Sujet Précédent Sujet Suivant

J'ai plusieurs infection sur mon pc

Résolu/Fermé
iolite - 3 oct. 2007 à 19:18
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 - 11 oct. 2007 à 20:41
Bonjour,j'ai plusieurs infection sur mon pc.
j'aurais besoin d'un peut d'aide ça fait une semaine que je cherche dans mon coin et ça donne rien.Avast me trouve un virus:win32 FreeTrip-e.
j'ai suivi la méthode préliminaire de désinfection dont voici les résultats

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 11:17:47 03/10/2007
+ Résultat de l'analyse:
Rien à signaler.
Fin du rapport

rapport BitDeFender:
BitDefender Online Scanner
Rapport d'analyse généré à: Wed, Oct 03, 2007 - 17:12:40
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;H:\;
Statistiques
Temps
01:30:56
Fichiers
314417
Directoires
5953
Secteurs de boot
5
Archives
6710
Paquets programmes
15343
Résultats
Virus identifiés
2
Fichiers infectés
6
Fichiers suspects
0
Avertissements
0
Désinfectés
0
Fichiers effacés
12
Info sur les moteurs
Définition virus
824836
Version des moteurs
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
Analyse des plugins
14
Archive des plugins
38
Unpack des plugins
7
E-mail plugins
6
Système plugins
1
Paramètres d'analyse
Première action
Désinfecté
Seconde Action
Supprimé
Heuristique
Oui
Acceptez les avertissements
Oui
Extensions analysées
*;
Excludez les extensions
Analyse d'emails
Oui
Analyse des Archives
Oui
Analyser paquets programmes
Oui
Analyse des fichiers
Oui
Analyse de boot
Oui
Fichier analysé
Statut

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak=>(message 206)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 23:07:09 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/0C6D684B.exe=>(Quarantine-2)
Infecté par: Worm.Padobot.BS

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak=>(message 206)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 23:07:09 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/0C6D684B.exe=>(Quarantine-2)
Echec de la désinfection

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak=>(message 206)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 23:07:09 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/0C6D684B.exe=>(Quarantine-2)
Supprimé

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak=>(message 206)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 23:07:09 +0200]=>(MIME part)=>norton 2003.zip
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak=>(message 206)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 23:07:09 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/675169A2=>(Quarantine-2)
Infecté par: Trojan.Downloader.Wintrim.W

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak=>(message 206)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 23:07:09 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/675169A2=>(Quarantine-2)
Echec de la désinfection

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak=>(message 206)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 23:07:09 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/675169A2=>(Quarantine-2)
Supprimé

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak=>(message 206)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 23:07:09 +0200]=>(MIME part)=>norton 2003.zip
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak=>(message 206)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 23:07:09 +0200]=>(MIME part)
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak=>(message 206)
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.bak
Echec de la mise à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt=>(message 0)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/0C6D684B.exe=>(Quarantine-2)
Infecté par: Worm.Padobot.BS

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt=>(message 0)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/0C6D684B.exe=>(Quarantine-2)
Echec de la désinfection

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt=>(message 0)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/0C6D684B.exe=>(Quarantine-2)
Supprimé

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt=>(message 0)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt=>(message 0)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/675169A2=>(Quarantine-2)
Infecté par: Trojan.Downloader.Wintrim.W

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt=>(message 0)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/675169A2=>(Quarantine-2)
Echec de la désinfection

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt=>(message 0)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/675169A2=>(Quarantine-2)
Supprimé

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt=>(message 0)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt=>(message 0)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt=>(message 0)
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbt
Echec de la mise à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx=>(message 139)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/0C6D684B.exe=>(Quarantine-2)
Infecté par: Worm.Padobot.BS

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx=>(message 139)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/0C6D684B.exe=>(Quarantine-2)
Echec de la désinfection

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx=>(message 139)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/0C6D684B.exe=>(Quarantine-2)
Supprimé

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx=>(message 139)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx=>(message 139)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/675169A2=>(Quarantine-2)
Infecté par: Trojan.Downloader.Wintrim.W

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx=>(message 139)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/675169A2=>(Quarantine-2)
Echec de la désinfection

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx=>(message 139)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip=>norton 2003/Quarantine/675169A2=>(Quarantine-2)
Supprimé

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx=>(message 139)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)=>norton 2003.zip
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx=>(message 139)=>[Subject: sandrine][Date: Fri, 10 Sep 2004 22:48:43 +0200]=>(MIME part)
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx=>(message 139)
Mis à jour

C:\Documents and Settings\FORTIN\Local Settings\Application Data\Identities\{EEB643C0-A474-4DDC-AB48-8CE71AD83E7E}\Microsoft\Outlook Express\Éléments envoyés.dbx
Echec de la mise à jour

rapport HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 19:08:33, on 03/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.crawler.com/?tbid=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Xerox WorkCentre 480cx Monitor] RUNDLL32.EXE C:\WINDOWS\System32\X480SHLL.DLL,AutoUpdatePnPValue
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Download by NetAnts - L:\netant\NetAnts\NAGet.htm
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download &All by NetAnts - L:\netant\NetAnts\NAGetAll.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\MSOFFI~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\OFFICE~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5130/mcfscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Documents and Settings\FORTIN\Bureau\telephone portable\BTNtService.exe (file missing)
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)

Si quelqu'un peut m'aide ,merci d'avance.
Autre chose j'ai vu des traces de norton mais je l'aie plus sur mon pc depuis un bon moment.
A voir également:

17 réponses

Réponse 1 / 17
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
3 oct. 2007 à 20:24
Bonsoir iolite

Quel est ton pare-feu ?
Est-il activé ?

Applique les deux tests à cette adresse SVP
http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ie&venid=sym
Clic sur "Test your computer's exposure"

Merci
Al.
0
Réponse 2 / 17
iolite Messages postés 2 Date d'inscription mercredi 3 octobre 2007 Statut Membre Dernière intervention 4 octobre 2007
3 oct. 2007 à 20:49
bonsoir, merci de me répondre
j'ai le pare feu de windows qui est activé
j'éssaye de suite la manip
0
Réponse 3 / 17
iolite
3 oct. 2007 à 21:23
voici le résultat du security scan
Security Status: At Risk!
You are vulnerable to at least one form of security threat.


= At Risk! = Possible Risk! = Safe



Hacker Exposure Check Show Details

Hide Details

Description:
Tests your TCP ports for unauthorized Internet connections.

Analysis:
Your computer appears safe from most common intrusions. To learn more about the threats you are protected against, view a detailed analysis of your test results.





Windows Vulnerability Check Show Details

Hide Details

Description:
Tests whether basic information, including your PC's network identity, can be seen by hackers.

Analysis:
Your computer's identity is secure. However, this does not mean you are completely safe from all Internet security threats.


Trojan Horse Check Show Details

Hide Details

Description:
Attempts to test for access to your computer through methods commonly used by Trojan horses.

Analysis:
Your computer and data are not vulnerable to Trojan horse attacks. However, Trojan horse threats are constantly evolving, and unless you have a personal firewall and current virus protection, you're not completely safe. To learn more about threats you are protected against, view a detailed analysis of your test results.





Antivirus Product Check Show Details

Hide Details

Description:
Checks for a current version of a commonly-used virus protection product.

Analysis:
WARNING! No known virus protection software found. This means your computer and data are vulnerable to virus attacks. Virus attacks can have serious consequences, including system damage and data loss.

Recommendation:
Install the latest version of a commonly-used virus protection product.

le deuxième scan est en route
merci
0
Réponse 4 / 17
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
3 oct. 2007 à 21:47
Re,
C'est bon pour ce premier.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 17
iolite
3 oct. 2007 à 21:57
Bonjour,
voici le deuxieme
Virus Status: Safe!
Your computer is free of known threats.
Virus Status: Infected!
Your computer is infected with at least one known threat. Virus Status: Unknown
The Scan was unable to determine your vulnerability status.


73676 files scanned, 0 file(s) infected on your disk drives.


No viruses were detected in memory.

Your computer is free of known threats. Virus Detection does not check compressed files.

Your computer appears safe for now. For real-time protection from viruses, hackers and privacy threats, upgrade to Norton Internet Security™.

on dirait qu'il trouve rien, mais je comprend pas tout
je te laisse faire
merci afideg
0
Réponse 6 / 17
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
3 oct. 2007 à 22:17
Re,
OK, c'est encore bonne nouvelle.

Mais je trouve ceci à te proposer ( c'est cependant sérieux ):

1°- O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe ==> désactive le bouclier résident; ça freine le PC au démarrage.
As-tu bien la version à l'essai 29 jours ? Après quoi, il faut faire les mises à jour manuellemment.
Tu as déjà la protection résidente de Spybot S&D.



2°- Lance une recherche de l'explorateur Windows sur pied de "norton 2003" et supprime le/les dossiers trouvé/s. ( cherche aussi Norton, Symantec Shared et Symantec ! ) ==> les infections se trouvaient dans la quarantaine de Norton qui, je suppose, avait été "désinstallé" .
Désinstallation Norton AV par zebulon:
https://forum.zebulon.fr/topic/87793-d%C3%A9sinstallation-norton-av/
http://speedweb1.free.fr/frames2.php?page=divers3
http://www.hotline-pc.org/norton.htm



3°- Firewall de Windows XP SP2 ne protège que les fichiers entrants !
C'est pourquoi les infections se trouvaient dans tes courriels envoyés Outlook Express\Éléments envoyés.dbx.
Mais as-tu fait communiquer Outlook Express avec MSN Hotmail ? ( ce qui signifierait bien que l'infection puisse être passée par la faille de MSN Messenger ancienne version.)

Comment configurer pare-feu Windows :
Vas dans "Panneau de configuration" et ouvre le "Centre de sécurité" (icône du bouclier)
Assure-toi tout d'abord que le pare-feu est activé (le bouton est vert dans ce cas!).
Clique sur le menu pare-feu et sélectionne l'onglet "Exceptions".
Si la case "Partage de fichiers et d'imprimantes" est cochée , décoche-la.
Le pare-feu de Windows XP ne contrôle que les connexions entrantes et encore.
Et si tu as un trojan c'est surtout les connexions sortantes qu'il faut contrôler...
Le parefeu Windows configuré de cette manière évite la surinfection

Autre pare-feu:
KERIO: ( pare-feu, qui reste gratuit après la période d'essai de 21 jours! ) , ici : < http://www.dsi12.fr/telechargements/vnc/kerio-kpf-4.2.2-911-win.exe >
ou là :< http://www.infos-du-net.com/telecharger/Firewall-Kerio-Personal,0301-390.html >

•- Ensuite lancer l'installation de ce pare-feu.
Pour cela:
- tu dois impérativement couper la connexion de ton modem (débranche-le),
-Ça peut être un routeur et tu es relié par un câble, tu débranches le cable.
-Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle).
-ensuite installer ce pare-feu une fois téléchargé ,
-et l'activer ( vérifier à ce moment que celui de Windows soit bien désactivé)
-si non, fais-le manuellement, comme ceci : - Démarrer ->panneau de config (en affichage classique) -> pare-feu windows et tu le mets sur "désactiver". )
•- et enfin si tout s'est bien déroulé, rétablir ta connexion à Internet. .
Eventuellement mettre à jour Kério.

Avec ces tutoriels pour configurer et comprendre l'utilisation de Kerio
- http://www.chez.com/leppa/scripts/kpfV4.html
- https://www.vulgarisation-informatique.com/kerio.php
- https://www.vulgarisation-informatique.com/pare-feu-xp.php >
-Tuto - https://forums.cnetfrance.fr
-Bloquer des ports avec Kerio - créer une règle de filtrage < https://www.vulgarisation-informatique.com/bloquer-ports.php >




4°- Je vois que tu a toujours MNS Messenger 7.5. je ne comprends pas comment cela se fait.
MSN a bloqué toutes les anciennes versions pour imposer Windows Live Messenger 8.1 < http://www.infos-du-net.com/actualite/9757-windows-live-messenger.html >




5°- Tu as utilisé une ancienne version HijackThis v1.99.1; on est à la version stable HijackThis™ 2.0 .2

a)- Donc, supprime ta version HijackThis v1.99.1, comme ceci: Clic "Démarrer" > "Panneau de configuration" > "Ajout/suppr.de programmes" > et dans la liste, sélectionne HijackThis v1.99.1 que tu supprimes.

b)- Maintenant, il faut installer la nouvelle version HijackThis™ 2.0 .2, comme ceci:
- Avec connexion au Net en service,
Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2
Clique sur ce lien http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
Enregistre HJTInstall.exe sur ton bureau.
- Déconnecte ton PC du Net ( débranche ton modem )
Double-clique sur HJTInstall.exe pour lancer le programme d'installation
Accepte la license en cliquant sur le bouton "I Accept"
Par défaut, il s'installera là : C:\Program Files\Trend Micro\HijackThis
-Redémarre ton PC impérativement.
Tutoriel : http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

•- Important à faire en priorité > Désactive le Tea Timer de Spybot en passant par les options de Spybot S&D:==> il faut, une fois dans le logiciel, aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Tea Timer" . Tu ne dois plus voir l'icône du Tea Timer dans la barre de tâches! Tu le réactiveras après les applications.

•- Arrête tous les programmes en cours et ferme toutes les fenêtres (Ne garde ouvert que HJT).
Lance HJT ( par le raccourci sur le bureau ), clic « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche la case devant ces lignes:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.crawler.com/?tbid=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO

Ensuite ferme tes programmes en cours, SURTOUT LES LOGICIELs AVEC PROTECTION EN TEMPS REEL, (antivirus, tea timer, ewido, ad-watch)... ( seul HijackThis doit être ouvert ) , et ensuite Clic [Fix checked] ==> (fixer =corriger)

•- Relance ensuite Hijackthis et cette fois clic sur le bouton [Do a system scan and save logfile] pour faire une analyse complète et pour générer le rapport et poste-le sur le forum .





6°- Avast a de graves lacunes.

Pense à le remplacer comme ceci:
a)- Désinstaller Avast: <
https://www.avast.com/fr-fr/uninstall-utility >

Antivir détecte beaucoup plus de dropper/malwares qu'Avast! En gratos, je ne peux que te conseiller Antivir qui est très efficace.Malekal Morte a fait un comparatif ici entre Avast/Antivir > http://forum.malekal.com/ftopic3528.php
Je te conseille de le lire: ça te permettra de te faire un avis.

b)- Télécharger Antivir sur le site de l'éditeur pour avoir la dernière version qui est celle-ci pour xp:< https://www.avira.com/en/free-antivirus-windows > qui prend en compte la case Rootkit. - En effet, il faut cocher la détection de rootkits --> Search for rootkits..........: doit être [ON] ( cocher la case « mode expert ».
Avec ses tutoriels : < http://www.malekal.com/tutorial_antivir.html > , < http://www.libellules.ch/tuto_antivir.php > et < http://manuelsdaide.com/Antivir/Antivir.htm > .

Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation;

Attention : Après l'installation du programme, et avant de lancer l'analyse, il faut redémarrer le PC en mode sans échec < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >

Lancer Antivir en Scan complet ( analyse avancée )
Supprimer tous les fichiers infectés trouvés




Bonne chance
Je dois quitter maintenant impérativement
Désolé; à demain
Al
0
iolite Messages postés 2 Date d'inscription mercredi 3 octobre 2007 Statut Membre Dernière intervention 4 octobre 2007
4 oct. 2007 à 17:51
bonjours,
j'ai fait les manip que tu m'a indiqué
je suis pas trés sur de ma configuration de Kerio
voici le nouveau rapport de HijackThis2.02
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:37:09, on 04/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Xerox WorkCentre 480cx Monitor] RUNDLL32.EXE C:\WINDOWS\System32\X480SHLL.DLL,AutoUpdatePnPValue
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by NetAnts - L:\netant\NetAnts\NAGet.htm
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download &All by NetAnts - L:\netant\NetAnts\NAGetAll.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\MSOFFI~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\OFFICE~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5130/mcfscan.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Documents and Settings\FORTIN\Bureau\telephone portable\BTNtService.exe (file missing)
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
0
Réponse 7 / 17
iolite
3 oct. 2007 à 22:22
Bonjour,
ok merci a demain
0
Réponse 8 / 17
iolite
5 oct. 2007 à 14:40
bonjour,
j'ai fait toutes les manips qu'afideg m' a conseillé
es ce que quelqu'un peut me dire si mon dernier rapport avec HijackThis2.02 es bon?
j'ai egalement changé d'antivirus,j' ai mis AntiVir PersonalEdition Classic ,
j'ai fait un scan en mode sans echec et supprimé les dossiers infecté et il me reste un fichier que je n'arrive pas a supprimer:
Starting the file scan:
Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
je ne sais pas comment le retrouver
merci de votre aide
0
Réponse 9 / 17
iolite
8 oct. 2007 à 19:39
Bon soir,
je n'aie pas eu de réponse pour mon dernier scan
es ce que quelqu 'un peut m'aider et me dire si tout va bien suite au modif que j'ai fait avec afideg
merci
0
Réponse 10 / 17
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
8 oct. 2007 à 21:24
Bonsoir iolite,

1°- Merci d'avoir réalisé et suivi les recommandations.

2°- Ici O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - je vois que tu as consulté Symantec, ou que tu as lancé Symantec AntiVirus scanner.

3°- Relancer HJT « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) cocher ensuite la case devant chaque ligne à fixer:
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5130/mcfscan.cab
- Ensuite fermer les programmes en cours, SURTOUT LES LOGICIELS AVEC PROTECTION EN TEMPS REEL, (antivirus, Tea Timer de Spybot S&D, AVG-Antispyware, etc)... ( seul HijackThis doit être ouvert ) , et ensuite Clic [Fix checked]


4°- Peux-tu poster un rapport par Antivir.
En fonction de ta question ici « j'ai fait un scan en mode sans echec et supprimé les dossiers infecté et il me reste un fichier que je n'arrive pas a supprimer: Starting the file scan:
Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
je ne sais pas comment le retrouver »

... je doute que tu puisses juger de la situation pour supprimer des éléments sans savoir leur fonction .
Je me demande d'ailleurs ce que tu as bien pu supprimer comme fichiers légitimes .
En effet, il ne faut pas supprimer C:\pagefile.sys !!
Pour ton info, la mémoire vive, mémoire système ou mémoire volatile (RAM =Random Access Memory mémoire à accès arbitraire) ou (RWM =Read Write Memory mémoire en lecture écriture) en anglais est la mémoire dans laquelle un ordinateur place les données lors de leur traitement. ==> sers-toi de Google. (... au lieu d'assommer ton PC avec de multiples analyses de toute sorte ==> O16)


5°- Poste aussi un rapport d'analyse complète avec HijackThis pour vérifier s'il y a encore des traces de Avast .


6°- Pour finir, O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
Ce qui veut dire que ta console Java n'est pas à jour ! ==> c'est tout nouveau !

En effet, une vulnérabilité a été identifiée dans Sun JDK et JRE, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable.

Vas chez Java Sun < https://www.java.com/fr/download/manual.jsp > et télécharge la dernière Version 6 Update3.
Après installation et redémarrage, vas dans le "panneau de configuration"/"Ajout-Suppr. de programmes" afin de désinstaller les anciennes versions.
Ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans ces anciennes versions.

Retourne alors chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

Une fois JRE installé, dans votre « console de paramétrage », accessible depuis le « Panneau de configuration », choisir l’onglet "Java", puis dans "paramètres de l'application Java Runtime", clic sur bouton "afficher", vous accédez à cet écran."
Source: http://www.libellules.ch/dotclear/index.php?2007/02/03/1671-java-toutes-petites-astuces
Vous pouvez « Désactiver la console = Ne pas lancer la console » et « Désactiver l'icône de la Systray depuis l'onglet "avancé" ( http://www.java.com/fr/download/help/5000021000.xml ).


Merci & bonne soirée
Al

0
iolite
9 oct. 2007 à 16:00
Bonjour,
voici le rapport avec HijackThis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:05:50, on 09/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\System32\nvsvc32.exe
c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Xerox WorkCentre 480cx Monitor] RUNDLL32.EXE C:\WINDOWS\System32\X480SHLL.DLL,AutoUpdatePnPValue
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by NetAnts - L:\netant\NetAnts\NAGet.htm
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download &All by NetAnts - L:\netant\NetAnts\NAGetAll.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\MSOFFI~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\OFFICE~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Documents and Settings\FORTIN\Bureau\telephone portable\BTNtService.exe (file missing)
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
0
Réponse 11 / 17
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
9 oct. 2007 à 21:04
Bonsoir iolite,

Tout ça me paraît bon.

A)- Tu as eu une infection dans la restauration sytème.

Il faut donc ré-initialiser la restauration système comme ceci :

1)- Désactive ta restauration système
Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]

2)- Arrêter puis redémarrer le PC

3)- Ensuite réactive ta restauration système
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]


B)- Antivir a renommé un fichier infecté ici :
C:\Program Files\IncrediMail\bin\IncrediMail_Install.exe
[DETECTION] Contains detection pattern of the SPR/Dldr.ImLoader.C.3 program
[INFO] The file was moved to 476e7790.qua !

Je voudrais vérifier deux choses avec ta collaboration:

1)- Accède au "Poste de travail", et ouvre successivement ces répertoires et dossiers en suivant ce chemin :
C:\ > Program Files > IncrediMail > bin
Vérifie SVP si ce fichier IncrediMail_Install.exe est encore présent, et rapporte-le.

2)- Je voudrais voir où est ce nouveau fichier 476e7790.qua.

Normalement, il devrait se trouver dans la quarantaine de Antivir.
Mais recherche-le de cette manière SVP:

a-)> Télécharger OAD (Outil d'Aide au Diagnostic) < http://sosvirus.changelog.fr/OAD.exe > ; Enregistre-le sur ton bureau

b) Comme illustré ici < https://www.hiboox.com >
- Lancer « OAD.exe » en faisant un double-clic sur le fichier dont l'icône est sur le bureau .
- Clic sur "Exécuter" .
- Ensuite saisir la valeur recherchée ( = nom de fichier à rechercher ) = taper (ou faire un copier/coller de) : valeur à rechercher avec l’extension du fichier (dans ton cas c'est 476e7790.qua), puis valide avec [Enter].

c)- Sur la page < http://sosvirus.changelog.fr/OAD/4.bmp > "Type de recherche" : sélectionner l'option 6 puis valide [Enter]

d)- OAD va maintenant rechercher le fichier.
Laisse le travailler jusqu'à ce qu'il en ait terminé.
Suivant la taille des disques durs cette recherche peut prendre plusieurs minutes.
Patienter .

e)- Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
- Faire un copier/coller de ce rapport dans ton prochain post.

f)-Note: Certains Antivirus ( comme Panda) peuvent émettre une alerte lors du téléchargement / utilisation


Merci et bonnse soirée
Al
0
iolite
10 oct. 2007 à 17:11
Bonjour,
voici le rapport avec AOD:
10/10/2007 ---- 10:35:41,83

----------------------------------
§§§§§§ [476e7790.qua] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************

Aucune entrée détectée

*******************
[Fichier]
*******************

c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\476e7790.qua


*********************
[Même date]
*********************

[09/10/2007 ] ---> C:\WINDOWS\setupapi.log
[09/10/2007 ] ---> C:\WINDOWS\system32\java.exe
[09/10/2007 ] ---> C:\WINDOWS\system32\javaw.exe
[09/10/2007 ] ---> C:\WINDOWS\system32\javaws.exe
[09/10/2007 ] ---> C:\WINDOWS\system32\jupdate-1.6.0_03-b05.log



Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
Je n'aie pas trouvé le fichier IncrediMail_Install.exe en passant par le chemin que tu m'as indiqué mais de toute façon je ne me sert plus d'IncrediMail.
J'ai désactivé et réactivé la restauration système.
J'espère que j'arrive bientot a la fin de mes peines!
Merci a toi
0
Réponse 12 / 17
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
10 oct. 2007 à 18:28
Re,
OK, c'est bon.
Merci beaucoup pour ta collaboration.
Tu peux supprimer OAD.

Il reste à vider la quarantaine INFECTED de Antivir .
Ou supprimer ce fichier via "Poste de travail" > c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\476e7790.qua.

Pour l'immédiat, tu pourrais avantageusement créer un nouveau point de restauration, comme ceci:
Procédure pour Windows XP.
Citation:
-Clic sur « Démarrer » > « Tous les programmes » > « Accessoires » > « Outils système » > « Restauration système » ; on obtient cette page [ http://img256.imageshack.us/img256/2643/screenshot060at6.png page ]
-Cocher le bouton ratio en face de « Créer un point de restauration » puis appuyer sur le bouton radio [Suivant] ; une nouvelle page [ http://img253.imageshack.us/img253/6400/screenshot061qa6.png page ] s’affiche.
-Dans la lucarne texte de la description, entrer une description de la restauration (taper un descriptif caractéristique de ce point ; par exemple : « Dernière désinfection ») et clic sur « Créer ».
-Un descriptif s'affiche avec la date et l’heure de cette opération.
-Cliquer ensuite sur « démarrage », puis « annuler ».


Bonne continuation.
Al.
0
Réponse 13 / 17
iolite
10 oct. 2007 à 19:33
Bonjour,
merci beaucoup pour ton aide j'ai juste une dernière question qu'es ce que je fait du fichier C:\pagefile.sys
[WARNING] The file could not be opened!
antivir le retrouve toujours et je crois qu'on ne peut pas le supprimer.
0
Réponse 14 / 17
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
10 oct. 2007 à 20:17
Re,

As-tu réellement lu ce que j'écrivais au post # 11 ?
Je répète :
En fonction de ta question ici « j'ai fait un scan en mode sans echec et supprimé les dossiers infecté et il me reste un fichier que je n'arrive pas a supprimer: Starting the file scan: 
Begin scan in 'C:\' 
C:\pagefile.sys 
[WARNING] The file could not be opened! 
je ne sais pas comment le retrouver » 

... je doute que tu puisses juger de la situation pour supprimer des éléments sans savoir leur fonction . 
Je me demande d'ailleurs ce que tu as bien pu supprimer comme fichiers légitimes . 

En effet, il ne faut pas supprimer C:\pagefile.sys !! 

Pour ton info, la mémoire vive, mémoire système ou mémoire volatile (RAM =Random Access Memory mémoire à accès arbitraire) ou (RWM =Read Write Memory mémoire en lecture écriture) en anglais est la mémoire dans laquelle un ordinateur place les données lors de leur traitement. ==> sers-toi de Google. (... au lieu d'assommer ton PC avec de multiples analyses de toute sorte ==> O16)


Si tu as encore des questions, n'hésite pas.
Ne te laisse pas impressionner. ;)

Tiens, pour être tranquille, lance ceci :
Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
< http://download.bleepingcomputer.com/sUBs/ComboFix.exe > -1,41 Mo (1.483.997 octets)
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan.
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.
Tu copies et colles ce rapport sur le forum



Al.
0
iolite
10 oct. 2007 à 21:15
Bonjour,
voici le scan combofix
ComboFix 07-10-09.3 - FORTIN 2007-10-10 21:03:36.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.256 [GMT 2:00]
Running from: C:\Documents and Settings\FORTIN\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2007-09-10 to 2007-10-10 ))))))))))))))))))))))))))))))))))))
.

2007-10-10 20:58 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-05 15:27 <REP> d-------- C:\BootVis
2007-10-04 18:33 <REP> d-------- C:\Program Files\Avira
2007-10-04 18:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-10-04 17:24 <REP> d-------- C:\Program Files\Trend Micro
2007-10-04 16:06 <REP> d-------- C:\Program Files\Sunbelt Software
2007-10-04 15:43 <REP> d-------- C:\Program Files\Windows Installer Clean Up
2007-10-04 15:42 <REP> d-------- C:\Program Files\MSECACHE
2007-10-04 15:12 <REP> d-------- C:\WINDOWS\pss
2007-10-03 09:56 <REP> d-------- C:\Program Files\CCleaner
2007-10-02 12:35 <REP> d-------- C:\WINDOWS\AU_Temp
2007-10-01 22:18 28,672 --a------ C:\WINDOWS\system32\drivers\CO_Mon.sys
2007-10-01 20:49 <REP> d-------- C:\Documents and Settings\FORTIN\.housecall6.6
2007-10-01 19:27 <REP> d-------- C:\WINDOWS\McAfee.com
2007-10-01 14:02 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-09-30 17:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-09-30 17:05 <REP> d-------- C:\spybot
2007-09-30 16:09 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-09-30 10:59 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-09-29 19:29 13,728 --a------ C:\WINDOWS\CHATS.DLL
2007-09-29 15:12 <REP> d-------- C:\Program Files\WinClamAVShield
2007-09-29 12:19 <REP> d-------- C:\Documents and Settings\FORTIN\Application Data\Uniblue
2007-09-29 08:44 <REP> d-------- C:\Program Files\Windows Desktop Search
2007-09-29 08:43 192,000 --------- C:\WINDOWS\system32\dllcache\offfilt.dll
2007-09-29 08:43 98,304 --------- C:\WINDOWS\system32\dllcache\nlhtml.dll
2007-09-28 03:07 <REP> d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2
2007-09-26 18:22 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-09-26 18:22 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2007-09-26 15:04 <REP> d-------- C:\Program Files\MSBuild
2007-09-26 15:04 <REP> d-------- C:\Program Files\Microsoft Works
2007-09-26 15:02 <REP> d-------- C:\Program Files\Microsoft.NET
2007-09-26 14:54 <REP> d-------- C:\Program Files\Microsoft Visual Studio 8
2007-09-26 14:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help
2007-09-21 10:49 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-09-21 10:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Google Updater
2007-09-21 10:24 <REP> d-------- C:\Documents and Settings\FORTIN\Application Data\Apple Computer
2007-09-21 09:37 <REP> d-------- C:\Program Files\Windows Live Safety Center
2007-09-20 16:04 <REP> d-------- C:\Program Files\Lavasoft
2007-09-20 09:11 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2007-09-19 12:47 98,304 --a------ C:\WINDOWS\system32\tsccvid.dll
2007-09-11 19:36 <REP> d--h----- C:\Program Files\Fichiers communs\Carlson

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-05 08:39 330 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2007-10-02 08:45 86,094 ----a-w C:\WINDOWS\BPMNT.dll
2007-10-02 08:45 71,749 ----a-w C:\WINDOWS\HCExtOutput.dll
2007-10-02 08:45 267,845 ----a-w C:\WINDOWS\tsc.exe
2007-10-02 08:45 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll
2007-09-30 08:59 --------- d-----w C:\Program Files\Hijackthis Version Française
2007-09-19 07:39 46,080 ----a-w C:\WINDOWS\system32\ftp.exe
2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-05 09:40 --------- d-----w C:\Program Files\Micro Application
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2007-07-19 06:58 3,583,488 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-07-12 23:30 765,952 ----a-w C:\WINDOWS\system32\dllcache\vgx.dll
1998-08-24 10:09 10,000 ----a-w C:\WINDOWS\inf\unregpn.exe
2004-08-19 22:09:34 343,040 --sha-w C:\WINDOWS\system32\msvcrt.dll
2002-08-30 10:00:00 57,344 --sha-w C:\WINDOWS\system32\mfc42loc.dll
2002-08-30 10:00:00 253,952 --sha-w C:\WINDOWS\system32\msvcrt20.dll
2005-06-01 09:52:20 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2005-06-01 09:52:20 152 --sh--r C:\WINDOWS\system32\CE7DC76DE9.sys
2006-08-25 15:51:14 617,472 --sha-w C:\WINDOWS\system32\comctl32.dll
2004-08-19 22:09:46 30,749 --sha-w C:\WINDOWS\system32\vbajet32.dll
2004-08-19 22:09:34 413,696 --sha-w C:\WINDOWS\system32\msvcp60.dll
2004-08-19 22:09:30 1,028,096 --sha-w C:\WINDOWS\system32\mfc42.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PMXInit"="C:\WINDOWS\system32\pmxinit.exe" [2001-05-23 00:00]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-07-28 15:19]
"nwiz"="nwiz.exe" [2003-07-28 15:19 C:\WINDOWS\system32\nwiz.exe]
"IntelliType"="C:\Program Files\Microsoft Hardware\Keyboard\type32.exe" [2001-06-12 09:20]
"Xerox WorkCentre 480cx Monitor"="C:\WINDOWS\System32\X480SHLL.DLL" [2001-10-30 10:21]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 16:06]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 09:40]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09]
"NVIEW"="nview.dll" [2003-07-28 15:19 C:\WINDOWS\system32\nview.dll]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-21 10:48]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMS]
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"LogitechGalleryRepair"=C:\Program Files\Logitech\ImageStudio\ISStart.exe
"PE2CKFNT SE"=f:\photo express\ChkFont.exe
"LogitechImageStudioTray"=C:\Program Files\Logitech\ImageStudio\LogiTray.exe

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys
R1 moufiltr;Mouse Filter Driver;C:\WINDOWS\system32\drivers\moufiltr.sys
R2 DgivEcp;Team MFP Comm Driver;C:\WINDOWS\system32\Drivers\DgivEcp.Sys
R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe"
R3 LVBulk;LVBulk Service;C:\WINDOWS\system32\DRIVERS\LVBulk.sys
R3 PID_0900_V;Logitech ClickSmart 310(PID_0900_V);C:\WINDOWS\system32\DRIVERS\LV551AV.sys
S3 BTNetFilter;Bluetooth Network Filter;\??\C:\WINDOWS\system32\drivers\BTNetFilter.sys
S3 gAGP440p;gAGP440p;\??\C:\DOCUME~1\FORTIN\LOCALS~1\Temp\gAGP440p.sys
S3 powervr;powervr;C:\WINDOWS\system32\DRIVERS\powervr.sys
S3 sscdbus;SAMSUNG USB Composite Device driver (WDM);C:\WINDOWS\system32\DRIVERS\sscdbus.sys
S3 sscdmdfl;SAMSUNG CDMA Modem Filter;C:\WINDOWS\system32\DRIVERS\sscdmdfl.sys
S3 sscdmdm;SAMSUNG CDMA Modem Drivers;C:\WINDOWS\system32\DRIVERS\sscdmdm.sys

*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-10-10 19:07:02 C:\WINDOWS\Tasks\Symantec NetDetect.job"
"2007-10-01 11:15:18 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC.job"
- C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
"2007-10-03 13:36:46 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC Nag.job"
- C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-10 21:07:32
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-10 21:09:24
.
--- E O F ---
J'avais bien lu mais je savais pas si c'était normal de le voir apparaitre dans le scan de l'antivirus.
merci beaucoup pour ton aide
au plaisir
0
Réponse 15 / 17
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
10 oct. 2007 à 21:47
Re,
Merci.

Je vois ceci:
2007-09-11 19:36 <REP> d--h----- C:\Program Files\Fichiers communs\Carlson
2007-09-30 08:59 --------- d-----w C:\Program Files\Hijackthis Version Française
2007-10-01 19:27 <REP> d-------- C:\WINDOWS\McAfee.com
2007-10-04 15:43 <REP> d-------- C:\Program Files\Windows Installer Clean Up
2007-10-04 17:24 <REP> d-------- C:\Program Files\Trend Micro

1°- il faut supprimer ces programmes (tu vois où ils se localisent) :
Hijackthis Version Française
McAfee.com
Trend Micro
Windows Installer Clean Up ==> risque des ennuis sérieux à l'usage !

2°- Ceci m'ennuie: C:\Program Files\Fichiers communs\Carlson ==> est-ce le bon orthographe ? (vas savoir).
Il faudrait lancer MSNFix pour y voir clair; comme ceci:

Télécharge MSNFix.zip (de !aur3n7) sur le bureau: http://sosvirus.changelog.fr/MSNFix.zip
Conseil : Toujours télécharger avant utilisation pour profiter des dernières mises à jour.

MSNFix ne rate jamais Carlton ! ( or le rapport indique Carlson; je crains une astuce infectieuse sur MSN) ==> Mais peut-être sais-tu ce qu'est ce Carlsondans tes fichiers communs ?

Décompresse-le (clic droit >> Extraire ici) et déplace MSNFix dans C:\ (très important).
On obtient ceci sur le bureau [ http://img511.imageshack.us/img511/1583/screenshot071rv5.png ]
et place les fichiers dans C:\MSNFix (très important).

Pour cela clic sur "Démarrer" > "Poste de travail" > et tu vois le disque local C:\
Pointer la souris sur le dossier MSNFix et maintenir le clic gauche enfoncé, faire glisser le pointeur de la souris sur le disque C:\ , comme ceci [ http://img413.imageshack.us/img413/2627/screenshot072zs5.png ] et lacher alors la pression sur la touche gauche de la souris.
Le dossier MSNFix se retrouve ainsi à la racine de C:\ comme demandé [ http://img505.imageshack.us/img505/313/screenshot073bc4.png ]

Ouvre-le et double clique sur le fichier MSNFix.bat.
- Exécutez l'option R.
- -Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage.
- Sauvegarde ce rapport puis fais-en un copier/coller sur le forum.
- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt
Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.


Je voudrais ne plus rien avoir à te demander.
Bonne soirée
Al.
0
iolite
11 oct. 2007 à 15:49
Bonjour,afideg
voici le rapport MSNFIX puis HijackThis
j'ai fait les suppressions demandé avant de faire les scans
j'ai également supprimé le dossier carlson et je ne sais pas a quoi il sert, je sais juste que je l'aie appercu aprés une autre infection sur MSN:fichier zippé 139-jpg si je me souvien bien

MSNFix 1.543

C:\MSNFix
Fix exécuté le 11/10/2007 - 15:32:47,43 By FORTIN
mode normal

************************ Recherche les fichiers présents

Aucun Fichier trouvé

************************ Recherche les dossiers présents

Aucun dossier trouvé


************************ Fichiers suspects

Aucun Fichier trouvé



------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:39:32, on 11/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\System32\nvsvc32.exe
c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
F:\hijackthis2.02\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Xerox WorkCentre 480cx Monitor] RUNDLL32.EXE C:\WINDOWS\System32\X480SHLL.DLL,AutoUpdatePnPValue
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by NetAnts - L:\netant\NetAnts\NAGet.htm
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download &All by NetAnts - L:\netant\NetAnts\NAGetAll.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\MSOFFI~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\OFFICE~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: fdjeux -
O16 - DPF: teleir_cert -
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} -
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} -
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Documents and Settings\FORTIN\Bureau\telephone portable\BTNtService.exe (file missing)
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
0
Réponse 16 / 17
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
11 oct. 2007 à 17:38
Bonsoir iolite,

1°- Je ne comprends pas pourquoi à ce post # 20 HijackThis se retrouve subitement sur une partition/ou sur un disque externe F:\ (F:\hijackthis2.02\HijackThis.exe) , alors qu'il doit se trouver à la racine de C:\ ; là où d'ailleurs son installateur l'avait placé au post # 12 (C:\Program Files\Trend Micro\HijackThis\HijackThis.exe).

2°- Il y a eu des manipulations intermédiaires non demandées, et qui m'empêchent de voir ce que je dois voir pour t'aider.
En plus de HijackThis qui a déménagé, je retrouve des 016 comme McAfee et Symantec qui témoignent de leur usage (alors que ces lignes avaient été corrigées au post # 11/12).

3°- Et cette nouveauté comme info que tu transmets seulement maintenant: « j'ai également supprimé le dossier carlson et je ne sais pas a quoi il sert, je sais juste que je l'aie appercu aprés une autre infection sur MSN:fichier zippé 139-jpg si je me souvien bien » ; et ça ne doit pas être fort ancien.


Je ne peux poursuivre ainsi.
Ça me fatigue, et ça ne rapporte rien à la lutte anti-malwares.
Désolé.
Heureusement, le principal a été fait.
Bonne continuation.
Merci pour ta collaboration lorsque je te l'ai demandée.
Si tu as encore des soucis avec ton PC, reviens quand tu veux; mais évite alors de contrarier, par des actions non demandées, le boulot de ceux qui se décarcassent pour d'aider.

Al.
0
iolite
11 oct. 2007 à 19:55
Bonjour,
merci beaucoup si le principal a été fait
et je m'excuse d'avoir monopolisé ton temps, je me suis tenu a tes conseils
la suppression du fichier 139 jpg a été faite avant que je demande de l'aide sur le forum
McAfee je l'aie supprimé comme indiqué en post#19
en ce qui concerne HijackThis je ne comprend pas quand je lance une recherche j'ai une partie sur le disque C et l'autre sur le F alors que je l'aie chargé sur le bureau et que je ne l'aie pas deplacé
aprés il est possible que j'ai fait des erreurs de manip mais je ne suis pas experte et je me excuse
merci a toi et bonne continuation.
0
Réponse 17 / 17
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
11 oct. 2007 à 20:41
Re,
C'est bien ce que je pense.
Il ne faut pas lancer une recherche sur HijackThis avec cette dernière version.

Regarde cette capture écran: https://www.hiboox.com

Via "Poste de travail", tu ouvres C:\ , puis "Program Files" ; tu y trouves "Trend Micro" qui contient "HijackThis".
Ouvre "Trend Micro" et tu y trouves l'exécutable de HijackThis (j'ai entouré son chemin : c:\Program Files\Trend Micro\HijackThis).

Tu vois également l'icône de son raccourci bureau créé automatiquement lors de l'installation de cette dernière version.

Ainsi, les internautes ne peuvent plus commettre l'erreur d'installer cet outil dans les fichiers temporaires; ce qui excluait la possibilité de récupérer des lignes fixées/corrigées par erreur (en effet, les nettoyages en fin de session vidaient ces fichiers temporaires où étaient conduites les sauvegardes).

Pour ton info.
Supprime ce dossier "hijackthis2.02" qui se trouve en F:\
Vérifie le contenu de "Trend Micro".
Vérifie aussi dans "Panneau de configuration" > "Ajout/suppr. de programmes" si tu n'as pas deux HijackThis; et supprime celui qui n'est pas à sa place.
Sers-toi de la capture écran.


Bonne nuit
Al.
0