VBS:Encrypted-gen on C:\WINDOWS\homepage.htm

horlas Messages postés 1 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

Avast version 4.8 detecte depuis deux jours ce virus/ver : VBS:Encrypted-gen on C:\WINDOWS\homepage.htm.

mise en quarantaine apparemment inefficace car à chaque redémarrage du PC le virus réapparait, je suppose à cause du fichier corrompu C:\WINDOWS\homepage.htm...
Pourtant je n'utlise pas IE mais Firefox 3.0.4....?

J'ai téléchargé Hitjackthis, scanné et collé le rapport là http://www.hijackthis.de/fr#anl, j'ai selectionné les lignes incriminées et joué le bouton Fix Checked...je pense que c'est comme ça qu'on fait...J'ai recommené la manip une nouvelle fois: là évaluation nickel....Mais au redémarrage idem, le ver est toujours là.


Pouvez-vous m'en dire plus, je ne dois certainement pas aller au bout de la manip.

Merci par avance de votre aide.
PS/ j'ai regardé le forum avant de poster mais vu aucun message se rapportant au problème.
A voir également:

58 réponses

Précédent
Réponse 21 / 58
horlas
 
bonjour,

SmitFraudFix v2.388

Rapport fait à 11:11:18,18, 13/01/2009
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts



»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

Problème suppression C:\autorun.inf

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E955F9A5-3589-4A07-943C-7F0709A0B1E1}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F43C6F84-9605-40D7-AAF3-3AF5315E905D}: DhcpNameServer=212.27.39.1 212.27.32.176
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E955F9A5-3589-4A07-943C-7F0709A0B1E1}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F43C6F84-9605-40D7-AAF3-3AF5315E905D}: DhcpNameServer=212.27.39.1 212.27.32.176
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E955F9A5-3589-4A07-943C-7F0709A0B1E1}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\..\{F43C6F84-9605-40D7-AAF3-3AF5315E905D}: DhcpNameServer=212.27.39.1 212.27.32.176
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 22 / 58
Utilisateur anonyme
 
bonjour , poste un nouveau rapport hijackthis stp
0
Réponse 23 / 58
horlas
 
Bonsoir !

rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:13:09, on 14/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Logitech\QuickCam10\COCIManager.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Aurélia\Bureau\HiJackThis(2).exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://ww38.1-se.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ww38.1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F1 - win.ini: run=fntldr.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O19 - User stylesheet: C:\WINDOWS\color.css (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: COM+ System Applications (COMS) - Unknown owner - C:\WINDOWS\System32\lsas.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
0
Réponse 24 / 58
horlas
 
voilà apparemment il reste encore des p'tits trucs.
Par contre je voulais te dire que mon ordi marche beaucoup beaucoup mieux: c'est un régal! Il démarre aussi plus vite. Et je n'ai plus une fenêtre de commande noire qui s'ouvrait au démarrage depuis plusieurs années et que je trouvais suspecte...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 58
Utilisateur anonyme
 
bonsoir , hors connexion relance hijackthis , do a scan systeme only et coche la case qui se trouve devant ces lignes puis clique sur fix chequed





R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://ww38.1-se.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ww38.1-se.com/srchasst.html (obfuscated)
F1 - win.ini: run=fntldr.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O19 - User stylesheet: C:\WINDOWS\color.css (file missing)
O23 - Service: COM+ System Applications (COMS) - Unknown owner - C:\WINDOWS\System32\lsas.exe (file missing)


--------------------------------ensuite

ensuite redemarre ton pc , puis poste un nouveau rapport hijackthis stp
0
Réponse 26 / 58
horlas
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:25:45, on 15/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Logitech\QuickCam10\COCIManager.exe
C:\Documents and Settings\Aurélia\Bureau\HiJackThis(2).exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: COM+ System Applications (COMS) - Unknown owner - C:\WINDOWS\System32\lsas.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
0
Réponse 27 / 58
Utilisateur anonyme
 
Bonsoir !

télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau

dézippe le dossier, double-clique sur GenProc.bat http://forum.telecharger.01net.com/forum/ et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
0
Réponse 28 / 58
Utilisateur anonyme
 
poste stp en plus du rapport de genproc , le rapport d'analyse de ce fichier sur virus total




Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : c:\windows\homepage.htm




Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.
0
Réponse 29 / 58
horlas
 
bonsoir !

rapport genproc:

Rapport GenProc 2.333 [1] - 16/01/2009 - Windows XP

# Etape 1/ Télécharge :

- CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo)
Ce logiciel va permettre de supprimer tous les fichiers temporaires.
Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

- SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.exe (S!Ri)
Double-clique sur le fichier "smitfraudfix.exe" et choisis l'option 1 ; il va lister tous les éléments nuisibles dans un rapport : poste le maintenant.

- MSNFix http://sosvirus.changelog.fr/MSNFix.zip (!aur3n7) et décompresse-le sur le Bureau.


Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; pour retrouver le rapport, clique sur le raccourci "GenProc" sur ton bureau. Choisis ta session courante *** Aurélia ***


# Etape 2/

Double-clique sur le fichier "SmitfraudFix.exe" et choisis l'option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.

# Etape 3/

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.


# Etape 4/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 5/

Redémarre normalement et poste, dans la même réponse :

- Le rapport SmitfraudFix que tu as sauvegardé sur ton bureau ;
- Le contenu du rapport MSNfix situé sur le Bureau ;
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

____________________________________________________________________________________________________________

Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
0
Réponse 30 / 58
Utilisateur anonyme
 
bonsoir parfait suis les directives de genproc


http://www.commentcamarche.net/forum/affich 9955223 vbs encrypted gen on c windows homepage htm?page=2#28
0
Réponse 31 / 58
horlas
 
rapport virus total:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.73 2009.01.16 Trojan.JS.StartPage!IK
AhnLab-V3 2009.1.15.0 2009.01.16 -
AntiVir 7.9.0.55 2009.01.16 TR/Runet.A
Authentium 5.1.0.4 2009.01.16 JS/Seeker.Q
Avast 4.8.1281.0 2009.01.16 VBS:Encrypted-gen
AVG 8.0.0.229 2009.01.16 Startpage.22.I
BitDefender 7.2 2009.01.16 Trojan.Js.Startpage.X
CAT-QuickHeal 10.00 2009.01.16 -
ClamAV 0.94.1 2009.01.16 JS.Agent-24
Comodo 933 2009.01.16 TrojWare.JS.StartPage.X
DrWeb 4.44.0.09170 2009.01.16 -
eSafe 7.0.17.0 2009.01.15 -
eTrust-Vet 31.6.6311 2009.01.16 -
F-Prot 4.4.4.56 2009.01.16 JS/Seeker.Q
F-Secure 8.0.14470.0 2009.01.16 Trojan.JS.StartPage.x
Fortinet 3.117.0.0 2009.01.15 JS/StartPage.X!tr
GData 19 2009.01.16 Trojan.Js.Startpage.X
Ikarus T3.1.1.45.0 2009.01.16 Trojan.JS.StartPage
K7AntiVirus 7.10.593 2009.01.16 -
Kaspersky 7.0.0.125 2009.01.16 Trojan.JS.StartPage.x
McAfee 5496 2009.01.15 -
McAfee+Artemis 5496 2009.01.15 -
Microsoft 1.4205 2009.01.16 -
NOD32 3772 2009.01.16 JS/StartPage.X
Norman 5.93.01 2009.01.16 Startpage.LE
nProtect 2009.1.8.0 2009.01.16 Trojan.Js.Startpage.X
Panda 9.5.1.2 2009.01.15 Trj/Runet.A
PCTools 4.4.2.0 2009.01.16 -
Prevx1 V2 2009.01.16 Cloaked Malware
Rising 21.12.42.00 2009.01.16 Trojan.StartPage.uie
SecureWeb-Gateway 6.7.6 2009.01.16 Trojan.Runet.A
Sophos 4.37.0 2009.01.16 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.16 Trojan.StartPage
TheHacker 6.3.1.4.220 2009.01.14 Trojan/StartPage-htm
TrendMicro 8.700.0.1004 2009.01.16 TROJ_Generic
VBA32 3.12.8.10 2009.01.16 -
ViRobot 2009.1.16.1562 2009.01.16 -
VirusBuster 4.5.11.0 2009.01.16 -
Information additionnelle
File size: 8351 bytes
MD5...: 914eace08a2039415ef73ba394f45566
SHA1..: 0a40a4ff6de3b096d8e152b6883047b5d60588c0
SHA256: df60cafc005df69a59b117ab570794aee78da8c3939b2781ebcf012fca941773
SHA512: 686e61421980e01b9aedd6bb8b1589a6a23cf86762c0b99cf1bf9918e5cf4c56
aadcd9aaac7dd11db01f280f5dcc3c19b6419eae5a6c69849586b25386c80032
ssdeep: 192:TeHb8Hjlzgu5btGuIKyWQencfX2uiL53wBXt:Te78HjlBe9jFB9
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=914EACE09F8A20392041005EF73BA30094F45566' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=914EACE09F8A20392041005EF73BA30094F45566</a>
0
Réponse 32 / 58
Utilisateur anonyme
 
bien cherche manuellement ce fichier

homepage.htm

en suivant ce chemin

c:\windows\homepage.htm

une fois trouvé , effectu un clique droit dessus selectionne renommer , et renomme le en ajoutant l'extension .bak

homepage.htm.bak


ensuite effecue les manips demandés par genproc

ce qui va donner te donner un message d'alerte te signalant que si tu renomme ce fichier , il ne fonctionneras plus a la question voulez vous renommer ce fichier repond oui ce qui va donner





0
Réponse 33 / 58
horlas
 
Comme le demande genproc.
Rapport smitfraudfix avant redemmarage en mode sans echec:

SmitFraudFix v2.388

Rapport fait à 23:11:57,57, 17/01/2009
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Logitech\QuickCam10\COCIManager.exe
C:\WINDOWS\notepad.exe
C:\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\autorun.inf PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Aur‚lia


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\AURLIA~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Aur‚lia\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\AURLIA~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: 3Com Gigabit LOM (3C940) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.240
DNS Server Search Order: 212.27.40.241

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E955F9A5-3589-4A07-943C-7F0709A0B1E1}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F43C6F84-9605-40D7-AAF3-3AF5315E905D}: DhcpNameServer=212.27.39.1 212.27.32.176
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E955F9A5-3589-4A07-943C-7F0709A0B1E1}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F43C6F84-9605-40D7-AAF3-3AF5315E905D}: DhcpNameServer=212.27.39.1 212.27.32.176
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E955F9A5-3589-4A07-943C-7F0709A0B1E1}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\..\{F43C6F84-9605-40D7-AAF3-3AF5315E905D}: DhcpNameServer=212.27.39.1 212.27.32.176
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 34 / 58
horlas
 
rebonsoir,
Bon j'ai fait toute la manip:

quand j'ai renommé le fichier homepage.htm avast m'a à nouveau détecté le virus!

msnfix a detecté des infection présentes mais je n'ai pas eu le choix de l'option "N" , j'ai fait quand même un nettoyage en appuyant sur une touche, mais aucun rapport s'est généré.

au redemmarage msnfix s'est executé en finissant par "fichiers suspects"????

Le fichier homepage.htm.bak n'est plus sur mon pc...???

ci joint rapport smitfraudfix:

SmitFraudFix v2.388

Rapport fait à 23:23:44,07, 17/01/2009
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts



»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

Problème suppression C:\autorun.inf

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E955F9A5-3589-4A07-943C-7F0709A0B1E1}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F43C6F84-9605-40D7-AAF3-3AF5315E905D}: DhcpNameServer=212.27.39.1 212.27.32.176
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E955F9A5-3589-4A07-943C-7F0709A0B1E1}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F43C6F84-9605-40D7-AAF3-3AF5315E905D}: DhcpNameServer=212.27.39.1 212.27.32.176
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E955F9A5-3589-4A07-943C-7F0709A0B1E1}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\..\{F43C6F84-9605-40D7-AAF3-3AF5315E905D}: DhcpNameServer=212.27.39.1 212.27.32.176
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


rapport hitjackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:42:25, on 17/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Logitech\QuickCam10\COCIManager.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Aurélia\Bureau\HiJackThis(2).exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: COM+ System Applications (COMS) - Unknown owner - C:\WINDOWS\System32\lsas.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
0
Réponse 35 / 58
horlas
 
j'ai peut-être retrouvé le rapport généré par msnfix: sous le nom de catchme.log contenu :

read file error: C:\DOCUME~1\AURLIA~1\LOCALS~1\Temp\winlogon.exe, Le fichier spécifié est introuvable.
read file error: C:\DOCUME~1\AURLIA~1\LOCALS~1\Temp\services.exe, Le fichier spécifié est introuvable.
read file error: C:\WINDOWS\system32\cftmon.exe, Le fichier spécifié est introuvable.

Bon...
Merci et bon week-end!
0
Réponse 36 / 58
Utilisateur anonyme
 
bonjour on va controler avec un autre outil .

execute sdfix



Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

puis poste un nouveau rapport hijackthis
0
Réponse 37 / 58
horlas
 
Bonsoir!
Voici le rapport SDFix, merci encore de ton aide!


[b]SDFix: Version 1.240 [/b]
Run by Aur‚lia on 18/01/2009 at 22:40

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\DL.EXE - Deleted
C:\WINDOWS\DLM.EXE - Deleted
C:\WINDOWS\MSSTASKS.EXE - Deleted
C:\WINDOWS\MSTASKSS.EXE - Deleted
C:\WINDOWS\REG33.EXE - Deleted
C:\WINDOWS\SHERLOK1.EXE - Deleted
C:\WINDOWS\SHERLOK2.EXE - Deleted
C:\WINDOWS\system32\TFTP2840 - Deleted
C:\WINDOWS\system32\TFTP348 - Deleted





Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-18 23:15:08
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

IPC error: 2 Le fichier spécifié est introuvable.
scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\messenger\\msmsgs.exe"="C:\\Program Files\\messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Fri 13 May 2005 217,073 A.SHR --- "C:\WINDOWS\meta4.exe"
Mon 24 Oct 2005 66,560 A.SHR --- "C:\WINDOWS\MOTA113.exe"
Thu 13 Oct 2005 422,400 A.SHR --- "C:\WINDOWS\x2.64.exe"
Mon 19 Jul 2004 56 ..SHR --- "C:\WINDOWS\system32\309D3A9544.sys"
Fri 7 Oct 2005 308,224 A.SHR --- "C:\WINDOWS\system32\avisynth.dll"
Thu 14 Jul 2005 27,648 A.SHR --- "C:\WINDOWS\system32\AVSredirect.dll"
Sun 26 Jun 2005 616,448 A.SHR --- "C:\WINDOWS\system32\cygwin1.dll"
Tue 21 Jun 2005 45,568 A.SHR --- "C:\WINDOWS\system32\cygz.dll"
Sun 25 Jan 2004 70,656 A.SHR --- "C:\WINDOWS\system32\i420vfw.dll"
Mon 19 Jul 2004 1,682 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Thu 27 Apr 2006 2,945,024 A.SHR --- "C:\WINDOWS\system32\Smab.dll"
Mon 28 Feb 2005 240,128 A.SHR --- "C:\WINDOWS\system32\x.264.exe"
Sun 25 Jan 2004 70,656 A.SHR --- "C:\WINDOWS\system32\yv12vfw.dll"
Mon 4 Jul 2005 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 3 Nov 2005 31,232 ...H. --- "C:\Documents and Settings\Aur‚lia\Mes documents\~WRL0818.tmp"
Thu 15 Feb 2007 308,832 A..H. --- "C:\Program Files\Canon\MP Navigator EX 1.0\Maint.exe"
Mon 25 Apr 2005 61,440 A..H. --- "C:\Program Files\Canon\MP Navigator EX 1.0\uinstrsc.dll"
Thu 27 Sep 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Fri 26 Apr 2002 25,088 A..H. --- "C:\Documents and Settings\Aur‚lia\Mes documents\Courrier divers\~WRL0001.tmp"
Mon 29 Apr 2002 25,088 A..H. --- "C:\Documents and Settings\Aur‚lia\Mes documents\Courrier divers\~WRL0005.tmp"
Mon 29 Apr 2002 25,088 A..H. --- "C:\Documents and Settings\Aur‚lia\Mes documents\Courrier divers\~WRL3758.tmp"
Fri 5 Mar 2004 1,206 ...HR --- "C:\Program Files\Fichiers communs\Symantec Shared\Registry Backup\ccReg.reg"
Fri 30 Jan 2004 1,206 ...HR --- "C:\Program Files\Fichiers communs\Symantec Shared\Registry Backup\ccReg_old.reg"
Fri 30 Jan 2004 12,368 ...HR --- "C:\Program Files\Fichiers communs\Symantec Shared\Registry Backup\CommonClient_old.reg"
Fri 5 Mar 2004 12,368 ...HR --- "C:\Program Files\Fichiers communs\Symantec Shared\Registry Backup\CommonClient.reg"
Sat 17 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\075927282ce89a5c78a9e45d2662ba68\BIT22.tmp"
Sat 17 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0c6492dcf130e65e95857fcb79cdee99\BIT36.tmp"
Sat 17 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\1d502d785af08faeec25c9a802b3f870\BIT2B.tmp"
Sat 17 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\33e2c0b2e0a5331aa370a5e8ce5ad191\BIT2A.tmp"
Sat 17 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\44b76335ab66b3f67d14b905f9332d93\BIT23.tmp"
Sat 17 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4b869f18ffa23590ab9b302aa268b77f\BIT26.tmp"
Sat 17 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5b2daa6ebd73054162f60f3f53f1dca9\BIT1E.tmp"
Sat 17 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\63b185c66c2f19b1349d7679a7803bea\BIT28.tmp"
Sat 17 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\669d0b1faeda9d349046c1685c871e7d\BIT1F.tmp"
Sat 17 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\69088120c474dc8d7af3c9e4e110d486\BIT34.tmp"
Sat 17 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6a4f08fabba4aec3f6b860ce867326c4\BIT1D.tmp"
Sat 17 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6d3285ea07e02e844a1e46dffef593cf\BIT27.tmp"
Sat 17 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8a899ed7d93ef1188fb849621e59999b\BIT2F.tmp"
Sat 17 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a12a9d4221e3bd01d702cb53a8160c1d\BIT2D.tmp"
Sat 17 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a5c3341410687a2c4f35aca2ddc74c09\BIT33.tmp"
Sat 17 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b024880fe56b3ff50f74fc334213eb78\BIT3E.tmp"
Sat 17 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c7335f2b91892ece82339556ae30331d\BIT32.tmp"
Sat 17 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\eed09d97c94cc81298f94c21678411c6\BIT38.tmp"
Fri 27 May 2005 19,456 ...H. --- "C:\Documents and Settings\Aur‚lia\Application Data\Microsoft\Word\~WRL0003.tmp"
Fri 27 May 2005 19,456 ...H. --- "C:\Documents and Settings\Aur‚lia\Application Data\Microsoft\Word\~WRL3894.tmp"
Tue 28 Dec 2004 19,456 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL0005.tmp"
Mon 7 Feb 2005 20,480 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL0006.tmp"
Mon 7 Mar 2005 22,528 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL0007.tmp"
Mon 7 Mar 2005 24,064 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL0026.tmp"
Thu 29 Sep 2005 154,624 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL0132.tmp"
Mon 7 Feb 2005 20,480 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL0204.tmp"
Mon 7 Mar 2005 22,528 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL0651.tmp"
Tue 7 Jun 2005 287,232 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL1087.tmp"
Tue 7 Jun 2005 291,328 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL1198.tmp"
Tue 7 Jun 2005 287,232 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL1231.tmp"
Thu 29 Sep 2005 114,688 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL1660.tmp"
Mon 7 Mar 2005 23,040 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL2000.tmp"
Tue 7 Jun 2005 291,328 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL2227.tmp"
Tue 7 Jun 2005 287,744 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL2316.tmp"
Thu 29 Sep 2005 126,976 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL2395.tmp"
Sat 16 Sep 2006 2,859,008 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL2399.tmp"
Fri 24 Sep 2004 20,992 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL2539.tmp"
Thu 29 Sep 2005 115,200 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL2594.tmp"
Tue 28 Dec 2004 20,480 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL2695.tmp"
Fri 24 Sep 2004 20,992 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL2700.tmp"
Tue 7 Jun 2005 286,720 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL2748.tmp"
Mon 7 Mar 2005 22,528 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL2861.tmp"
Mon 7 Mar 2005 22,528 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL2907.tmp"
Mon 7 Mar 2005 25,600 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL3116.tmp"
Mon 7 Mar 2005 24,576 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL3160.tmp"
Mon 7 Mar 2005 23,040 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL3363.tmp"
Mon 7 Mar 2005 25,600 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL3415.tmp"
Fri 9 Jun 2006 502,272 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL3767.tmp"
Tue 7 Jun 2005 292,352 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL3789.tmp"
Tue 7 Jun 2005 290,816 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL3850.tmp"
Mon 7 Mar 2005 22,528 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL3851.tmp"
Tue 7 Jun 2005 284,672 ...H. --- "C:\Documents and Settings\PAULIN\Application Data\Microsoft\Word\~WRL4101.tmp"
Fri 15 Sep 2006 2,736,640 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\Lexel, Medi, columbus scratch\LEXEL\~WRL1023.tmp"
Mon 18 Sep 2006 3,818,496 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\Lexel, Medi, columbus scratch\LEXEL\~WRL1618.tmp"
Mon 18 Sep 2006 23,149,056 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\Lexel, Medi, columbus scratch\LEXEL\~WRL2403.tmp"
Mon 18 Sep 2006 3,819,520 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\Lexel, Medi, columbus scratch\LEXEL\~WRL3650.tmp"
Mon 4 Jul 2005 4,348 ...H. --- "C:\Documents and Settings\PAULIN\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"
Mon 4 Jul 2005 20 A..H. --- "C:\Documents and Settings\PAULIN\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
Mon 4 Jul 2005 400 ...H. --- "C:\Documents and Settings\PAULIN\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"
Mon 4 Jul 2005 22,528 A..H. --- "C:\Documents and Settings\PAULIN\Mes documents\Ma musique\Sauvegarde de la licence\drmv2lic.bak"
Sat 17 Jan 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c754b0ae7006467484ddc341ab515bda\download\BIT45.tmp"
Fri 11 Jun 2004 19,968 A..H. --- "C:\Documents and Settings\Aur‚lia\Mes documents\Courrier divers\SPIRAL\attestations\~WRL2486.tmp"
Fri 24 Sep 2004 27,648 A..H. --- "C:\Documents and Settings\Aur‚lia\Mes documents\Courrier divers\SPIRAL\attestations\~WRL2511.tmp"
Sat 5 Nov 2005 495,616 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\ARCHIVES CIT SUD\addeco\reponse\~WRL0419.tmp"
Sun 6 Nov 2005 11,163,648 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\ARCHIVES CIT SUD\addeco\reponse\~WRL2664.tmp"
Mon 26 Jun 2006 1,671,168 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\ARCHIVES CIT SUD\archive\Jardin des fleurs\Proposition commerciale\~WRL0504.tmp"
Mon 26 Jun 2006 1,327,104 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\ARCHIVES CIT SUD\archive\Jardin des fleurs\Proposition commerciale\~WRL2247.tmp"
Wed 15 Feb 2006 39,424 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\ARCHIVES CIT SUD\botanic\projet\livrables\~WRL3205.tmp"
Thu 6 Apr 2006 202,752 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\NEW DOCS PORTABLE (A CLASSER)\~WRL0004.tmp"
Mon 25 Jun 2007 36,352 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\Lexel, Medi, columbus scratch\COLUMBUS (NEW CRASH)\APPEL D'OFFRE PGI NEW (aeroport)\New (crash portable)\commande de la licence\~WRL1003.tmp"
Wed 26 Apr 2006 646,144 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\NEW DOCS PORTABLE (A CLASSER)\AEROPORT MONTPELLIER\~WRL0517.tmp"
Wed 14 Jun 2006 9,477,120 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\PRESENTATIONS\DYNAMICS NAVISION\~WRL1603.tmp"
Tue 16 Jan 2007 2,029,568 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\PRESENTATIONS\REFERENCES COLUMBUS\~WRL1612.tmp"
Wed 26 Apr 2006 646,144 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\SUIVI CLIENTS\AEROPORT MONTPELLIER\~WRL0517.tmp"
Mon 11 Jun 2007 3,312,128 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\SUIVI CLIENTS\A‚roport de Marseille\~WRL0731.tmp"
Mon 30 Oct 2006 150,528 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\SUIVI CLIENTS\VINCENT CADEAUX\~WRL0117.tmp"
Fri 13 Oct 2006 788,480 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\SUIVI CLIENTS\VINCENT CADEAUX\~WRL0408.tmp"
Thu 12 Oct 2006 2,895,360 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\SUIVI CLIENTS\VINCENT CADEAUX\~WRL0513.tmp"
Fri 13 Oct 2006 1,341,440 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\SUIVI CLIENTS\VINCENT CADEAUX\~WRL1366.tmp"
Tue 24 Oct 2006 540,160 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\SUIVI CLIENTS\VINCENT CADEAUX\~WRL1842.tmp"
Fri 13 Oct 2006 829,440 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\SUIVI CLIENTS\VINCENT CADEAUX\~WRL1924.tmp"
Mon 30 Oct 2006 543,232 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\SUIVI CLIENTS\VINCENT CADEAUX\~WRL2016.tmp"
Fri 20 Oct 2006 393,216 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\SUIVI CLIENTS\VINCENT CADEAUX\~WRL2891.tmp"
Tue 16 Jan 2007 1,519,616 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\SUIVI CLIENTS\VINCENT CADEAUX\~WRL2899.tmp"
Fri 9 Jun 2006 260,096 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\PROSPECTION\PROSPECTS TOUS SECTEURS\Documents joints mailings\~WRL2157.tmp"
Mon 12 Dec 2005 1,938,432 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\PROSPECTION\PROSPECTS TOUS SECTEURS\Documents joints mailings\~WRL2857.tmp"
Thu 13 Apr 2006 4,929,024 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\SUIVI CLIENTS\Chantemur\reponse\~WRL1421.tmp"
Tue 23 May 2006 5,332,480 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\SUIVI CLIENTS\Le Jardin des Fleurs\Cahier des charges\~WRL1542.tmp"
Mon 26 Jun 2006 1,671,168 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\SUIVI CLIENTS\Le Jardin des Fleurs\Proposition commerciale\~WRL0504.tmp"
Mon 26 Jun 2006 1,327,104 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\SUIVI CLIENTS\Le Jardin des Fleurs\Proposition commerciale\~WRL2247.tmp"
Fri 1 Dec 2006 1,108,480 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\SUIVI CLIENTS\LUDENDO\Projet\~WRL0012.tmp"
Fri 1 Dec 2006 1,358,336 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\SUIVI CLIENTS\LUDENDO\Projet\~WRL0734.tmp"
Thu 19 Apr 2007 3,789,824 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\SUIVI CLIENTS\AEROPORT MONTPELLIER\APPEL D'OFFRE PGI NEW\Impression 5 exemplaires\~WRL0531.tmp"
Fri 21 Nov 2003 697,344 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\PROSPECTION\PROSPECTS DISTRIBUTION\SOHO\SOHO Cormontreuil\devis\~WRL4096.tmp"
Thu 20 Nov 2003 75,264 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\PROSPECTION\PROSPECTS DISTRIBUTION\SOHO\SOHO Cormontreuil\suivi commercial\~WRL0001.tmp"
Fri 21 Nov 2003 74,240 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\PROSPECTION\PROSPECTS DISTRIBUTION\SOHO\SOHO Cormontreuil\suivi commercial\~WRL3462.tmp"
Fri 21 Nov 2003 697,344 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\PROSPECTION\PROSPECTS DISTRIBUTION\SOHO\SOHO Nice\devis\~WRL4096.tmp"
Thu 20 Nov 2003 75,264 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\PROSPECTION\PROSPECTS DISTRIBUTION\SOHO\SOHO Nice\suivi commercial\~WRL0001.tmp"
Fri 21 Nov 2003 74,240 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\PROSPECTION\PROSPECTS DISTRIBUTION\SOHO\SOHO Nice\suivi commercial\~WRL3462.tmp"
Thu 19 Apr 2007 899,072 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\SUIVI CLIENTS\AEROPORT MONTPELLIER\Anciens appels d'offre\Projet Audit Kimoce\Impression 5 exemplaires\~WRL0961.tmp"
Mon 26 Jun 2006 1,411,584 A..H. --- "C:\Documents and Settings\PAULIN\Bureau\MONSENEGO\Sauvegarde JCP\COLUMBUS\SUIVI CLIENTS\AEROPORT MONTPELLIER\Anciens appels d'offre\Projet Audit Kimoce\Impression 5 exemplaires\~WRL2964.tmp"

[b]Finished![/b]
0
Réponse 38 / 58
Utilisateur anonyme
 
bonjour sdfix a tres bien travaillé poste un nouveau rapport hijackthis


comment se porte le pc ?
0
Réponse 39 / 58
horlas
 
Il s'est jamais aussi bien porté ;-))))

rapport hitjackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:17:49, on 19/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Logitech\QuickCam10\COCIManager.exe
C:\Documents and Settings\Aurélia\Bureau\HiJackThis(2).exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: COM+ System Applications (COMS) - Unknown owner - C:\WINDOWS\System32\lsas.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
0
Réponse 40 / 58
Utilisateur anonyme
 
bonsoir parfait mais on va controler a l'aide d'un scan en ligne



* Fais un scan antivirus en ligne ICI :

https://www.bitdefender.fr/

et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
* Dans la nouvelle fenêtre, clique sur "I agree"
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.

Tuto

https://forum.pcastuces.com/default.asp

le rapport de scan se trouve ici

C:\windows\bdoscan8\scanres.txt ou scanres.html
0

Discussions similaires

Faire une pause en VBS
quent -
quent -

3 réponses
Comment lancer mon vbs
Akasha51150 -
Akasha51150 -

14 réponses
Impossible de trouver le fichier script .vbs
Marker_ -
Marker_ -

6 réponses
Pause dans un Script VB
avrelbct -
avrelbct -

1 réponse
(vbs) msgbox perso
docteur_nemo -
félix -

12 réponses