisse travailler l'outil et ne touche à rien ... ( Note : pour les unités externes non utlisées, clique sur "continuer" lors du message d'avertissement ) --> Une fois de retour à ton bureau , attends le message de fin du nettoyage , puis appuie sur une touche pour que le rapport "UsbFix.txt" s'affiche . Fais un copier/coller de son contenu dans ta prochaine réponse pour analyse et attends la suite .... ( Note : le rapport UsbFix.txt est sauvegardé a la racine du disque dur > C:\UsbFix.txt ) PS : Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche": tape explorer.exe et valides . une fois ce rapport posté , fais ceci : 2- Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau. -> http://images.malwareremoval.com/random/RSIT.exe ! Ferme bien toutes tes applications en cours ! Double-clique sur " RSIT.exe " pour le lancer . -> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . * Devant l'option "List files/folders created ..." , tu choisis : 2 months * clique ensuite sur " Continue " pour lancer l'analyse ... ( Note : Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.) -> laisse faire le scan et ne touche pas au PC ... Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note). Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ... Important : poste un rapport, puis l'autre dans la réponse suivante ... si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ... Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ... ( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

Alerte trojan Win32.banker.FS

Réponse 21 / 33

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

impec ...

la suite pour demain :

1-Mets à jours ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :
* pour la console Java :
-> désinstalle les versions antérieurs via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Puis télécharge et installe la dernière version ici :
http://www.commentcamarche.net/telecharger/telecharger 34055318 java runtime environment
ou https://www.java.com/fr/

-> Enfin contrôle ceci :
Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".

* Adobe Reader :
-> désinstalle avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Important : si tu as une imprimante ,désactive la et la débranche du PC avant de faire la mise à jour.
-> télécharge et installe la dernière version ici :
http://www.commentcamarche.net/telecharger/telecharger 27 acrobat reader

2- refais un scan hijackthis , poste le nouveau rapport obtenu et attends la suite ...

tom77340

Salut, bonne journée ?

Voila le rapport Hijack, j'ai bien désintallé et réinstallé java runtime et adobe reader.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:51:03, on 16/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\PrevxCSI\prevxcsi.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\PrevxCSI\prevxcsi.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Synaptics\SynTP\Toshiba.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Lexmark 2300 Series\lxcgmon.exe
C:\Program Files\Lexmark 2300 Series\ezprint.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\lxcgcoms.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://10.164.0.8/proxy2.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.2.1.2.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\msntb.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Program Files\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\MSN Toolbar Suite\fr-fr\msntabres.dll.mui/229?2237dd14d4c04700b56d3597d73310a8
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\MSN Toolbar Suite\fr-fr\msntabres.dll.mui/230?2237dd14d4c04700b56d3597d73310a8
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {91D4B4D5-E368-40AB-8F53-A37FA634B471} (Installer9Ctrl Class) - http://www.tellmemorecampus.com/bin/tol9inst.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: CSIScanner - Prevx - C:\Program Files\PrevxCSI\prevxcsi.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Réponse 22 / 33

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Salut,

glaciale mais bonne ^^

la suite :

1- Ferme toutes tes applications ( navigateur compris ) et déconnecte toi .

Relance Hijackthis mais click sur " Do a scan only "
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide .
Tu vas cliquer sur les carrés des lignes suivantes :

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.2.1.2.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)

Tu cliques en bas sur le bouton FIX CHECKED et valides .

2- Redémarre l'ordi .
( important pour que certaines modifs faites avec hijakthis soient prises en compte )

Puis teste ton PC ainsi que ta navigation sur internet ... Si tout est Ok pour toi , on peut passer à la dernière étape ....
Poste aussi un dernier rapport Hijackthis de contrôle ...

Réponse 23 / 33

tom77340

Apparement tout vas bien pour la navigation,

voilà le rapport HiJack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:29:06, on 16/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\PrevxCSI\prevxcsi.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\PrevxCSI\prevxcsi.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\Synaptics\SynTP\Toshiba.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Lexmark 2300 Series\lxcgmon.exe
C:\Program Files\Lexmark 2300 Series\ezprint.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\lxcgcoms.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://10.164.0.8/proxy2.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\msntb.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Program Files\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\MSN Toolbar Suite\fr-fr\msntabres.dll.mui/229?2237dd14d4c04700b56d3597d73310a8
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\MSN Toolbar Suite\fr-fr\msntabres.dll.mui/230?2237dd14d4c04700b56d3597d73310a8
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {91D4B4D5-E368-40AB-8F53-A37FA634B471} (Installer9Ctrl Class) - http://www.tellmemorecampus.com/bin/tol9inst.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: CSIScanner - Prevx - C:\Program Files\PrevxCSI\prevxcsi.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Réponse 24 / 33

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Impec ...

suite et fin dans l'ordre :

1- Déconnecte toi et ferme bien toutes tes applications en cours .

Lance Toolscleaner2 .
*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
---> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

Puis enfin supprime Toolscleaner2 ...

2- Refais un coup de CCleaner ( registre compris ) .

3- Fais ce check-up pour finir :

( étape A à faire de suite ! et le reste dès que tu peux mais ne tarde pas trop ;) )

A-Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).

Attention : ne pas toucher au PC pendant qu'il travaille !

B-Nettoyage et Défragmentation de tes Disques
*Nettoyage :
Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général"
Clique sur le bouton "nettoyage de disque", OK .
tu le fais pour chacun de tes disques ...

*Vérifications des erreurs :
Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil"
"Vérifier maintenant", une boîte s'ouvre, cocher les cases :
-réparer automatiquement les erreurs...
-rechercher et tenter une récupération...
--->Démarrer, ok
Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal
tu le fais pour chacun de tes disques ...

ensuite toujours dans le même onglet tu choisis :
*Défragmentation :
"défragmenter maintenant", OK
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK .
Tu le fais pour chacun de tes disques ...

Note : si tu as un utilitaire pour défragmenter , utilise le à la place ...

C-Créer un point de restauration de ton PC :

Aller dans le Menu Démarrer puis dans Programmes,
- Ensuite dans Accessoires et enfin dans Outils système,
- Choisir "Restauration du système",
- Sélectionner "Créer un point de restauration",
- Cliquer sur "Suivant",
- Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple :
<< Point restauration sain >> .

--> Cliquer sur "Créer" et le point de restauration se créé automatiquement.

---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)

tom77340

Ok ça roule, jfais ça !
Ca risque de prendre un peu de temps. A tout à l'heure :p

tom77340

J'ai fait le nettoyage de disque je vais passer à la défragmentation mais j'ai une message venant de Prevx CSI qui me dit que j'ai un fichier frauduleux. Je te met en lien le screenshot.

https://imageshack.com/

sKe69 Messages postés 21955 Statut Contributeur sécurité 463 > tom77340

supprime le et passe à la suite ...

tom77340

Voici lr rapport de ToolsCleaner2 :

[ Rapport ToolsCleaner version 2.2.7 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Thomas\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Thomas\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Thomas\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Thomas\Bureau\OTMoveIt3.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Thomas\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Thomas\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Thomas\Bureau\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Documents and Settings\Thomas\Bureau\OTMoveIt3.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Réponse 25 / 33

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

avant de supprimer,

vérifie sur Virustotal stp :

Rends toi sur ce site :

https://www.virustotal.com/gui/

clique sur parcourir et va jusqu'au fichier " hpnaa.exe " indiqué par Prevx

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ... ( surtout le listing des AV )

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

et suivant le résultat , je te dirai si il faut supprimer ...

tom77340

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.12.17.0 2008.12.17 -
AntiVir 7.9.0.45 2008.12.16 -
Authentium 5.1.0.4 2008.12.16 -
Avast 4.8.1281.0 2008.12.16 -
AVG 8.0.0.199 2008.12.16 -
BitDefender 7.2 2008.12.17 -
CAT-QuickHeal 10.00 2008.12.16 -
ClamAV 0.94.1 2008.12.16 -
Comodo 764 2008.12.16 -
DrWeb 4.44.0.09170 2008.12.17 -
eSafe 7.0.17.0 2008.12.16 -
eTrust-Vet 31.6.6263 2008.12.16 -
Ewido 4.0 2008.12.16 -
F-Prot 4.4.4.56 2008.12.16 -
F-Secure 8.0.14332.0 2008.12.16 -
Fortinet 3.117.0.0 2008.12.16 -
GData 19 2008.12.17 -
Ikarus T3.1.1.45.0 2008.12.16 -
K7AntiVirus 7.10.555 2008.12.16 -
Kaspersky 7.0.0.125 2008.12.17 -
McAfee 5466 2008.12.16 -
McAfee+Artemis 5466 2008.12.16 -
Microsoft 1.4205 2008.12.17 Trojan:Win32/Skintrim.gen!D
NOD32 3695 2008.12.16 -
Norman 5.80.02 2008.12.16 -
Panda 9.0.0.4 2008.12.15 -
PCTools 4.4.2.0 2008.12.16 -
Prevx1 V2 2008.12.17 Fraudulent Security Program
Rising 21.08.12.00 2008.12.16 -
SecureWeb-Gateway 6.7.6 2008.12.16 Ad-Spyware.LooksLike.NaviPromo
Sophos 4.36.0 2008.12.17 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.17 -
TheHacker 6.3.1.4.189 2008.12.16 -
TrendMicro 8.700.0.1004 2008.12.16 -
VBA32 3.12.8.10 2008.12.16 -
ViRobot 2008.12.16.1521 2008.12.16 -
VirusBuster 4.5.11.0 2008.12.16 -

tom77340

et la suite :

File size: 294912 bytes
MD5...: 02c2707025fa94ca61c63dd160d28d72
SHA1..: 26a78d4a6efcd5631553674fb95ce379a88af670
SHA256: e5ec38bb60ee9a271263d1387dcf1d75cb2acf706f4e1b48d03d14cd1ff5b9ad
SHA512: 8a187e6254945db80a1b498ed68d9a7b949ab337c131f03189cf0772b51d9e00
b9c6369e80cdff69de520ecc43655c30d332d744703ef6d2c4ca304648b380a9
ssdeep: 6144:qk4VtO0YFRi4edUT/ztxI1T3KnBs/P5IJ+PAC2KjklaP:gUw4nTg1uBs/SJ
PCzjkg
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43be20
timedatestamp.....: 0x421507c4 (Thu Feb 17 21:08:20 2005)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3afac 0x3b000 7.44 6516c880adac660cc7a2b8002a52eeae
.rdata 0x3c000 0x1996 0x2000 4.89 cc4278f4f4d147865e0ad7cb3a9c3fb2
.data 0x3e000 0x995c 0xa000 5.47 f2d75babf82a031f9d0920bd09ba039f

( 10 imports )
> KERNEL32.dll: ClearCommBreak, SizeofResource, GetCurrentProcess, GetDiskFreeSpaceW, UnmapViewOfFile, FindCloseChangeNotification, ReadConsoleInputW, FindFirstFileA, MoveFileW, PurgeComm, _lread, FlushConsoleInputBuffer, GetLongPathNameA, lstrcmpiW, WaitNamedPipeA, GetOverlappedResult, WritePrivateProfileStringA, GetLocaleInfoW, GetThreadContext, FreeLibrary, lstrcpynA, _lclose, MultiByteToWideChar, GetConsoleCursorInfo, GetModuleHandleA, GlobalFindAtomW, SetConsoleCursorPosition, VirtualLock, GetSystemInfo, GetBinaryTypeW, SetEvent, GetTapeStatus, RaiseException, WriteProcessMemory, ReadFileScatter, EnumResourceLanguagesW, GetSystemTime, _llseek, GetProfileIntA, FreeEnvironmentStringsA, SetTimeZoneInformation, GetCurrentDirectoryW, ScrollConsoleScreenBufferA, CompareStringA, GetACP, SetupComm, FlushFileBuffers, GetSystemTimeAdjustment, LocalFileTimeToFileTime, SetCommMask, GetDriveTypeA, SetEndOfFile, EndUpdateResourceA, CreateIoCompletionPort, CreateFileW, GetFileInformationByHandle, QueryDosDeviceA, EnumSystemCodePagesW, IsDBCSLeadByteEx, GetCurrentProcessId, OutputDebugStringW, _hread, SetVolumeLabelA, GetBinaryTypeA, SetErrorMode, FreeResource, EraseTape, GetCPInfo, _lopen, GlobalReAlloc, CreateDirectoryExA, FatalAppExitA, IsValidLocale, GetCommModemStatus, FindFirstFileW, VirtualUnlock, SetEnvironmentVariableA, SetThreadPriorityBoost, PeekConsoleInputW, GetProcessTimes, GetCommConfig, FillConsoleOutputCharacterA, LocalReAlloc, GetSystemDirectoryW, PeekNamedPipe, FindResourceExA, FindFirstFileExW, GetVersion, GetTempPathW, GetSystemTimeAsFileTime, OpenMutexA, IsBadReadPtr, GlobalAddAtomA, GetFileAttributesExA, GetShortPathNameW, GetStartupInfoA, GetDriveTypeW, CreateNamedPipeW, GetCommandLineW, SetConsoleOutputCP, AllocConsole, FileTimeToLocalFileTime, CreateEventA, lstrcpyA, FormatMessageW, GetAtomNameA, CreateProcessA, SetProcessAffinityMask, GetEnvironmentVariableW, GetUserDefaultLangID, EnumDateFormatsW, VirtualAlloc
> WS2_32.dll: WSADuplicateSocketW, -, -, WSAEnumProtocolsA, WSAEnumProtocolsW, WSALookupServiceEnd, WSASetServiceA, -, WSAEnumNameSpaceProvidersA, -, -, -, -, -, -, -, -, WSAHtons, -
> OLEAUT32.dll: -, -, -, -, -
> COMCTL32.dll: ImageList_GetImageCount, ImageList_DragLeave, CreatePropertySheetPageW
> comdlg32.dll: GetSaveFileNameW, GetSaveFileNameA
> ole32.dll: CoSwitchCallContext
> ADVAPI32.dll: BuildTrusteeWithSidW, MakeAbsoluteSD, RegDeleteKeyW, FreeSid, CryptGetHashParam, SetNamedSecurityInfoW, CryptDeriveKey, BuildSecurityDescriptorW, CreateServiceW, GetSecurityDescriptorLength, OpenEventLogW, SetServiceObjectSecurity, CryptDestroyHash, LookupPrivilegeValueW, RegNotifyChangeKeyValue, InitiateSystemShutdownA, SetPrivateObjectSecurity, RegQueryValueW, LockServiceDatabase, EqualSid, GetNamedSecurityInfoA, LookupAccountSidA, NotifyBootConfigStatus, DuplicateToken, QueryServiceLockStatusW, RegLoadKeyA, DestroyPrivateObjectSecurity, RegRestoreKeyA
> USER32.dll: SetWindowLongW, CharPrevW, GetUserObjectInformationA, CharUpperW, DefMDIChildProcA, OpenWindowStationA, InSendMessage, EnumDisplayDevicesW, RegisterWindowMessageA, WindowFromDC, GetKeyboardType, ActivateKeyboardLayout, UnregisterHotKey, ModifyMenuW, GetClipboardSequenceNumber, IsDialogMessageA, GetClassInfoA, ToUnicodeEx, DestroyMenu, SetParent, GetWindowTextLengthA, ClientToScreen, TranslateMessage, GetWindowDC, SetLastErrorEx, TranslateMDISysAccel, GetAsyncKeyState, CreateDesktopW, keybd_event
> SHELL32.dll: SHFileOperationW
> MSVCRT.dll: _except_handler3, _controlfp, _iob, _stat, _i64tow, _ultow, _ecvt, _strupr, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _umask, wcscmp, _chsize, _mbsnbcmp, _mkdir, _write, isupper, iswdigit, wcsncmp, _fileno, _mbscat, clearerr, _snprintf, _wcsnicmp, _locking, __p__environ, _wsystem, strstr, remove, _sys_errlist, signal, _wcsdup, _wgetenv, strncpy, _snwprintf, _splitpath, vfprintf, _putws

( 0 exports )
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=00E767BA0084127D80620468DBE415002BEF6D93' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=00E767BA0084127D80620468DBE415002BEF6D93</a>

Réponse 26 / 33

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Supprimes le manuellement ( clique droit dessus / supprimer )

dis moi si cela a marché ... ( cad , si cela marche au premier abors , tu redémarres le pc et ensuite , vérifie si il n'est pas revenu ) .

tom77340

associé au .exe il y a des .vir est ce que je les supprime aussi comme le .exe ?

Réponse 27 / 33

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Supprime déjà le hpnaa.exe

ensuite fais ceci :

Télécharge DirLook de jpshortstuff sur ton bureau :

http://jpshortstuff.247fixes.com/DirLook.exe

* Double-clique sur "DirLook.exe" pour lancer l'outil .

-> Vérifie que "Show Hidden Files" et "BBCode Ouput" soient cochées .

-> Copies/colle le texte ci-dessous dans la fenêtre :

C:\documents and settings\thomas\local settings\application data

* Clique sur le bouton [DirLook] pour lancer l'examen .

( laisse travailler , cela peut être plus ou moins long )

Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.

-> Poste ce rapport dans ta prochaine réponse pour analyse ...

( Note : Le rapport est en outre sauvegardé ici C:\dl_log.txt )

tom77340

DirLook.exe v2.0 by jpshortstuff
Log created at 01:27 on 17/12/2008
==================================[b]
Contents of "C:\documents and settings\thomas\local settings\application data"
[/b]
[b][color=blue]---FOLDERS---[/b][/color]

[b]Adobe[/b] (Created on 03/02/2008 at 11:28) d-----
[b]Apple[/b] (Created on 15/02/2008 at 13:08) d-----
[b]Apple Computer[/b] (Created on 15/02/2008 at 13:07) d-----
[b]ApplicationHistory[/b] (Created on 03/02/2008 at 11:28) d-----
[b]ATI[/b] (Created on 03/02/2008 at 11:28) d-----
[b]Identities[/b] (Created on 07/02/2008 at 14:58) d-----
[b]Microsoft[/b] (Created on 03/02/2008 at 11:28) d-----
[b]Mozilla[/b] (Created on 03/02/2008 at 12:46) d-----
[b]Steam[/b] (Created on 09/05/2008 at 08:04) d-----
[b]WMTools Downloaded Files[/b] (Created on 20/03/2008 at 15:52) d-----
[b]{3248F0A6-6813-11D6-A77B-00B0D0150060}[/b] (Created on 03/02/2008 at 11:28) d-----

[b][color=blue]---FILES---[/b][/color]

[b]DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini[/b] (31744 bytes - created on 05/02/2008 at 09:44, modified on 10/12/2008 at 23:59) --a---
[b]dhnaa.dat.vir[/b] (5474 bytes - created on 09/12/2008 at 20:53, modified on 11/12/2008 at 18:31) --a---
[b]dhnaa_nav.dat.vir[/b] (305499 bytes - created on 09/12/2008 at 20:54, modified on 09/12/2008 at 20:53) --a---
[b]dhnaa_navps.dat.vir[/b] (333 bytes - created on 09/12/2008 at 20:53, modified on 11/12/2008 at 18:31) --a---
[b]fusioncache.dat[/b] (129 bytes - created on 03/02/2008 at 11:28, modified on 03/02/2008 at 12:01) --a---
[b]GDIPFONTCACHEV1.DAT[/b] (19744 bytes - created on 03/02/2008 at 11:28, modified on 22/09/2006 at 13:07) --a---
[b]IconCache.db[/b] (4807392 bytes - created on 03/02/2008 at 11:28, modified on 15/12/2008 at 22:21) --ah--

==================================
[b][color=blue]=EOF=[/b][/color]

Réponse 28 / 33

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

ok ... ça c'est une vieille infection navipromo traité " manuellement "....

tu supprimes de la même manière dhnaa.dat.vir , dhnaa_nav.dat.vir et dhnaa_navps.dat.vir

ensuite tu refais un coup de CCleaner ( registre compris ) .... puis redémarre le PC et vérifie de nouveau si tout ceci n'est pas revenu à cet endroit ....

dis moi ce que cela a donné ....

tom77340

L'ensemble des dhnaa n'apparait plus dans le dossier où il était avant et Prevx ne les repère plus, mais il a détecté Flash_disinfector comme spyware.

tom77340 > tom77340

je pense que si je supprime Flash_disinfector le problème sera résolu. tu me conseille de faire la création du point de restauration ?

Réponse 29 / 33

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

c'est un faux positif ^^

mais supprime flash désinfector quand même ( et DirLook ) , il ne t'est plus d'aucune utilité !

ensuite reprends ceci dans l'ordre :

1- Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).

2- Créer un point de restauration de ton PC :

Aller dans le Menu Démarrer puis dans Programmes,
- Ensuite dans Accessoires et enfin dans Outils système,
- Choisir "Restauration du système",
- Sélectionner "Créer un point de restauration",
- Cliquer sur "Suivant",
- Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple :
<< Point restauration sain >> .

--> Cliquer sur "Créer" et le point de restauration se créé automatiquement.

*********************************

Cette fois c'est terminé ... ;)

Content d'avoir pu te rendre service ... ^^

potasse ceci :

Des informations intéressantes pour toi et ton PC :

=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance :
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement).

Pourquoi ? Pour éviter de se retrouver dans ce genre de situation ( peu commune mais ...) :
-> http://secubox.aldria.com/topic-2373.html

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi :

( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.htm )

Donc pour se faire, rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions.
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme.
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

=============================================================

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC :

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html
-Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
-Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page.

===========================================================
* le pare- feu de Xp vaut rien , je te conseille fortement dans installer un :
Armor ou Comodo sont très bien ( en anglais mais gratuit )...Tu trouveras tout ce qu'il faut ici :
http://www.commentcamarche.net/telecharger/logiciel 38 firewall

tutos :
https://www.malekal.com/tutorial-online-armor-free/
https://www.malekal.com/tutorial-comodo-firewall/

( Attention : pour Comodo 3 , ne pas installer la barre d'outil pour les navigateurs ! )

En deuxieme choix ( gratuit aussi ) :
->Comodo ancienne version 2.4 ( en francais ) :
http://download.comodo.com/cpf/download/setups/release/languages/CFP_Setup_English_French_2.4.16.174.exe
tuto: https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389

->PC Tools Firewall Plus (en français) :
https://fr.norton.com/
Tuto : http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/

(Note: pensez bien à désactiver le pare-feu de Windows avant de lancer l'installe de tout autre pare-feu !)

* teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.php

* tests firewall: http://www.matousec.com/index.html

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) :

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html

================================================================

--> Pour une meilleur sécurité lorsque tu surfes , je te conseille d'utiliser FireFox :
télécharge le ici -> http://www.commentcamarche.net/telecharger/telecharger 111 firefox

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

--> Tutorial pour sécuriser Firefox :
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/

=================================================================
=> Rappel sur les principales causes d'infection :

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :

Les dangers des cracks : http://forum.malekal.com/ftopic893.php

->Le crack dans toute sa splendeur, journal d'une infection attendue :
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/

->autre exemple en image , où comment s'infiltre une infection par un pseudo crack :
http://secuboxlabs.fr/archives/computertoday.html

* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent):

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/

Pourquoi éviter le P2P :
> http://www.libellules.ch/...
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793
> https://lexpansion.lexpress.fr/actualite-economique/

* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment :
http://assiste.com.free.fr/p/abc/c/anti_activex.html

* Prévention sur deux autres types d'infection d'actualité :

MSN prévention :
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
https://forum.malekal.com/viewtopic.php?f=45&t=5544

=================================================================
( merci le sioux )

voilou ....

passe de bonne fête et bon surf .... =)

A+

Réponse 30 / 33

tom77340

C'est moi qui te remercie.
Tu a su remettre mon pc dans le droit chemin et je t'en suis reconnaissant. En tt cas je suis impréssionné par tes connaissances.

Je te souhaite aussi de bonnes fêtes et tous pleins de bonheurs à toi et ta famille.

Merci encore pour tout ce temps passé pour m'aider.

Peut être à une prochaine fois :p

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

;-)

Réponse 31 / 33

koondo

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:17:06, on 17/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://client.numericable.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Wbaxezelag] rundll32.exe "C:\WINDOWS\Vviteboyobu.dll",e
O4 - HKLM\..\Run: [odb] C:\WINDOWS\odb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - C:\DOCUME~1\Gilbert\LOCALS~1\Temp\wndutl32.dll
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

koondo,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procède comme ceci :
*Clique sur ce lien -> http://www.commentcamarche.net/forum/forum 7#ecrire

*Puis dans l'encadré, en dessous du "bonjour",expose clairement et précisément ton problème ...
Pour poster ta question sur le forum, tu n'as plus qu'à cliquer sur "Ajouter" ...
Patiente et un helper finira par te prendre en charge ;)

Bonne chance =)

A+

Réponse 32 / 33

J D L Messages postés 2 Statut Membre

Bonjour ske ....et les autres

Je viens de chopper le meme virus et avant de pouvoir le supprimer en suivant tes instructions si précieuses, je voudrais savoir quels sont les dangers de celui-ci. L'ordinateur peut-il etre "out" rapidement? Est-ce qu'il agit sur mes données, fichiers...?

Je te demande ça, car si je peux temporairement continuer à utiliser mon PC sans risque immédiat, j'en aurais bien besoin ce soir. De plus j'ai vu que le procédure de réparation était assez longue. Après je suis opérationnel pour le nettoyage dès demain première heure. :)

En tout cas je te félicite d'avance pour tes compétences informatiques, c'est vraiment pratique d'avoir des gens comme toi de dispo pour aider les novices en informatique.

Merci d'avance
JD

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

J D L,

Comme les cas ne sont jamais vraiment les mêmes et que tu n'es disponible, il serait préférable que tu fasses ton message personnel demain donc ... cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace .

Procède comme ceci :
*Clique sur ce lien -> http://www.commentcamarche.net/forum/forum 7#ecrire

*Puis dans l'encadré, en dessous du "bonjour",expose clairement et précisément ton problème ...
Pour poster ta question sur le forum, tu n'as plus qu'à cliquer sur "Ajouter" ...
Patiente et un helper finira par te prendre en charge ;)

Bonne chance =)

A+

Réponse 33 / 33

J D L Messages postés 2 Statut Membre

Pas de problème Ske!
je posterais sur un new sujet!
Par contre peux tu me dire si ce virus es très dangereux a court terme pour le fonctionnement de mon pc?
Thanks

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

je te conseille fortement de ne pas utiliser ton PC tant que celui-ci n'est pas clean .... ;)

Bonne chance ;)

( PS : si demain je vois ton sujet , je jeterai un cil .... Si tu es tombé sur un " kéké des plages " , j'interviendrais )

++

Alerte trojan Win32.banker.FS

33 réponses

Votre réponse

Discussions similaires

Newsletters