Les Allergies
Alimentaires
Posez votre question Signaler

[Virus] Infecté par spy sheriff - HELP [Résolu]

o.sylv - Dernière réponse le 16 avril 2006 à 20:07
Bonjour, malgré de nombreuses lectures au sujet de Spy sheriff je ne m'en sorts pas.
J'ai effectué les opérations suivantes :
- Désactivé le service d'affichage des messages
- Désactivé la restauration système
- Téléchargé et installé SmitfraudFix et Hoster
- Créé le rapport SmitfraudFix soit :
----------------------------------------------------------------------------
SmitFraudFix v2.27

Rapport fait à 23:25:44,94, 03/04/2006
Executé à partir de C:\Spy sheriff\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Sylv\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Sylv\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
----------------------------------------------------------------------------
puis j'ai Redémarré en mode sans échec
- J'ai lancé Hoster (restore original hosts)
- J'ai ensuite lancé SmitfraudFix (option 2 nettoyer)
ce qui a donné le rapport suivant :
----------------------------------------------------------------------------
SmitFraudFix v2.27

Rapport fait à 23:31:57,98, 03/04/2006
Executé à partir de C:\Spy sheriff\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin
----------------------------------------------------------------------------
J'ai ensuite redemarré en mode normal.
J'ai reactivé la restauration du système
J'ai lancé un nouveau rapport avec SmitfraudFix
J'ai lancé Avast - Easy cleaner - AD Aware et spybot - tout avais l'air bon
Je suis malheureusement victimes de multiples attaques recensées et bloquées par avast mais provoquant de multiples bugs. Lle dernier rapport donne ceci :
----------------------------------------------------------------------------
mitFraudFix v2.27

Rapport fait à 10:20:01,34, 04/04/2006
Executé à partir de C:\Spy sheriff\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Sylv\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Sylv\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
----------------------------------------------------------------------------Si quelqu'un peut m'aider ce serait sympa parce que là moi je ne sais plus quoi faire. Grand merci d'avance
Lire la suite 

[Virus] Infecté par spy sheriff - HELP »

26 réponses
Réponse
+0
moins plus
Kristopher 3757Messages postés 18 novembre 2005Date d'inscription 4 avril 2006 à 12:19
Bonjour,

Pour commencer :

http://www.commentcamarche.net/faq/sujet-3174-methode-preliminaire-de-desinfection

Bon courage.

Ajouter un commentaire - Site web
o.sylv- 6 avril 2006 à 01:33
Bonjour, merci mille fois pour la réponse. j'ai suivi les instructions :
1/ Ewido
mais petit problême, bug (ce programme ne réponds plus..) lors
de la tentative d'édition du rapport. Je me souviens cependant que
que le programme a trouvé et réparé 41 fichiers. Les rapports suivants ont donné ceci.
---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 09:38:33, 05/04/2006
+ Somme de contrôle: CBC345D8

+ Résultats du scan:

Pas de fichiers infectés trouvés!


::Fin du rapport
---------------------------------------------------------
2/ même problême avec bitdefender (mon PC fonctionne mal lorsque je suis connecté mieux quand je debranche le modem) donc plantage systematique (ce prog ne reponds plus...) lors de la tentative de sauvegarde du rapport. J'ai reussi au bout de cinq fois à en avoir un :
<HTML>
<HEAD>
<TITLE>BitDefender Online Scanner -Scan Report</TITLE>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<meta name="generator" content="Namo WebEditor v5.0(Trial)">
</HEAD>
<BODY BGCOLOR=#FFFFFF leftmargin="10" marginwidth="0" topmargin="20" marginheight="0" >


<table align="center" border="0" cellpadding="0" cellspacing="0" width="90%">
<tr>
<td width="458">
<p><font face="Arial" color=red><span style="font-size:14pt;"><b>BitDefender
Online Scanner</b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>
<tr>
<td colspan="3" width="912">
<p><font face="Arial"><span style="font-size:11pt;"><B>Scan report generated
at: Wed, Apr 05, 2006 - 20:15:25</b></span></font></p>
</td>
</tr>

<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B> </b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B>Scan
path: </b></span><span style="font-size:10pt;">A:\;C:\;D:\;E:\;F:\;G:\;</span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B> </b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Statistics</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Time</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">02:35:13</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Files</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">195943</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Folders</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">4066</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Boot Sectors</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">3</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Archives</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">1936</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Packed Files</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">17267</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>



<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Results</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Identified Viruses </font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">0</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Infected Files </font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">0</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Suspect Files </font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">1</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Warnings</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">0</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Disinfected</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">0</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Deleted Files</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">0</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Engines Info</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Virus Definitions</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">358385</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Engine build</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Scan plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">13</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Archive plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">39</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Unpack plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">4</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">E-mail plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">6</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">System plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">1</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Scan Settings</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">First Action</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Disinfect</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Second Action</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Delete</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Heuristics</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Yes</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Enable Warnings</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Yes</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Scanned Extensions</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">*;</font></p>
</td>
</tr>

<tr>
<td width="57%">
<p><font face="Arial" size="2">Exclude Extensions</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2"> </font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Scan Emails</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Yes</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Scan Archives</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Yes</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Scan Packed</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Yes</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Scan Files</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Yes</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Scan Boot</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Yes</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td colspan=2>  
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="252" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Scanned File</b></font></p>
</td>
<td width="195" bgcolor="#CCCCCC" align="right">
<p align="left"><b><font size="2" face="Arial"> Status</font></b></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">C:\WINDOWS\system32\SVR.EXE</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Suspected of: BehavesLike:Win32.Backdoor</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\WINDOWS\system32\SVR.EXE</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Disinfection failed</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\WINDOWS\system32\SVR.EXE</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Delete failed</font></p>
</td>
</tr>
</table>
</td>

<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B> </b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B> </b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

</table>
<p> </p>

</body>
</html>
----------------------------------------------------
3/ Hijack

Logfile of HijackThis v1.99.1
Scan saved at 09:04:20, on 05/04/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avast antivirus\aswUpdSv.exe
C:\Program Files\Avast antivirus\ashServ.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avast antivirus\ashMaiSv.exe
C:\Program Files\Avast antivirus\ashWebSv.exe
C:\WINDOWS\System32\cidaemon.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\AVASTA~1\ashDisp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Spy sheriff\2ème étape\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Str.] C:\WINDOWS\System32\svr.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\AVASTA~1\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINDOWS\System32\E_S70.tmp"
O4 - HKCU\..\Run: [MS Windows Local Directory] MSWLD32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Xanadu - {5CC384BB-1326-11D5-F4AE-00C04923F885} - c:\program autres\XanaduLaunch.exe (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_FR_XP.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {10000001-1001-1001-1000-000000000000} - file://C:\Program Files\Internet Explorer\jKrlhQ.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://www.sexequalite.com/39220/NueDouchka.exe
O16 - DPF: {8EF27A70-DD04-11D6-B7F6-00A0C9CD5F8A} - http://www.quikshield.com/qshsetup.exe
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f003.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast antivirus\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast antivirus\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast antivirus\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast antivirus\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Windows User Mode Drivers (WUMD) - Unknown owner - C:\WINDOWS\system32\wumd.exe (file missing)

Il y a du mieux c'est évident mais beaucoup de bugs sur tous les programmes (moins lorsqu'il n y a pas de connexion). Avast bloque les attaques incessantes "DCOM exploit" et "LSASS exploit (SXP)".
Je suis presque prêt à formater si ça continue.

Merci d'avance si vous avez la formule magique
Ajouter un commentaire
Réponse
+0
moins plus
aranjuez31 8161Messages postés 7 novembre 2005Date d'inscription 6 avril 2006 à 02:25
bsr

en allant sur sites de Q sans capote,
tu prends des risques de contacter une 'mst'
c est fait - bravo
sutout en y téléchargeant, comme le montre ton rapport avec NueDouchka !

yen a qui prennent leur pied ainsi....ouarf
==================
ouvre hijack
commence à fixer lignes suivantes, de cette façon
(http://pageperso.aol.fr/balltrap34/demohijack.htm)

O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_FR_XP.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {10000001-1001-1001-1000-000000000000} - file://C:\Program Files\Internet Explorer\jKrlhQ.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://www.SEXEQUALITE.com/39220/NUEDOUCHKA.exe

O16 - DPF: {8EF27A70-DD04-11D6-B7F6-00A0C9CD5F8A} - http://www.quikshield.com/qshsetup.exe
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f003.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
+
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
============
touche windows+r
tape 'services.msc' + OK
dans le déroulant, cherche
- 'Windows User Mode Drivers (WUMD)'
& désactive ce programme
========
ton rapport de bit defender ne ressemble à rien
inexploitable
à refaire aprèce qui suit
====================
4/ - regcleaner ( nettoyeur de registre)
http://www.01net.com/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/4894.html
Son tuto
http://www.softastuces.com/tuto/maint/regcleaner/index.php

en clair
menu en haut
outils+nettoyage dd+tout faire+
coche tt ce qu il trouve
supprimer ( cela est sauvegardé)
=================
5/ - cleanup40 (nettoyeur de cookies+temps+tempos+prefetch+historique+etc..)
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
Démo
http://pageperso.aol.fr/balltrap34/democleanup.htm
===============
profite d une nuit aussi pour faire une défragmentation en sans échec
pendant que tu roupilles
===========
désinfection non terminée


Ajouter un commentaire - Site web
o.sylv- 6 avril 2006 à 13:40
Merci pour les conseils, je vais essayer. Franchement bien sympa les réponses. Merci
Ajouter un commentaire
Réponse
+0
moins plus
Kristopher 3757Messages postés 18 novembre 2005Date d'inscription 6 avril 2006 à 10:22
Hello

Les méthodes préliminaires effectuées (cf. message < 1 >), censées nettoyer le PC après les visites de o.sylv sur le sites de Q (cf. message de Aran), il faut maintenant oeuvrer de manière à guérir l'ordinateur de toutes les MST chopé...

o.sylv, commence par effectuer les prescriptions de l'ami Aran.

a+

Ajouter un commentaire - Site web
o.sylv- 6 avril 2006 à 13:34
Qui est l'ami Aran ?
aranjuez31- 6 avril 2006 à 18:43
hello tous 2

c est 'moué' !
Kristopher- 6 avril 2006 à 18:50
mdr ;)
Ajouter un commentaire
Réponse
+0
moins plus
o.sylv 16Messages postés 4 avril 2006Date d'inscription 10 avril 2006 à 23:42
Salut

Bon voilà j'ai craqué et j'ai formaté le PC puis tout reinstallé.
Malheureusement et ceci depuis que j'ai etabli la connexion (de nombreux scan OK faits avant de brancher le PC au modem) :
j'ai de nombreuses attaques de DCOM exploit et LSASS exploit comme avant. Bloquée par Avast mais ralentissant le PC.

Lors du dernier scan Avast au demarrage celui a trouvé :
C:\system volume information\_restore{E794F230-8405-47F9-B0ED-43864 8DD71E7}\RP18\A0003631.sys est infecté par win32:sdbot-3267 [Trj]
C:\system volume information\_restore{E794F230-8405-47F9-B0ED-43864 8DD71E7}\RP19\A0003690.sys est infecté par win32:sdbot-3267 [Trj]
C:\system volume information\_restore{E794F230-8405-47F9-B0ED-43864 8DD71E7}\RP19\A0003693.sys est infecté par win32:sdbot-3267 [Trj]
C:\system volume information\_restore{E794F230-8405-47F9-B0ED-43864 8DD71E7}\RP19\A0003700.sys est infecté par win32:sdbot-3267 [Trj]
Avast trouve aussi C:\windows\system32\rdriv.sys

Je supprime tout, la suppression reussit mais je retrouve peu de temps après encore et encore le même sdbot-3267 et rdriv.sys
Avast declenche sa fenêtre d'alerte quelque peu après en detectant rdivr.sys dans system 32.

J'ai également fait un scan avec Stinger et celui ci trouve un fichier axdcfasb.exe dans windows et n'arrive pas à le supprimer.

J'avais pourtant suivi toutes les précieuses instructions des réponses du forum mais rien n'a reussi. D'ou le formatage.

Voilà un dernier rapport
----------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 23:40:50, on 10/04/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Autres\Avast Antivirus\aswUpdSv.exe
C:\Program Autres\Avast Antivirus\ashServ.exe
C:\WINDOWS\axdcfasb.exe
C:\WINDOWS\system32\wumd.exe
C:\Program Autres\Avast Antivirus\ashMaiSv.exe
C:\Program Autres\Avast Antivirus\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~2\AVASTA~1\ashDisp.exe
C:\WINDOWS\System32\gjbtzatk.exe
C:\WINDOWS\System32\rfifgmysv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\netbtd.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Programmes\Outils desinfection\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~2\AVASTA~1\ashDisp.exe
O4 - HKLM\..\Run: [WinFix service] gjbtzatk.exe
O4 - HKLM\..\Run: [DRam prmaessor] mp2Ld.exe
O4 - HKLM\..\Run: [DR service] rfifgmysv.exe
O4 - HKLM\..\RunServices: [WinFix service] gjbtzatk.exe
O4 - HKLM\..\RunServices: [DRam prmaessor] mp2Ld.exe
O4 - HKLM\..\RunServices: [DR service] rfifgmysv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Autres\Avast Antivirus\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Autres\Avast Antivirus\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Autres\Avast Antivirus\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Autres\Avast Antivirus\ashWebSv.exe" /service (file missing)
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\axdcfasb.exe
----------------------------------------------------------------------
Merci d'avance - j'ai besoin d'aide !!!!!

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
aranjuez31 8161Messages postés 7 novembre 2005Date d'inscription 11 avril 2006 à 00:22
hello

ahah ya de quoi se fendre la gueule
un formatage pour rien......
tu as suivi de droles de conseils........oui vraiment...

de tte façon tant que tu ne mettras pas un p-feu...
pas la peine de nettoyer pour recommencer 5 mn après

vas-tu accepter un vrai p-feu ??

à toi de voir !

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
o.sylv 16Messages postés 4 avril 2006Date d'inscription 11 avril 2006 à 09:34
Salut
En complément de mon dernier message je rajoute ici
le rapport de scan Ewido + rapport hijack faits dans la foulée

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 00:20:28, 11/04/2006
+ Somme de contrôle: 9B98D344

+ Résultats du scan:

C:\Documents and Settings\Sylv\Cookies\sylv@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
C:\Documents and Settings\Sylv\Cookies\sylv@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\Sylv\Cookies\sylv@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\Sylv\Cookies\sylv@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
C:\Documents and Settings\Sylv\Cookies\sylv@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder
C:\Documents and Settings\Sylv\Cookies\sylv@wreport.weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder
C:\Documents and Settings\Sylv\Cookies\sylv@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
C:\WINDOWS\system32\jpisiikb.exe -> Backdoor.Rbot.ave : Nettoyer et sauvegarder


::Fin du rapport
---------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 00:22:07, on 11/04/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Autres\Avast Antivirus\aswUpdSv.exe
C:\Program Autres\Avast Antivirus\ashServ.exe
C:\Program Autres\Ewido anti-malware\ewidoctrl.exe
C:\Program Autres\Ewido anti-malware\ewidoguard.exe
C:\WINDOWS\system32\netbtd.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~2\AVASTA~1\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Autres\Avast Antivirus\ashMaiSv.exe
C:\Program Autres\Avast Antivirus\ashWebSv.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
D:\Programmes\Outils desinfection\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~2\AVASTA~1\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Autres\Avast Antivirus\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Autres\Avast Antivirus\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Autres\Avast Antivirus\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Autres\Avast Antivirus\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Autres\Ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Autres\Ewido anti-malware\ewidoguard.exe
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\axdcfasb.exe
O23 - Service: Windows User Mode Drivers (WUMD) - Unknown owner - C:\WINDOWS\system32\wumd.exe (file missing)
---------------------------------------------------------------------------

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Ajouter un commentaire
Réponse
+0
moins plus
o.sylv 16Messages postés 4 avril 2006Date d'inscription 12 avril 2006 à 20:25
Bonsoir
J'ai suivi les conseils. J'avais créé un point de restauration juste avant l'installation de mon kit de connexion adsl. Je m'en suis servi, puis ai installé zone Alarm avant de reinstaller la connexion.
Resultat : Avast ne trouve plus de virus, le fonctionnement du PC n'est plus ralenti, la navigation Internet se fait sans problême.
Un seul souci : Zone alarm a depuis bloqué 718 intrusions dont 285 d'un niveau élévé et ces chiffres ne cessent d'augmenter.
C'est quoi le truc qui les attire ?
Voici mon dernier rapport hijack. J'aimerai bien savoir ce qu'il faut fixer. SVP après je vous embête plus. Merci.

--------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 19:59:43, on 12/04/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Autres\Avast Antivirus\aswUpdSv.exe
C:\Program Autres\Avast Antivirus\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Autres\Avast Antivirus\ashWebSv.exe
C:\Program Autres\Avast Antivirus\ashMaiSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~2\AVASTA~1\ashDisp.exe
C:\Program Autres\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
D:\Programmes\Outils desinfection\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~2\AVASTA~1\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Autres\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Autres\Avast Antivirus\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Autres\Avast Antivirus\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Autres\Avast Antivirus\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Autres\Avast Antivirus\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
----------------------------------------------------------------------------

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Kristopher 3757Messages postés 18 novembre 2005Date d'inscription 12 avril 2006 à 21:57
Salut,

Ton log semble correct à présent.

Pour vérifier :

1/ Scanne ton PC avec cet antivirus en ligne :
http://www.kaspersky.com/virusscanner
- Choisis "Kaspersky Online Scanner"
- Clique sur "Accept" -> "Next" -> "My computer"
- Laisse le scan se faire et copie/colle le rapport ici (si infecté)

2/ Scanne ton PC avec cet antispyware en ligne :
http://www.trendmicro.com/spyware-scan/

Dis moi concrètement ce que l'antispyware en ligne te trouves comme malwares.

Courage, Kristopher.

++

Ajouter un commentaire - Site web
o.sylv- 12 avril 2006 à 23:50
Merci c'est sympa. voilà les resultats des deux scan :
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, April 12, 2006 11:11:27 PM
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 12/04/2006
Kaspersky Anti-Virus database records: 176450
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\

Scan Statistics:
Total number of scanned objects: 26330
Number of viruses found: 7
Number of infected objects: 10
Number of suspicious objects: 0
Duration of the scan process: 00:34:19

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\9XRULYRY\newld[1].exe Infected: Trojan-Downloader.Win32.Harnig.bg skipped
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OPHN76D7\loadadv691[1].exe Infected: Trojan-Downloader.Win32.Harnig.bg skipped
C:\System Volume Information\_restore{E794F230-8405-47F9-B0ED-438648DD71E7}\RP18\A0003639.exe Infected: Backdoor.Win32.Rbot.ave skipped
C:\System Volume Information\_restore{E794F230-8405-47F9-B0ED-438648DD71E7}\RP20\A0003748.exe Infected: Backdoor.Win32.SdBot.anx skipped
C:\System Volume Information\_restore{E794F230-8405-47F9-B0ED-438648DD71E7}\RP20\A0003749.exe Infected: Backdoor.Win32.Rbot.ave skipped
C:\System Volume Information\_restore{E794F230-8405-47F9-B0ED-438648DD71E7}\RP20\A0003750.exe Infected: Backdoor.Win32.Rbot.awb skipped
C:\System Volume Information\_restore{E794F230-8405-47F9-B0ED-438648DD71E7}\RP20\A0003751.exe Infected: Backdoor.Win32.Rbot.awn skipped
C:\System Volume Information\_restore{E794F230-8405-47F9-B0ED-438648DD71E7}\RP20\A0004748.exe Infected: Backdoor.Win32.Rbot.ave skipped
C:\System Volume Information\_restore{E794F230-8405-47F9-B0ED-438648DD71E7}\RP21\A0006050.exe Infected: Backdoor.Win32.SdBot.apx skipped
C:\WINDOWS\system32\i Infected: Trojan-Downloader.BAT.Ftp.ab skipped

Scan process completed.
--------------
Rapport trend micro :

2 item(s) classified as tracking Cookie
1 item(s) classified as Keylogger

Scan Details :

Cookie_SmartAdServer (1 item)
Internet Explorer Cache\www.smartadserver.com

Cookie_realMedia (1 item)
Internet Explorer Cache\247realmedia.com

Spyware_KEYL_Quicklaunch2.A (1 item)
C:\Program files\Winaspi\unins000.exe
---------------------------------
sinon j'en suis à 1306 intrusions bloquées dont 519 d'un niveau élevé sur zonealarm - Merci pour ton aide
aranjuez31- 13 avril 2006 à 01:18
hello kristo

a2 s'est doté d'un nouveau scan online
c est 'terminator' !
il me supprime même ma messagerie IncrediMail ds ajout/suppr !!
obligé de la réinstaller à chaque fois
vais leur écrire pour signaler le fait, bien que je sache qu'IM inocule un p'tit spy, mais de là à tt virer...........
Ajouter un commentaire
Réponse
+0
moins plus
o.sylv 16Messages postés 4 avril 2006Date d'inscription 14 avril 2006 à 09:09
Salut Kristo Salut Aran
Que dois je faire maintenant apres les scan Kaspersky et trend micro ? Merci

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
aranjuez31 8161Messages postés 7 novembre 2005Date d'inscription 14 avril 2006 à 10:31
hello

8/ - * System volume information


Si à la suite d'analyse, l'infection se situe dans :

C:\system volume information\_Restore....

Cela signifie que c'est un point de restauration qui est infecté (à savoir que l'infection est inactive). Pour résoudre le souci :

¤Désactive la restauration système (uniquement si tu es sous XP):
Cliquer droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
Cocher la case « désactiver la restauration » et applique.

Puis,

¤Réactiver la restauration système (uniquement si tu es sous XP):
Cliquer droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
Décocher la case « désactiver la restauration » et applique.

Pour Windows Me :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830091...

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
o.sylv 16Messages postés 4 avril 2006Date d'inscription 14 avril 2006 à 14:15
Merci Aran j'ai fait ce que tu as dit les fichiers RESTORE ont disparus. Que dois je faire pour le reste ? Merci

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Friday, April 14, 2006 2:12:20 PM
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 14/04/2006
Kaspersky Anti-Virus database records: 176727
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\

Scan Statistics:
Total number of scanned objects: 21431
Number of viruses found: 2
Number of infected objects: 3
Number of suspicious objects: 0
Duration of the scan process: 00:22:29

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\9XRULYRY\newld[1].exe Infected: Trojan-Downloader.Win32.Harnig.bg skipped
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OPHN76D7\loadadv691[1].exe Infected: Trojan-Downloader.Win32.Harnig.bg skipped
C:\WINDOWS\system32\i Infected: Trojan-Downloader.BAT.Ftp.ab skipped

Scan process completed.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Kristopher 3757Messages postés 18 novembre 2005Date d'inscription 14 avril 2006 à 14:47
Hello

Ton PC sera clean après ceci :

1/ Télécharge et nettoie ton PC avec ces deux logiciels :

CCLEANER http://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fic...

Utilisation : Dans l'onglet "Nettoyeur" cliquez sur "Analyse". Une fois l'analyse terminée, cliquez sur "Lancer le Nettoyage".
Ensuite, dans l'onglet "Erreurs" cliquez sur "Chercher des erreurs" puis, avant de cliquer sur "Réparer les erreurs sélectionnées" effectuez une sauvegarde de votre registre (comme proposé).

CleanUp40
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
Démo d’utilisation :
http://pageperso.aol.fr/balltrap34/democleanup.htm

2/ Efface le fichier (en gras) :

C:\WINDOWS\system32\i

Au fait, y'a pas de kristo ici, moi c'est Kristopher ;)

bye bye...

Ajouter un commentaire - Site web
o.sylv- 14 avril 2006 à 20:05
Je crois que c'est bon mais :

1/ Pour CCcleaner - est il normal qu'une fois supprimé ce fichier
reapparaisse dans l'analyse suivante ?

C:\WINDOWS\Internet Logs\ZALog.txt 0,12MB


2/ Voici le resultat du Scan Kaspersky :

Total number of scanned files: 20220

The scan is complete.
No malware has been detected. The sections that have been scanned are CLEAN.

Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 00:23:56


3/ Voici le resultat du Scan Hijack (je ne sais pas l'interpreter - rassure moi) :

Logfile of HijackThis v1.99.1
Scan saved at 20:04:14, on 14/04/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Autres\Avast Antivirus\aswUpdSv.exe
C:\Program Autres\Avast Antivirus\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Autres\Avast Antivirus\ashWebSv.exe
C:\Program Autres\Avast Antivirus\ashMaiSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~2\AVASTA~1\ashDisp.exe
C:\Program Autres\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Autres\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~2\AVASTA~1\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Autres\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Autres\Avast Antivirus\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Autres\Avast Antivirus\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Autres\Avast Antivirus\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Autres\Avast Antivirus\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

4/ Tout a l'air clean et pourtant le nombre d'intrusions bloquées par
ZoneAlarm continue d'augmenter (2900 au total). Est ce normal Docteur Kristopher ? Merci
Kristopher- 15 avril 2006 à 11:47
Salut Mister !

Ton log semble correct.

"je ne sais pas l'interpreter - rassure moi"

-> T'es marrant :D Il fallait installé un firewall direct et ne pas attendre de s'être fait profondément infecté ;)

Voici un tutorial qui te permettra de bien configurer le firewall : http://forum.telecharger.01net.com/microhebdo/questions_techniques_diverses/secur...

1/ Télécharge, mets à jour et scanne ton PC avec Ad-Aware et SpyBot Search & Destroy :

Ad-Aware :
http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/11643...
SpyBot Search & Destroy :
http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/26157...

2/ Fais toutes les mises à jour via Windows update : http://www.windowsupdate.com

Aranjuez31, terminator (a²) ne veut plus se lancer sur mon PC. Un message apparaît : "Error loading GUI resources!"

Merci de me donner la soluce Amigo :P

++
aranjuez31- 16 avril 2006 à 16:19
Hello Kristo"Fer"

""Aranjuez31, terminator (a²) ne veut plus se lancer sur mon PC. Un message apparaît : "Error loading GUI resources!".""
=============
- cmt se comporte-t-il en sans échec ?
- avais un log qui ne pouvait plus s' ouvrir..... ya que SpywareCatcherExpress qui m' a trouvé une bricole en sans échec
- tente de même
- si blem résiste, faudrait "maybe" envisager de réinstaller
- si besoin, tu peux m' écrire ds ma box
Cordialités
Ajouter un commentaire
Réponse
+0
moins plus
o.sylv 16Messages postés 4 avril 2006Date d'inscription 15 avril 2006 à 12:24
Merci Kristopher et Aran.
Vous êtes des cracks (cheval de course pour Aran)
Votre aide m'a été précieuse.
Bravo pour votre efficacité et la rapidité des réponses.
Sylv

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Kristopher 3757Messages postés 18 novembre 2005Date d'inscription 15 avril 2006 à 15:23
yo

T'inquiètes o.sylv moi et l'ami Aran on gère ;)

Fais gaffe quand tu surf, ne va pas sur des sites XXX sans capote (cf. message < 3 >) et évite les autres sites sensibles.

N'oublie pas de télécharger et scanner ton PC avec les deux logiciels cités plus haut ;)

Bon bah bon courage et bon surf ^^

++

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
Kristopher 3757Messages postés 18 novembre 2005Date d'inscription 16 avril 2006 à 20:07
Ok les gars, on peut on finir là je pense ;)

Bonne soirée à vous tous !

++

Ajouter un commentaire - Site web
Ajouter un commentaire
Posez votre question
Ce document intitulé « [Virus] Infecté par spy sheriff - HELP » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?