Message suspect

Bonjour,

c'est ta restauration système qui est infectée.

On va détruire les points infect&ss et prendre un point propre.

Ouvre ce lien :

http://service1.symantec.com/...

sers t'en pour désactiver puis réactiver la restauration.
@+
N'acceptez jamais une désinfection par mp.

ça y est, je l'ai fait.
Mais est-ce que pendant l'affichage du message, j'ai été infecté?
Il paraît que ce virus est "enragé" et qu'il fait beaucoup d'infections...

Bonjour,

fais un scan complet de ton poste de travail avec ton antivirus et poste le rapport.
@+
N'acceptez jamais une désinfection par mp.

Je suis actuellement en train de scanner mon ordinateur.
L'antivirus a beaucoup détecté de faux-virus, et autres.
Le plus bizarre, c'est que "Marburg", he ben il ne l'a pas détecté, dans System Volume Information.
Bon, j'attend la fin et je le poste en bas.

PS: J'ai antivir comme anti-virus.

Voilà le rapport:



AntiVir PersonalEdition Classic
Report file date: mardi 4 janvier 2000 16:20

Scanning for 569934 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (plain) [5.1.2600]
Username: LUC-SKYWALKER
Computer name: R2-D2

Version information:
BUILD.DAT : 217 12749 Bytes 05/12/2006 17:00:00
AVSCAN.EXE : 7.0.3.2 208936 Bytes 05/12/2006 14:30:07
AVSCAN.DLL : 7.0.3.1 35880 Bytes 05/12/2006 15:00:22
LUKE.DLL : 7.0.3.2 143400 Bytes 31/10/2006 15:07:46
LUKERES.DLL : 7.0.2.0 9256 Bytes 05/12/2006 15:00:22
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 14:30:06
ANTIVIR1.VDF : 6.36.1.24 2212864 Bytes 14/11/2006 08:12:08
ANTIVIR2.VDF : 6.36.1.113 221696 Bytes 01/12/2006 08:12:12
ANTIVIR3.VDF : 6.37.0.3 6144 Bytes 01/12/2006 08:12:14
AVEWIN32.DLL : 7.3.0.15 1982976 Bytes 04/12/2006 16:18:38
AVPREF.DLL : 7.0.2.0 23592 Bytes 03/11/2006 09:53:44
AVREP.DLL : 6.37.0.3 983080 Bytes 01/12/2006 08:05:52
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30/03/2006 07:43:31
AVPACK32.DLL : 7.2.0.5 368680 Bytes 23/10/2006 14:21:31
AVREG.DLL : 7.0.1.1 30760 Bytes 23/10/2006 09:52:27
NETNT.DLL : No Information!
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08/11/2006 11:26:26
RCTEXT.DLL : 7.0.12.1 77864 Bytes 05/12/2006 15:00:21

Configuration settings for the scan:
Jobname..........................: ShlExt
Configuration file...............: C:\DOCUME~1\LUC-SK~1\LOCALS~1\Temp\9d50249e.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: E:,
Scan memory......................: on
Process scan.....................: off
Scan registry....................: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high
Expanded search settings.........: 0x00000032

Start of the scan: mardi 4 janvier 2000 16:20

Start scanning boot sectors:
Boot sector 'E:\'
[NOTE] No virus was found!

Starting the file scan:

Begin scan in 'E:\' <ZONE2>
E:\Media center\Mes documents\applications\WORM-Alert\ALERT.VBS.MAL
[DETECTION] Contains suspicious code HEUR/Worm.Outlook.VBS
[INFO] The file was moved to '38b71005.qua'!
E:\Media center\Mes documents\fauxvirus\Faux virus raciste\mouloud.exe.TR
[DETECTION] Is the Trojan horse TR/Moulard.A
[INFO] The file was moved to '38e710a9.qua'!
E:\Media center\Mes documents\fauxvirus\Horloge\Horloge.exe.TR
[DETECTION] Is the Trojan horse TR/Rantime.A
[INFO] The file was moved to '38e410aa.qua'!
E:\Media center\Mes documents\fauxvirus\Petit sexe\Virus_flo.exe.vir
[DETECTION] Contains signature of the virus VGEN/24591.512
[INFO] The file was moved to '38e410a5.qua'!
E:\Media center\Mes documents\fauxvirus\Reussir le puzzle\castet.exe.VIR
[DETECTION] Is the Trojan horse TR/DesktopPuzzle.A
[INFO] The file was moved to '38e5109d.qua'!
E:\Media center\Mes documents\Internet\Anonymail.zip
[0] Archive type: ZIP
--> AnonyMail.exe
[DETECTION] Is the Trojan horse TR/Nuker.AnonMail
[INFO] The file was moved to '38e110bb.qua'!
E:\Media center\Mes documents\Internet\Attach.zip
[0] Archive type: ZIP
--> loader.exe
[DETECTION] Is the Trojan horse TR/Msverh.A
[INFO] The file was moved to '38e610ce.qua'!
E:\Media center\Mes documents\Internet\Barok.zip
[0] Archive type: ZIP
--> setup.exe
[DETECTION] Is the Trojan horse TR/PSW.Barok.10.4
--> server.exe
[DETECTION] Is the Trojan horse TR/Barrio.10
[INFO] The file was moved to '38e410bd.qua'!
E:\Media center\Mes documents\Internet\BATTLE~1.EXE
[DETECTION] Is the Trojan horse TR/Nuke.BattlePo.10
[INFO] The file was moved to '38c6109d.qua'!
E:\Media center\Mes documents\Internet\Blaster.txt
[DETECTION] Contains signature of the worm WORM/SdDrop.P2P.B.2
[INFO] The file was moved to '38d310d0.qua'!
E:\Media center\Mes documents\Internet\blaster.zip
[0] Archive type: ZIP
--> Blaster.exe
[DETECTION] Contains signature of the worm WORM/SdDrop.P2P.B.2
[INFO] The file was moved to '38d310d1.qua'!
E:\Media center\Mes documents\Internet\Blind.zip
[0] Archive type: ZIP
--> Joined.exe
[DETECTION] Contains signature of the worm WORM/ProRat.351276
--> joiner.exe
[DETECTION] Is the Trojan horse TR/Drop.Joiner.16
[INFO] The file was moved to '38db10d1.qua'!
E:\Media center\Mes documents\Internet\decrypter.VIR
[DETECTION] Is the Trojan horse TR/Virtl.LdPinch.D
[INFO] The file was moved to '38d510cf.qua'!
E:\Media center\Mes documents\Internet\DiskKill.zip
[0] Archive type: ZIP
--> DISKKILL.COM
[DETECTION] Contains code of the DiskKiller virus
[INFO] The file was moved to '38e510ed.qua'!
E:\Media center\Mes documents\Internet\Euthanasia.zip
[0] Archive type: ZIP
--> Euthanasia.exe
[DETECTION] Is the Trojan horse TR/Euthanasia
[INFO] The file was moved to '38e610fc.qua'!
E:\Media center\Mes documents\Internet\Faux Virus 0 dangers.zip
[0] Archive type: ZIP
--> Key Hook.exe
[DETECTION] Contains suspicious code HEUR/Crypted
--> Egyptancian.exe
[DETECTION] Contains suspicious code HEUR/Crypted
--> night Haldogard.exe
[DETECTION] Contains suspicious code HEUR/Crypted
--> Black Larrowligning.exe
[DETECTION] Contains suspicious code HEUR/Crypted
--> Castleleques.exe
[DETECTION] Contains suspicious code HEUR/Crypted
--> Bugger.exe
[DETECTION] Contains suspicious code HEUR/Crypted
--> Poste de travail.exe
[DETECTION] Contains suspicious code HEUR/Crypted
--> Screeniner.exe
[DETECTION] Contains suspicious code HEUR/Crypted
--> Faster Formater.exe
[DETECTION] Contains suspicious code HEUR/Crypted
--> Geraphiquesses Pulmonars.exe
[DETECTION] Contains suspicious code HEUR/Crypted
--> Images.jpg.exe
[DETECTION] Contains suspicious code HEUR/Crypted
--> Per Favor.exe
[DETECTION] Contains suspicious code HEUR/Crypted
--> Destrofiles.exe
[DETECTION] Contains suspicious code HEUR/Crypted
--> BinFormat.scr
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '38e710f7.qua'!
E:\Media center\Mes documents\Internet\File Injector.zip
[0] Archive type: ZIP
--> Stubs/unpackedStub.stub
[DETECTION] Is the Trojan horse TR/Drop.VB.al.2
[INFO] The file was moved to '38de1103.qua'!
E:\Media center\Mes documents\Internet\Hotmail Hacker Gold.zip
[0] Archive type: ZIP
--> Hotmail Hacker GOLD.exe
[DETECTION] Contains signature of the worm WORM/Hotlix
[INFO] The file was moved to '38e61111.qua'!
E:\Media center\Mes documents\Internet\I love you!.zip
[0] Archive type: ZIP
--> love-letter for you.txt.vbs
[DETECTION] Contains signature of the VBS script virus VBS/LoveLetter.D
[INFO] The file was moved to '38de10c3.qua'!
E:\Media center\Mes documents\Internet\Joiner.zip
[0] Archive type: ZIP
--> JOINER.EXE
[DETECTION] Is the Trojan horse TR/Joiner
[INFO] The file was moved to '38db1115.qua'!
E:\Media center\Mes documents\Internet\MSN Cookie.zip
[0] Archive type: ZIP
--> msncookie.exe
[DETECTION] Is the Trojan horse TR/PSW.MSNCookie.2
[INFO] The file was moved to '38c01109.qua'!
E:\Media center\Mes documents\Internet\MSN Furax.zip
[0] Archive type: ZIP
--> MSNFurax.exe
[DETECTION] Is the Trojan horse TR/MSNTrick
[INFO] The file was moved to '39aeb2c6.qua'!
E:\Media center\Mes documents\Internet\Nuke v1.0.exe
[DETECTION] Is the Trojan horse TR/Nuke.NukeAttack
[INFO] The file was moved to '38dd113a.qua'!
E:\Media center\Mes documents\Internet\Oblivion.zip
[0] Archive type: ZIP
--> Oblivion Joiner.exe
[DETECTION] Contains a signature of the (dangerous) backdoor program BDS/Oblivion.A.3 Backdoor server programs
[INFO] The file was moved to '38de114c.qua'!
E:\Media center\Mes documents\Internet\Optix Pro.zip
[0] Archive type: ZIP
--> Builder.exe
[DETECTION] Contains a signature of the (dangerous) backdoor program BDS/Optix.Pro.13.32 Backdoor server programs
--> Client.exe
[DETECTION] Contains a signature of the (dangerous) backdoor program BDS/Optix.Pro.13.31 Backdoor server programs
[INFO] The file was moved to '38e6115b.qua'!
E:\Media center\Mes documents\Internet\Pearl Harbord.zip
[0] Archive type: ZIP
--> PEARLHBR.com
[DETECTION] Contains signature of the virus VGEN/43227
[INFO] The file was moved to '38d31154.qua'!
E:\Media center\Mes documents\Internet\Prorat.zip
[0] Archive type: ZIP
--> ProRat.exe
[DETECTION] Contains signature of the backdoor control software BDC/Prorat.19.
[INFO] The file was moved to '38e11163.qua'!
E:\Media center\Mes documents\Internet\QF.zip
[0] Archive type: ZIP
--> Quick Fire.exe
[DETECTION] Is the Trojan horse TR/FlooderQuickFyre.A
[INFO] The file was moved to '38a01138.qua'!
E:\Media center\Mes documents\Internet\SubSeven.zip
[0] Archive type: ZIP
--> server.exe
[DETECTION] Contains a signature of the (dangerous) backdoor program BDS/Sub7-220.Srv Backdoor server programs
--> sin.exe
[DETECTION] Contains a signature of the (dangerous) backdoor program BDS/Sub7-22.A.01 Backdoor server programs
--> EditServer.exe
[DETECTION] Contains signature of the backdoor control software BDC/Sub7-220.EdS.
--> plug dt.exe
[DETECTION] Contains a signature of the (dangerous) backdoor program BDS/Sub7-220.Srv Backdoor server programs
[INFO] The file was moved to '38d41173.qua'!
E:\Media center\Mes documents\Internet\Tchernobyl.zip
[0] Archive type: ZIP
--> Tchernobyl.EXE
[DETECTION] Contains code of the Windows virus W95/CIH.A
[INFO] The file was moved to '38da1163.qua'!
E:\Media center\Mes documents\Internet\Voob.exe
[DETECTION] Is the Trojan horse TR/Nuker.Voob
[INFO] The file was moved to '38e11174.qua'!
E:\Media center\Mes documents\Internet\VTJNuker.exe
[DETECTION] Is the Trojan horse TR/Nuke.Vai.B
[INFO] The file was moved to '38bc115a.qua'!
E:\Media center\Mes documents\Internet\wnewk.exe
[DETECTION] Is the Trojan horse TR/WinNuke-102
[INFO] The file was moved to '38d71176.qua'!
E:\Media center\Mes documents\Internet\X-MAS 2000.zip
[0] Archive type: ZIP
--> XMAS2000.EXE
[DETECTION] Is the Trojan horse TR/XMAS.A
--> TROJAN/TROJAN.htm
[DETECTION] Contains signature of the Java virus JSC/ExitW.B1
[INFO] The file was moved to '38bf1136.qua'!
E:\System Volume Information\_restore{C52ADEB0-4AED-4A6D-8DDC-A85C393E6AD0}\R­P16\A0017163.TR
[DETECTION] Is the Trojan horse TR/Moulard.A
[INFO] The file was moved to '38a2116e.qua'!
E:\System Volume Information\_restore{C52ADEB0-4AED-4A6D-8DDC-A85C393E6AD0}\R­P16\A0017164.TR
[DETECTION] Is the Trojan horse TR/Rantime.A
[INFO] The file was moved to '39ccb2a3.qua'!
E:\System Volume Information\_restore{C52ADEB0-4AED-4A6D-8DDC-A85C393E6AD0}\R­P16\A0017165.EXE
[DETECTION] Is the Trojan horse TR/Nuke.BattlePo.10
[INFO] The file was moved to '38a21168.qua'!
E:\System Volume Information\_restore{C52ADEB0-4AED-4A6D-8DDC-A85C393E6AD0}\R­P16\A0017166.exe
[DETECTION] Is the Trojan horse TR/Nuke.NukeAttack
[INFO] The file was moved to '38a2116f.qua'!
E:\System Volume Information\_restore{C52ADEB0-4AED-4A6D-8DDC-A85C393E6AD0}\R­P16\A0017167.exe
[DETECTION] Is the Trojan horse TR/Nuker.Voob
[INFO] The file was moved to '39ccb2bc.qua'!
E:\System Volume Information\_restore{C52ADEB0-4AED-4A6D-8DDC-A85C393E6AD0}\R­P16\A0017168.exe
[DETECTION] Is the Trojan horse TR/Nuke.Vai.B
[INFO] The file was moved to '38a21170.qua'!
E:\System Volume Information\_restore{C52ADEB0-4AED-4A6D-8DDC-A85C393E6AD0}\R­P16\A0017169.exe
[DETECTION] Is the Trojan horse TR/WinNuke-102
[INFO] The file was moved to '39ccb2bd.qua'!
E:\System Volume Information\_restore{C52ADEB0-4AED-4A6D-8DDC-A85C393E6AD0}\R­P9\A0005515.TR
[DETECTION] Is the Trojan horse TR/Rantime.A
[INFO] The file was moved to '38a211b5.qua'!
E:\System Volume Information\_restore{C52ADEB0-4AED-4A6D-8DDC-A85C393E6AD0}\R­P9\A0005519.TR
[DETECTION] Is the Trojan horse TR/Moulard.A
[INFO] The file was moved to '39ccb27a.qua'!
E:\System Volume Information\_restore{C52ADEB0-4AED-4A6D-8DDC-A85C393E6AD0}\R­P9\A0006551.EXE
[DETECTION] Is the Trojan horse TR/Nuke.BattlePo.10
[INFO] The file was moved to '38a211cb.qua'!
E:\System Volume Information\_restore{C52ADEB0-4AED-4A6D-8DDC-A85C393E6AD0}\R­P9\A0006691.exe
[DETECTION] Is the Trojan horse TR/Nuke.NukeAttack
[INFO] The file was moved to '38a211ee.qua'!
E:\System Volume Information\_restore{C52ADEB0-4AED-4A6D-8DDC-A85C393E6AD0}\R­P9\A0006760.exe
[DETECTION] Is the Trojan horse TR/Nuker.Voob
[INFO] The file was moved to '38a2121c.qua'!
E:\System Volume Information\_restore{C52ADEB0-4AED-4A6D-8DDC-A85C393E6AD0}\R­P9\A0006761.exe
[DETECTION] Is the Trojan horse TR/Nuke.Vai.B
[INFO] The file was moved to '39ccb1d1.qua'!
E:\System Volume Information\_restore{C52ADEB0-4AED-4A6D-8DDC-A85C393E6AD0}\R­P9\A0006767.exe
[DETECTION] Is the Trojan horse TR/WinNuke-102
[INFO] The file was moved to '38a2121d.qua'!


End of the scan: mardi 4 janvier 2000 16:29
Used time: 10:04 min

The scan has been done completely.

1303 Scanning directories
20908 Files were scanned
68 viruses and/or unwanted programs were found
0 files were deleted
0 files were repaired
48 files were moved to quarantine
0 files were renamed
0 Files cannot be scanned
20840 Files not concerned
310 Archives were scanned
0 Warnings
0 Notes

Bonjour,

1) vide la quarantaine d'antivir :

clic droit sur l'icone dans la barre des taches, start antivfir, clique sur l'ongler quarantine, clique sur l'icone corbeille.




2) Télécharge Superantispyware (SAS) en cliquant sur ce lien :

http://www.superantispyware.com/superantispywarefreevspro.ht­ml

Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.

3) Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJT­Install.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement


Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
@+
N'acceptez jamais une désinfection par mp.

Alors voilà le rapport de SUPER anti-spyware. (Celui d'HijackThis arrivera bientôt):

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/01/2000 at 09:54 AM

Application Version : 3.9.1008

Core Rules Database Version : 3259
Trace Rules Database Version: 1270

Scan type : Complete Scan
Total Scan Time : 01:50:12

Memory items scanned : 260
Memory threats detected : 0
Registry items scanned : 3271
Registry threats detected : 0
File items scanned : 23024
File threats detected : 23

Adware.Tracking Cookie
C:\Documents and Settings\LUC-SKYWALKER\Cookies\luc-skywalker@adtech[1].txt
C:\Documents and Settings\LUC-SKYWALKER\Cookies\luc-skywalker@weborama[1].txt­
C:\Documents and Settings\LUC-SKYWALKER\Cookies\luc-skywalker@tradedoubler[1]­.txt
C:\Documents and Settings\LUC-SKYWALKER\Cookies\luc-skywalker@fl01.ct2.comcli­ck[1].txt
C:\Documents and Settings\LUC-SKYWALKER\Cookies\luc-skywalker@atdmt[1].txt
C:\Documents and Settings\LUC-SKYWALKER\Cookies\luc-skywalker@questionmarket[­1].txt
C:\Documents and Settings\LUC-SKYWALKER\Cookies\luc-skywalker@doubleclick[1].­txt
C:\Documents and Settings\LUC-SKYWALKER\Cookies\luc-skywalker@overture[1].txt­
C:\Documents and Settings\LUC-SKYWALKER\Cookies\luc-skywalker@xiti[1].txt
C:\Documents and Settings\LUC-SKYWALKER\Cookies\luc-skywalker@2o7[2].txt
C:\Documents and Settings\Invité\Cookies\invité@ads.pointroll[1].txt
C:\Documents and Settings\Invité\Cookies\invité@adtech[1].txt
C:\Documents and Settings\Invité\Cookies\invité@advertising[1].txt
C:\Documents and Settings\Invité\Cookies\invité@atdmt[2].txt
C:\Documents and Settings\Invité\Cookies\invité@doubleclick[1].txt
C:\Documents and Settings\Invité\Cookies\invité@fl01.ct2.comclick[1].txt
C:\Documents and Settings\Invité\Cookies\invité@himedia.112.2o7[1].txt
C:\Documents and Settings\Invité\Cookies\invité@msnportal.112.2o7[1].txt
C:\Documents and Settings\Invité\Cookies\invité@overture[1].txt
C:\Documents and Settings\Invité\Cookies\invité@tradedoubler[1].txt
C:\Documents and Settings\Invité\Cookies\invité@xiti[1].txt

Trojan.Downloader-FreeProd
C:\DOCUMENTS AND SETTINGS\PIERREHENRI\MES DOCUMENTS\SPYWARE\PACKER\PACKMAN V1\PACKMAN-1.0\LZMA.DLL
C:\DOCUMENTS AND SETTINGS\PIERREHENRI\MES DOCUMENTS\SPYWARE\PACKER\PACKMAN V1\PACKMAN-1.0\PACKMAN.EXE

Et voilà hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:33:05, on 02/01/2000
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [rp] C:\WINDOWS\System32systry.exe rp
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
End of file - 2336 bytes

Bonjour,

Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

O4 - HKLM\..\Run: [rp] C:\WINDOWS\System32systry.exe rp

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

ouvre l'explorateur windows et cherche C:\WINDOWS\System32\systry.exe

si nécessaire,

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
========================================

Quand tu l'as trouvé clic droit et supprimer.

Si il résiste, démarre en mode sans échec, choisis ta session habituelle et essaye aussi de le supprimer par la même manière.
(Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
)


La prochaine étape sera de mettre Windows à jour. Ton Windows est légitime ?
@+
N'acceptez jamais une désinfection par mp.

ça y est, j'ai supprimé systry.exe, et l'entrée du registre. Je n'ai même pas eu besoin de démarrer en mode sans échec!
C'est un spyware de the Revenge Pack, un "prétendu faux-virus" qui donne une liste de bugs qu'on peut faire à Windows.
Et il y avait une option pour commander des ordinateurs à distance pour faire les bugs, et systry.exe était, je crois destiné à exécuter
les blagues à distance. L'icône de systry était une prise un peu spéciale.

Sinon, oui, mon pc est légitime, mais quelquefois mes frères vont dessus.

Pour la mise à jour de Windows, je vais la faire. Il en a rudement besoin, parce que c'est le service pack 1!

Re,

remets un rapport Hijackthis quand tu auras mis à jour Windows.
@+
N'acceptez jamais une désinfection par mp.

Il y a un petit problème...
Dès que je connecte l'ordinateur dit à Internet, il ne détecte pas le câble...
Donc je n'arrive pas à faire la mise à jour Windoz.
Là est un autre problème. Je vais réessayer ultérieurement.

Salut

Lyonnais ne l'a pas mentionné mais, c'est toi qui joue avec cela:

- Hotmail Hacker Gold.zip
- MSN Cookie.zip
- MSN Furax
....

Des pseudos hackers ont en veux pas ici. Pourrais tu expliquer pourquoi tu t amuses avec cela? Hacker des MSN? Arf...

++
"Impossible is nothing"

C'était pour faire un site sur les renseignements sur le thème "C'est quoi hacker?"
(D'ailleurs le dossier parent s'appelle "Internet" c'était pour faire un site)
Mais ça fait un bail que je ne l'ai pas touché, et personnelement, je ne l'ai jamais envoyé (et je ne le ferai jamais)
parce que je n'ai pas Internet sur ce PC et je n'ai jamais voulu l'envoyer, c'était juste pour l'instruction.
Et j'ajoute que je ne mens pas.
@+

Et ça me regarde, ce que j'ai sur mon disque dur!
Ce qu'on ne veut pas ici, ce sont ceux qui VEULENT s'en procurer.

Oui bien sur mais egalement ceux qui l'utilisent, tu comprends?
"Impossible is nothing"

Salut regis,

il ne "comprendra" pas :

http://www.commentcamarche.net/forum/affich 4488025 lister les fichiers visual basic#0

http://www.commentcamarche.net/forum/affich 4470517 visual basic faux bureau,

http://www.commentcamarche.net/forum/affich 4388364 desactiver la touche windows en vb#0

http://www.commentcamarche.net/forum/affich 4322385 le meilleur faux virus#0
@+
N'acceptez jamais une désinfection par mp.

Salut les gars....

" a force de jouer avec le feu, on se retrouve pris dedans..................." ;-)

personnelement, je ne l'ai jamais envoyé (et je ne le ferai jamais)

je n'ai jamais voulu l'envoyer, c'était juste pour l'instruction.
Et j'ajoute que je ne mens pas.

pourquoi ce topic alors ? pour les difuser tes saloperies ?
http://www.commentcamarche.net/forum/affich 4322385 le meilleur faux virus#0
(00)
_llll_ The Punisher is watching ................... !!!