virus Win 32Résolu/Fermé

Question

Bonjour,

J'ai un trojan sur mon ordi détecté par Avast à chaque fois que je fais un scan. Cependant, je n'arrive pas à m'en débarrasser. J'ai essayé plusieurs astuces trouvées sur le forum mais là, je ne m'en sors plus!
Est-ce que quelqu'un pourrait m'aider svp?
Merci beaucoup d'avance.
Pierre

Rapport d'Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:54:01, on 28/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dell.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.dell.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (file missing)
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/fr/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/fr/1,0,0,23/mcgdmgr.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

jimbob · Answer

moi, ce que je fais, c'est une recherche à l'aide de la fonction recherche de l'explorateur, des fichiers dll modifiés recemment (depuis que tu as le problème) qui sont surement des virus
 dans la fonction recherche, n'oublie pas les dossiers systemes et les fichiers cachés, et selectionne le date de modif

Le sioux · Answer

Bonjour Pierrot

Tout d'abord ce processus   C:\WINDOWS\system32\wscntfy.exe   est une alerte qui doit te signifier en bas a droite dans ta barre des taches que tu as un soucis avec ton antivirus, ce dernier ne doit pas s'y trouver d'ailleur ...

As tu enregistrer Avast ? ou renouveller son inscription si tu l'as depuis un moment ?  https://www.avast.com/fr-fr/registration-free-antivirus

Ensuite, tres probable infection Vundo, suis ce qui suit :



1) Télécharge 

*  Combofix.exe de sUBs sur ton Bureau

--> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

N'y touche pas pour le moment.

* VundoFix.exe par Atribune  -->  http://www.atribune.org/content/view/24/2/ sur ton Bureau.

2) VundoFix.exe par Atribune 

    * Double-clique sur VundoFix.exe afin de le lancer
    * Clique sur le bouton Scan for Vundo
    * Lorsque le scan est terminé, clique sur le bouton Remove Vundo
    * Une invite te demandera si tu veux supprimer les fichiers, clique YES
    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur  OK

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

3)  Combofix.exe de sUBs

Déconnecte toi du net et désactive ton antivirus  pour que Combofix puisse s'exécuter normalement

Double clique sur Combofix.exe
Mets le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan
Lorsque le scan sera terminé, un rapport apparaîtra.

4) Rapports :

Poste en réponse :

* Le rapport VundoFix  situé dans C:\vundofix.txt
* Le rapport de ComboFix qui se se trouve  là : C:\Combofix.txt+
* Un nouveau rapport HijackThis.

@ suivre

pierrot22 · Answer

Salut Jimbob,
que rentres-tu dans la fonction recherche pour repérer les dll modifiés?
Merci

Le sioux · Answer

Bonjour Pierrot

Peux tu répondre a mes questions poste 2 stp , puis faire la manip indiquée, merci ;)

@ suivre

jimbob · Answer

tu clique sur la fleche nom de fichier et de dossier , 
dans la case  "partie du nom de fichier" rentre dll et il va chercher les fichiers dont le nom contient les lettres dll
dans la case  derniere modif tu rentres la date ou est appparue ton probleme
dans la case option avancée tu coche dossier systeme, dossier cache , sous dossier

pierrot22 · Answer

Salut Le Sioux,

Merci pour tes posts.
Je viens de redemander une nouvelle clé chez Avast. Vundofix est en train de tourner. Je poste les rapports quand c'est fait.

Mercci beaucoup

Le sioux · Answer

Re Pierrot

Avec plaisir ;-)

Ok, j attends tes rapports pour poursuivre la désinfection.

@ suivre.

pierrot22 · Answer

Salut le Sioux,

Je viens de faire tout ce que tu avais suggéré.
C'est grave docteur? ;)

Rapport Vundofix:

VundoFix V6.7.7

Checking Java version...

Java version is 1.4.2.3
Old versions of java are exploitable and should be removed.

Scan started at 21:58:49 27/01/2008

Listing files found while scanning....

No infected files were found.


Beginning removal...

Beginning removal...

VundoFix V6.7.7

Checking Java version...

Java version is 1.4.2.3
Old versions of java are exploitable and should be removed.

Scan started at 10:14:48 28/01/2008

Listing files found while scanning....

C:\windows\system32\bdeeg.ini
C:\windows\system32\bdeeg.ini2
C:\WINDOWS\system32\ddabx.dll
C:\WINDOWS\system32\ddcyy.dll
C:\WINDOWS\system32\gebcb.dll
C:\windows\system32\geedb.dll
C:\WINDOWS\system32\jkhhg.dll
C:\WINDOWS\system32\jkkkhfd.dll
C:\WINDOWS\system32\pmnmlli.dll
C:\WINDOWS\system32\pmnno.dll

Beginning removal...

 Attempting to delete C:\windows\system32\bdeeg.ini
C:\windows\system32\bdeeg.ini Has been deleted!

 Attempting to delete C:\windows\system32\bdeeg.ini2
C:\windows\system32\bdeeg.ini2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ddabx.dll
C:\WINDOWS\system32\ddabx.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ddcyy.dll
C:\WINDOWS\system32\ddcyy.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\gebcb.dll
C:\WINDOWS\system32\gebcb.dll Has been deleted!

 Attempting to delete C:\windows\system32\geedb.dll
C:\windows\system32\geedb.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\jkhhg.dll
C:\WINDOWS\system32\jkhhg.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\jkkkhfd.dll
C:\WINDOWS\system32\jkkkhfd.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\pmnmlli.dll
C:\WINDOWS\system32\pmnmlli.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\system32\pmnno.dll
C:\WINDOWS\system32\pmnno.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\pmnmlli.dll
C:\WINDOWS\system32\pmnmlli.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

pierrot22 · Answer

La suite: rapport Combofix: ComboFix 08-01-28.2 - PEDRO 2008-01-28 12:16:05.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.231 [GMT -5:00] ˆÌÐÐÎ»ÖÃ: C:\Documents and Settings\PEDRO\Bureau\ComboFix.exe * ÒÑ½¨Á¢ÐÂµÄß€Ôüc [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Program Files\Temporary C:\Program Files\Temporary\kernInst.exe C:\Temp\1cb C:\Temp\1cb\syscheck.log C: emp n3 C:\WINDOWS\b122.exe C:\WINDOWS\mrofinu1000106.exe C:\WINDOWS\mrofinu572.exe C:\WINDOWS\system32\drivers\core.cache.dsk . . . . Echec de suppression C:\WINDOWS\system32\pac.txt C:\WINDOWS\system32\pmnmlli.dll C:\WINDOWS\system32\drivers\core.cache.dsk . . . . Echec de suppression . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-28 to 2008-01-28 )))))))))))))))))))))))))))))))))))) . 2008-01-28 12:32 . 2008-01-28 12:32 d-------- C:\Temp n3 2008-01-27 21:58 . 2008-01-28 11:59 d-------- C:\VundoFix Backups 2008-01-27 21:45 . 2008-01-27 21:45 d-------- C:\Program Files\Trend Micro 2008-01-27 20:24 . 2008-01-28 00:34 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2008-01-27 20:23 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-01-27 20:23 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-01-27 20:23 . 2007-12-10 14:53 41,864 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-01-27 20:23 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-01-27 20:21 . 2008-01-27 21:10 d-------- C:\Program Files\Spyware Doctor 2008-01-27 20:21 . 2008-01-27 20:21 d-------- C:\Documents and Settings\PEDRO\Application Data\PC Tools 2008-01-24 23:27 . 2008-01-26 14:34 d-------- C:\WINDOWS\system32\wnzs6 2008-01-24 23:27 . 2008-01-26 14:31 d-------- C:\WINDOWS\system32 i4 2008-01-24 23:27 . 2008-01-24 23:27 d-------- C:\WINDOWS\system32 Gpxx01 2008-01-24 23:27 . 2008-01-24 23:27 d-------- C:\WINDOWS\system32\etz1 2008-01-24 23:27 . 2008-01-26 14:26 d-------- C:\WINDOWS\system32\comg7 2008-01-24 23:27 . 2008-01-24 23:27 d-------- C:\Temp\gTiis19 2008-01-24 23:27 . 2008-01-24 23:27 d-------- C:\Temp\cXzz9 2008-01-24 23:27 . 2008-01-28 12:32 d-------- C:\Temp 2008-01-24 23:27 . 2008-01-24 23:27 86,016 --a------ C:\WINDOWS\system32\drivers\symc8100.sys 2008-01-24 23:27 . 2008-01-24 23:27 36,864 --a------ C:\WINDOWS\mrofinu572.exe.tmp 2008-01-24 23:27 . 2008-01-28 12:21 932 --a------ C:\WINDOWS\system32\drivers\core.cache.dsk 2008-01-22 22:36 . 2008-01-22 22:36 d-------- C:\Documents and Settings\PEDRO\Application Data\vlc . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-28 17:32 --------- d-----w C:\Documents and Settings\PEDRO\Application Data\Wallpaper 2008-01-28 15:09 --------- d-----w C:\Documents and Settings\PEDRO\Application Data\Skype 2008-01-26 21:14 --------- d-----w C:\Program Files\Common Files 2008-01-23 03:40 --------- d-----w C:\Documents and Settings\PEDRO\Application Data\Move Networks 2008-01-18 09:50 --------- d-----w C:\Documents and Settings\PEDRO\Application Data\OpenOffice.org2 2007-12-25 17:37 --------- d-----w C:\Program Files\Windows Media Connect 2 2007-12-05 01:37 --------- d-----w C:\Documents and Settings\PEDRO\Application Data\EoRezo 2007-12-04 14:56 93,264 -c--a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-12-01 01:15 --------- d-----w C:\Documents and Settings\PEDRO\Application Data\Earthlink . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{290244DD-8962-4BD8-83A6-33FF91CDD07C}] C:\WINDOWS\system32\geedb.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 06:00 15360] "Wallpaper"="C:\Program Files\Wallpaper\Wallpaper.exe" [2006-05-22 13:17 208896] "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 05:55 5674352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "combofix"="C:\ComboFix\kmd.exe" [2004-08-05 06:00 400896] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\IntelWireless] C:\Program Files\Intel\Wireless\Bin\LgNotify.dll 2004-09-07 10:08 110592 C:\Program Files\Intel\Wireless\Bin\LgNotify.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\geedb [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Digital Line Detect.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Digital Line Detect.lnk backup=C:\WINDOWS\pss\Digital Line Detect.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Acrobat.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Acrobat.lnk backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Acrobat.lnkCommon Startup R1 symc8100;symc8100;C:\WINDOWS\system32\drivers\symc8100.sys [2008-01-24 23:27] S3 AVerE506;AVerE506 service;C:\WINDOWS\system32\DRIVERS\AVerE506.sys [2005-06-14 12:12] S3 BW2NDIS5;BW2NDIS5;C:\WINDOWS\system32\Drivers\BW2NDIS5.sys [] S3 UNDPX2K;UNDPX2K;C:\WINDOWS\system32\drivers\UNDPX2K.SYS [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7d66a460-422a-11db-9a58-0014f83ca7cf}] \Shell\AutoRun\command - G:\LaunchU3.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2005-10-22 20:00:13 C:\WINDOWS\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job"

pierrot22 · Answer

et enfin le rapport Highjack this:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:40, on 2008-01-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dell.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.dell.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dll (file missing)
O2 - BHO: (no name) - {290244DD-8962-4BD8-83A6-33FF91CDD07C} - C:\WINDOWS\system32\geedb.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (file missing)
O4 - HKLM\..\Run: [combofix] C:\ComboFix\kmd.exe /c C:\ComboFix\Combobatch.bat
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/fr/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/fr/1,0,0,23/mcgdmgr.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

Le sioux · Answer

Bonsoir >Pierrot

Je regarde cela et te dis quoi faire des que possible.

@ suivre.

Le sioux · Answer

Re 

Par aquis de conscience, j'ai besoin de te faire tester plusieurs fichiers avant d'attaquer le nettoyage avec un script pour ComboFix :

* Va sur VIRUS TOTAL  https://www.virustotal.com/gui/

* Clique sur  "parcourir" :  C:\WINDOWS\system32\drivers\symc8100.sys

*  Recherche le fichier à analyser, puis clique ensuite sur "send".

Il faut patienter car tu es sur une file d'attente.
Le rapport ne sera complet que lorsque tu verras la mention "FINISHED"sur la droite.

Dépose le dans ta prochaine réponse.

Tuto : http://pageperso.aol.fr/loraline60/virus_total.htm

Note : Il est possible que tu es besoin d'avoir accès aux dossiers et fichiers cachés, pour cela  "Affiche les dossiers cachés" Aide toi de  B ) Afficher les dossiers cachés  ici   https://forum.pcastuces.com/sujet.asp?f=25&s=3902  si besoin.

Fais de meme pour 
C:\WINDOWS\system32
i4 
C:\WINDOWS\system32\etz1 
C:\WINDOWS\system32\comg7

Puis  poste les 4 rapports en réponse.

@ suivre.

pierrot22 · Answer

Merci le sioux,
Je ne suis pas chez moi a present (j'ai 6 heures de decalage horaire par rapport a la France). Je fais ca en rentrant et poste les rapports.
Pierre

Le sioux · Answer

Hello Pierrot

Pas de soucis, tu fais cela quand tu pourras, je suis en France, mais je suis au boulot, je bosse de nuit et suis un peu décalé, donc on devrait pas avoir de soucis pour se croiser, je vis presque au rythme canadien lol

@ plus.

pierrot22 · Answer

Bonsoir le sioux, 
je suis enfin de retour chez moi.

Voici les différents rapports:

 Fichier symc810.sys reçu le 2008.01.29 05:01:02 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/32 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 5.
L'heure estimée de démarrage est entre 50 et 72 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3	2008.1.29.10	2008.01.28	-
AntiVir	7.6.0.56	2008.01.28	-
Authentium	4.93.8	2008.01.26	-
Avast	4.7.1098.0	2008.01.28	-
AVG	7.5.0.516	2008.01.29	-
BitDefender	7.2	2008.01.29	-
CAT-QuickHeal	9.00	2008.01.28	-
ClamAV	0.91.2	2008.01.29	-
DrWeb	4.44.0.09170	2008.01.28	-
eSafe	7.0.15.0	2008.01.28	-
eTrust-Vet	31.3.5493	2008.01.28	-
Ewido	4.0	2008.01.29	-
FileAdvisor	1	2008.01.29	-
Fortinet	3.14.0.0	2008.01.29	-
F-Prot	4.4.2.54	2008.01.28	-
F-Secure	6.70.13260.0	2008.01.29	-
Ikarus	T3.1.1.20	2008.01.29	-
Kaspersky	7.0.0.125	2008.01.29	-
McAfee	5217	2008.01.28	-
Microsoft	1.3109	2008.01.28	-
NOD32v2	2830	2008.01.29	-
Norman	5.80.02	2008.01.28	-
Panda	9.0.0.4	2008.01.28	-
Prevx1	V2	2008.01.29	-
Rising	20.29.10.00	2008.01.29	-
Sophos	4.25.0	2008.01.29	-
Sunbelt	2.2.907.0	2008.01.29	-
Symantec	10	2008.01.29	-
TheHacker	6.2.9.201	2008.01.28	-
VBA32	3.12.2.5	2008.01.21	-
VirusBuster	4.3.26:9	2008.01.28	-
Webwasher-Gateway	6.6.2	2008.01.29	-
Information additionnelle
File size: 16256 bytes
MD5: 1ff3217614018630d0a6758630fc698c
SHA1: 09f6023b965069572c2d8f40df323cca2efb9143
PEiD: -

pierrot22 · Answer

- le fichier C:\WINDOWS\system32
i4  est vide

- C:\WINDOWS\system32\etz1 :

 Fichier lovstadcom2.exe reçu le 2008.01.24 17:36:00 (CET)
Situation actuelle: terminé
Résultat: 3/31 (9.68%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3 	2008.1.24.11 	2008.01.24 	-
AntiVir 	7.6.0.48 	2008.01.24 	-
Authentium 	4.93.8 	2008.01.24 	-
Avast 	4.7.1098.0 	2008.01.23 	-
AVG 	7.5.0.516 	2008.01.24 	-
BitDefender 	7.2 	2008.01.24 	-
CAT-QuickHeal 	9.00 	2008.01.23 	-
ClamAV 	0.91.2 	2008.01.24 	-
DrWeb 	4.44.0.09170 	2008.01.24 	-
eSafe 	7.0.15.0 	2008.01.16 	suspicious Trojan/Worm
eTrust-Vet 	31.3.5482 	2008.01.24 	Win32/Tesllar.G
Ewido 	4.0 	2008.01.24 	-
FileAdvisor 	1 	2008.01.24 	-
Fortinet 	3.14.0.0 	2008.01.24 	-
F-Prot 	4.4.2.54 	2008.01.24 	-
F-Secure 	6.70.13260.0 	2008.01.24 	-
Ikarus 	T3.1.1.20 	2008.01.24 	-
Kaspersky 	7.0.0.125 	2008.01.24 	-
McAfee 	5214 	2008.01.23 	-
Microsoft 	1.3109 	2008.01.24 	-
NOD32v2 	2819 	2008.01.24 	-
Norman 	5.80.02 	2008.01.23 	-
Panda 	9.0.0.4 	2008.01.23 	-
Prevx1 	V2 	2008.01.24 	-
Rising 	20.28.31.00 	2008.01.24 	-
Sophos 	4.24.0 	2008.01.24 	-
Sunbelt 	2.2.907.0 	2008.01.23 	Trojan.in-t-e-r-n-e-t
Symantec 	10 	2008.01.24 	-
TheHacker 	6.2.9.196 	2008.01.23 	-
VBA32 	3.12.2.5 	2008.01.21 	-
VirusBuster 	4.3.26:9 	2008.01.23 	-
Information additionnelle
File size: 126976 bytes
MD5: 3e960d2dcd1ecf4fe16628d142309278
SHA1: a0a412c058a52a308aaf64aed3c969c33ab16967
PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX

pierrot22 · Answer

Pour finir: C:\WINDOWS\system32\comg7  est vide.
Merci beaucoup pour ton aide précieuse...

Le sioux · Answer

Bonsoir Pierrot

je suis enfin de retour chez moi.  Veinard, ce n'est pas mon cas, encore deux heures avant de décoller d'ici ...

On attaque :

ComboFix avec CFScript : 

*  Sélectionne le texte suivant (en gras)  dans son intégralité :

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{290244DD-8962-4BD8-83A6-33FF91CDD07C}] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"combofix"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] 
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00

File::
C:\Temp\gTiis19 
C:\Temp\cXzz9
C:\WINDOWS\mrofinu572.exe.tmp
C:\WINDOWS\system32
i4 
C:\WINDOWS\system32\etz1 
C:\WINDOWS\system32\comg7

Folder::
C:\Program Files\MyWaySA
C:\WINDOWS\system32
Gpxx01
C:\WINDOWS\system32\wnzs6



* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt

Déconnecte toi du net et désactive ton antivirus  pour que Combofix puisse s'exécuter normalement

* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau)

* Une fenêtre bleue va apparaître: au message qui apparaît  Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

Ne touche à rien tant que le scan n'est pas terminé. 

Si ComboFix veut faire redémarrer ton PC laisse le faire.

--> Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

(Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt )

@ suivre

pierrot22 · Answer

Voici les rapports: Combofix: ComboFix 08-01-29.3 - PEDRO 2008-01-28 23:34:14.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.211 [GMT -5:00] Endroit: C:\Documents and Settings\PEDRO\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\PEDRO\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE C:\Temp\cXzz9 C:\Temp\gTiis19 C:\WINDOWS\mrofinu572.exe.tmp C:\WINDOWS\system32\comg7 C:\WINDOWS\system32\etz1 C:\WINDOWS\system32 i4 . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C: emp n3 C:\WINDOWS\mrofinu572.exe.tmp C:\WINDOWS\system32\drivers\core.cache.dsk . . . . Echec de suppression C:\WINDOWS\system32 Gpxx01 C:\WINDOWS\system32 Gpxx01 Gpxx011065.exe C:\WINDOWS\system32\wnzs6 C:\WINDOWS\system32\drivers\core.cache.dsk . . . . Echec de suppression . ---- Previous Run ------- . C:\Program Files\Temporary C:\Program Files\Temporary\kernInst.exe C:\Temp\1cb C:\Temp\1cb\syscheck.log C: emp n3 C:\WINDOWS\b122.exe C:\WINDOWS\mrofinu1000106.exe C:\WINDOWS\mrofinu572.exe C:\WINDOWS\system32\drivers\core.cache.dsk . . . . Echec de suppression C:\WINDOWS\system32\pac.txt C:\WINDOWS\system32\pmnmlli.dll C:\WINDOWS\system32\drivers\core.cache.dsk . . . . Echec de suppression . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-28 to 2008-01-29 )))))))))))))))))))))))))))))))))))) . 2008-01-28 23:40 . 2008-01-28 23:40 d-------- C:\Temp n3 2008-01-27 21:58 . 2008-01-28 11:59 d-------- C:\VundoFix Backups 2008-01-27 21:45 . 2008-01-27 21:45 d-------- C:\Program Files\Trend Micro 2008-01-27 20:24 . 2008-01-28 00:34 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2008-01-27 20:23 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-01-27 20:23 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-01-27 20:23 . 2007-12-10 14:53 41,864 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-01-27 20:23 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-01-27 20:21 . 2008-01-27 21:10 d-------- C:\Program Files\Spyware Doctor 2008-01-27 20:21 . 2008-01-27 20:21 d-------- C:\Documents and Settings\PEDRO\Application Data\PC Tools 2008-01-24 23:27 . 2008-01-26 14:31 d-------- C:\WINDOWS\system32 i4 2008-01-24 23:27 . 2008-01-24 23:27 d-------- C:\WINDOWS\system32\etz1 2008-01-24 23:27 . 2008-01-26 14:26 d-------- C:\WINDOWS\system32\comg7 2008-01-24 23:27 . 2008-01-24 23:27 d-------- C:\Temp\gTiis19 2008-01-24 23:27 . 2008-01-24 23:27 d-------- C:\Temp\cXzz9 2008-01-24 23:27 . 2008-01-28 23:40 d-------- C:\Temp 2008-01-24 23:27 . 2008-01-24 23:27 86,016 --a------ C:\WINDOWS\system32\drivers\symc8100.sys 2008-01-24 23:27 . 2008-01-28 23:38 932 --a------ C:\WINDOWS\system32\drivers\core.cache.dsk 2008-01-22 22:36 . 2008-01-22 22:36 d-------- C:\Documents and Settings\PEDRO\Application Data\vlc . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-29 04:40 --------- d-----w C:\Documents and Settings\PEDRO\Application Data\Wallpaper 2008-01-28 15:09 --------- d-----w C:\Documents and Settings\PEDRO\Application Data\Skype 2008-01-26 21:14 --------- d-----w C:\Program Files\Common Files 2008-01-23 03:40 --------- d-----w C:\Documents and Settings\PEDRO\Application Data\Move Networks 2008-01-18 09:50 --------- d-----w C:\Documents and Settings\PEDRO\Application Data\OpenOffice.org2 2007-12-25 17:37 --------- d-----w C:\Program Files\Windows Media Connect 2 2007-12-05 01:37 --------- d-----w C:\Documents and Settings\PEDRO\Application Data\EoRezo 2007-12-04 14:56 93,264 -c--a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-12-01 01:15 --------- d-----w C:\Documents and Settings\PEDRO\Application Data\Earthlink . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 06:00 15360] "Wallpaper"="C:\Program Files\Wallpaper\Wallpaper.exe" [2006-05-22 13:17 208896] "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 05:55 5674352] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\IntelWireless] C:\Program Files\Intel\Wireless\Bin\LgNotify.dll 2004-09-07 10:08 110592 C:\Program Files\Intel\Wireless\Bin\LgNotify.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Digital Line Detect.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Digital Line Detect.lnk backup=C:\WINDOWS\pss\Digital Line Detect.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Acrobat.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Acrobat.lnk backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Acrobat.lnkCommon Startup R1 symc8100;symc8100;C:\WINDOWS\system32\drivers\symc8100.sys [2008-01-24 23:27] S3 AVerE506;AVerE506 service;C:\WINDOWS\system32\DRIVERS\AVerE506.sys [2005-06-14 12:12] S3 BW2NDIS5;BW2NDIS5;C:\WINDOWS\system32\Drivers\BW2NDIS5.sys [] S3 UNDPX2K;UNDPX2K;C:\WINDOWS\system32\drivers\UNDPX2K.SYS [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7d66a460-422a-11db-9a58-0014f83ca7cf}] \Shell\AutoRun\command - G:\LaunchU3.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2005-10-22 20:00:13 C:\WINDOWS\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job"

pierrot22 · Answer

Et Highjack This:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:45, on 2008-01-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dell.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.dell.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (file missing)
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/fr/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/fr/1,0,0,23/mcgdmgr.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

Le sioux · Answer

Re

ComboFix n'a pas réussi a supprimer en totalité les fichiers souhaités et Avast n'est toujours pas actif sur le démarrage de ton PC ...

Je vais voir ce que l'on peut faire.

@ suivre.

pierrot22 · Answer

Re
Aie...
Je remarque depuis un moment que l'icone d'Avast n'apparait plus dans la barre des tâches. Pourtant, il semble actif.

Le sioux · Answer

Re Pierrot

Excuse, j'ai été pris sur la fin de nuit... a mon tour d'être de retour au Teepee  :-)

Je vais regarder ton rapport Combofix de plus prêt voir si je ne suis pas passé a coté de quelque chose, en attendant :

Regarde ici "comment fixer/corriger des lignes via HijackThis " 

http://pageperso.aol.fr/balltrap34/demohijack.htm

1) Lance HijackThis.

Je te conseille d'enregistrer  toutes les lignes a fixer puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.

Lance Hijackthis en double cliquant sur son raccourci sur le Bureau.
Clique sur Scan Only et coche les lignes suivantes :

R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (file missing)
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background    => Microsoft Network Messenger
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')    => Microsoft Windows NT
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')    => Microsoft Windows NT

Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.

Clique sur Fix Checked puis clique sur OK
Puis ferme HijackThis.

Si certaines lignes sont absentes, signale les en fin de procédure

 2) Création de Fix.reg

Crée un nouveau document texte :

Clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :

REGEDIT 4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast"="\"C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe\""


Puis "fichier"/"enregistrer sous" :
dans : sur le Bureau
Nom du fichier : Fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

Note:
* Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers"
* Fait bien attention que REGEDIT 4 soit sur la toute 1ere ligne 

3 ) Utilisation du Fix.reg

Double clique sur Fix.reg (que tu as créé sur ton bureau)

=> tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui" 

4) Rapport

Fais redémarrer ton PC et poste un nouveau rapport HijackThis  et dis moi si Avast est apparu dans ta barre des taches.

@ suivre

Le sioux · Answer

Re

VundoFix a signalé dans son rapport poste 8 une version obsolète la 1.4.2.3  --> grosse faille de sécurité.

Une fois le poste 23 ci dessus exécuté, fais ceci :

Rends toi sur  https://www.java.com/fr/download/manual.jsp et télécharge la dernière version  ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0
Après avoir installé la dernière version, désinstalle les anciennes versions (de java) afin d’éliminer les failles de sécurité  présentes dans ces anciennes versions :

Ceci via Démarrer / paramètres / panneau de config / et dans ajout/suppression de programme navigue jusqu'aux anciennes versions de la console java qui s'y trouvent, puis supprimer, suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme.
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .

Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

@ suivre.

pierrot · Answer

Bonjour Le Sioux,

Merci de m'aider tant que ça. Je viens de faire ce que tu dis au poste 23 et voici le rapport d'Highjack This. Cependant, l'icône d'Avast n'apparaît toujours pas dans la barre des tâches. Je mets à jour ma version de Java maintenant.
Pierre

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:44, on 2008-01-29
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Wallpaper\Wallpaper.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dell.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.dell.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/fr/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/fr/1,0,0,23/mcgdmgr.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

pierrot22 · Answer

Re salut!
Je n'ai mis à jour java que maintenant...

Voici un rapport d'Highjack This tout récent:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:23, on 2008-01-29
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dell.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.dell.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/fr/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/fr/1,0,0,23/mcgdmgr.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

Le sioux · Answer

Bonsoir  Pierrot

Bien joué pour java, pour Avast, ce n'est pas encore cela ...

Démarrer / Paramètres / Panneau de config et dans ajout/suppression de programmes, navigue jusqu' a Avast et clique sur supprimer, dans la boite de dialogue qui va s'ouvrir clique sur réparer, fais redemarrer ton PC si demandé et dis moi ce qu'il en est pour Avast.

@ +

pierrot22 · Answer

Bonsoir Le sioux,

Bien arrivé au boulot?
Je viens de réparer Avast comme tu me l'as indiqué et en redémarrant... ça marche, l'icône apparaît enfin dans la barre des tâches!

Par contre, j'ai l'impression qu'il reste des merdes sur l'ordi car depuis cet aprem, des fenêtres Internet Explorer se lancent toutes seules (alors que j'utilise Firefox). De plus, quand je suis hors l'ordi demande à se connecter.

Voici dernier highjack this:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:44, on 2008-01-29
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dell.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.dell.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/fr/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/fr/1,0,0,23/mcgdmgr.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

Le sioux · Answer

Bonjour  Pierrot

Pas eu le temps de me connecter assez longtemps du taff pour te répondre...trop de boulot cette nuit.

Peux tu envoyer ce fichier  C:\WINDOWS\system32\drivers\symc8100.sys   sur 

https://www.bleepingcomputer.com/submit-malware.php?channel=4  c'est pour sUBs, le développeur de l'outil ComboFix, merci.

Puis une fois cela fait, passe à ce qui suit :

ComboFix avec CFScript : 

*  Sélectionne le texte suivant (en gras)  dans son intégralité :

Driver::
symc8100

File::
C:\WINDOWS\system32\drivers\symc8100.sys
C:\WINDOWS\system32
i4
C:\WINDOWS\system32\etz1
C:\Temp\gTiis19
C:\Temp\cXzz9
C:\WINDOWS\system32\comg7

Folder::
C:\Documents and Settings\PEDRO\Application Data\EoRezo 

* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt

Déconnecte toi du net et désactive ton antivirus  pour que Combofix puisse s'exécuter normalement

* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau)

* Une fenêtre bleue va apparaître: au message qui apparaît  Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

Ne touche à rien tant que le scan n'est pas terminé. 

--> Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

(Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt )

@ suivre

Le sioux · Answer

Re

Pour  
Peux tu envoyer ce fichier C:\WINDOWS\system32\drivers\symc8100.sys  sur

https://www.bleepingcomputer.com/submit-malware.php?channel=4 c'est pour sUBs, le développeur de l'outil ComboFix, merci.

Dans la 1ere case tu colles le lien du topic  http://www.commentcamarche.net/forum/affich 4818861 virus win 32?page=2#291

Pour sasir le fichier a envoyer, cliques sur "parcourir" puis navigues jusqu'à  C:\WINDOWS\system32\drivers\symc8100.sys

Note : Il est possible que tu es besoin d'avoir accès aux dossiers et fichiers cachés, pour cela "Affiche les dossiers cachés" Aide toi de  B ) Afficher les dossiers cachés ici https://forum.pcastuces.com/sujet.asp?f=25&s=3902 si besoin.  Pense a recacher les fichiers et dossiers cachés par la suite afin d'éviter les erreurs.

Dans la "grande case" , commentaires

https://forums.spybot.info/showthread.php?22907-IE-pop-ups-amp-core-cache-dsk&p=156911#post156911#post156911

2008-01-24 23:27 . 2008-01-24 23:27 86,016 --a------ C:\WINDOWS\system32\drivers\symc8100.sys
2008-01-24 23:27 . 2008-01-24 23:27 36,864 --a------ C:\WINDOWS\mrofinu572.exe.tmp
2008-01-24 23:27 . 2008-01-28 12:21 932 --a------ C:\WINDOWS\system32\drivers\core.cache.dsk

Merci, @ +

pierrot22 · Answer

Salut Le Sioux, Je viens de passer combofix, voici le rapport: ComboFix 08-01-29.3 - PEDRO 2008-01-30 10:22:29.3 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.233 [GMT -5:00] Endroit: C:\Documents and Settings\PEDRO\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\PEDRO\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE C:\Temp\cXzz9 C:\Temp\gTiis19 C:\WINDOWS\system32\comg7 C:\WINDOWS\system32\drivers\symc8100.sys C:\WINDOWS\system32\etz1 C:\WINDOWS\system32 i4 . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\drivers\core.cache.dsk C:\WINDOWS\system32\drivers\symc8100.sys C:\Documents and Settings\PEDRO\Application Data\EoRezo C:\Documents and Settings\PEDRO\Application Data\EoRezo\cache C:\Documents and Settings\PEDRO\Application Data\EoRezo\cmhost.cyp C:\Documents and Settings\PEDRO\Application Data\EoRezo\ConfMedia.cyp C:\Documents and Settings\PEDRO\Application Data\EoRezo\db\cat.cyp C:\Documents and Settings\PEDRO\Application Data\EoRezo\eoDesktop\config.xml C:\Documents and Settings\PEDRO\Application Data\EoRezo\eoDesktop\eoDesktop.html C:\Documents and Settings\PEDRO\Application Data\EoRezo\eoDesktop\userConfig.xml C:\Documents and Settings\PEDRO\Application Data\EoRezo\eoStats\eoStats.txt C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather.cfg C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\EoWeather.cfg C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\EoWeatherVal_02EC282.cfg C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\67_day.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\67_night.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\69_day.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\69_night.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\70_day.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\70_night.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\78_day.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\78_night.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\82_day.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\82_night.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\83_day.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\83_night.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\84_day.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\84_night.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\85_day.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\85_night.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\89_day.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\89_night.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\back.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\background.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\background_1.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\background_1days.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\background_2days.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\background_7days.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\backPressed.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\band.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\band_small.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\close.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\closePressed.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\dayPrevisionBackground.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\dayPrevisionClose.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\earth.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\fonds_écran.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\help.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\helpPressed.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\minimise.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\minimisePressed.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic ext.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic extPressed.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\option.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\optionPressed.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic eflet_ecran.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\small_background.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_classic\Thumbs.db C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\67_day.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\67_night.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\69_day.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\69_night.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\70_day.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\70_night.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\78_day.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\78_night.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\82_day.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\82_night.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\83_day.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\83_night.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\84_day.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\84_night.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\85_day.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\85_night.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\89_day.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\89_night.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\about.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\back.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\background.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\background_1.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\background_1days.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\background_2days.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\background_7days.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\backPressed.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\close.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\closePressed.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\dayPrevisionBackground.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\dayPrevisionClose.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\earth.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\fonds_écran.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\help.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\helpPressed.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\minimise.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\minimisePressed.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo ext.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo extPressed.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\option.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\optionPressed.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo eflet_ecran.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo\Thumbs.db C:\Documents and Settings\PEDRO\Application Data\EoRezo\EoWeather\images_station_meteo xt_14x13.png C:\Documents and Settings\PEDRO\Application Data\EoRezo\host.cyp C:\Documents and Settings\PEDRO\Application Data\EoRezo mp.exe C:\Documents and Settings\PEDRO\Application Data\EoRezo owns.cfg C:\Documents and Settings\PEDRO\Application Data\EoRezo\user.cyp C: emp n3 C:\WINDOWS\system32\drivers\core.cache.dsk C:\WINDOWS\system32\drivers\symc8100.sys . ---- Previous Run ------- . C:\Program Files\Temporary C:\Program Files\Temporary\kernInst.exe C:\Temp\1cb C:\Temp\1cb\syscheck.log C: emp n3 C:\WINDOWS\b122.exe C:\WINDOWS\mrofinu1000106.exe C:\WINDOWS\mrofinu572.exe C:\WINDOWS\mrofinu572.exe.tmp C:\WINDOWS\system32\drivers\core.cache.dsk . . . . Echec de suppression C:\WINDOWS\system32 Gpxx01 C:\WINDOWS\system32 Gpxx01 Gpxx011065.exe C:\WINDOWS\system32\pac.txt C:\WINDOWS\system32\pmnmlli.dll C:\WINDOWS\system32\wnzs6 C:\WINDOWS\system32\drivers\core.cache.dsk . . . . Echec de suppression . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_SYMC8100 -------\symc8100 ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-28 to 2008-01-30 )))))))))))))))))))))))))))))))))))) . 2008-01-29 08:50 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-01-27 21:58 . 2008-01-28 11:59 d-------- C:\VundoFix Backups 2008-01-27 21:45 . 2008-01-27 21:45 d-------- C:\Program Files\Trend Micro 2008-01-27 20:24 . 2008-01-29 19:34 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2008-01-24 23:27 . 2008-01-26 14:31 d-------- C:\WINDOWS\system32 i4 2008-01-24 23:27 . 2008-01-24 23:27 d-------- C:\WINDOWS\system32\etz1 2008-01-24 23:27 . 2008-01-26 14:26 d-------- C:\WINDOWS\system32\comg7 2008-01-24 23:27 . 2008-01-24 23:27 d-------- C:\Temp\gTiis19 2008-01-24 23:27 . 2008-01-24 23:27 d-------- C:\Temp\cXzz9 2008-01-24 23:27 . 2008-01-30 10:25 d-------- C:\Temp 2008-01-22 22:36 . 2008-01-22 22:36 d-------- C:\Documents and Settings\PEDRO\Application Data\vlc 2007-12-25 12:38 . 2006-10-04 09:06 1,197,294 --------- C:\WINDOWS\system32\dllcache\sysmain.sdb 2007-12-25 12:36 . 2007-12-25 12:37 d-------- C:\Program Files\Windows Media Connect 2 2007-12-25 12:34 . 2007-12-25 12:44 d-------- C:\WINDOWS\system32\drivers\UMDF . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-30 15:27 --------- d-----w C:\Documents and Settings\PEDRO\Application Data\Wallpaper 2008-01-30 01:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-01-30 01:33 --------- d-----w C:\Documents and Settings\PEDRO\Application Data\Skype 2008-01-29 13:50 --------- d-----w C:\Program Files\Java 2008-01-26 21:14 --------- d-----w C:\Program Files\Common Files 2008-01-23 03:40 --------- d-----w C:\Documents and Settings\PEDRO\Application Data\Move Networks 2008-01-18 09:50 --------- d-----w C:\Documents and Settings\PEDRO\Application Data\OpenOffice.org2 2007-12-04 14:56 93,264 -c--a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-12-01 01:15 --------- d-----w C:\Documents and Settings\PEDRO\Application Data\Earthlink . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Wallpaper"="C:\Program Files\Wallpaper\Wallpaper.exe" [2006-05-22 13:17 208896] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-30 19:04 1415824] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 08:00 79224] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\IntelWireless] C:\Program Files\Intel\Wireless\Bin\LgNotify.dll 2004-09-07 10:08 110592 C:\Program Files\Intel\Wireless\Bin\LgNotify.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Digital Line Detect.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Digital Line Detect.lnk backup=C:\WINDOWS\pss\Digital Line Detect.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Acrobat.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Acrobat.lnk backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Acrobat.lnkCommon Startup S3 AVerE506;AVerE506 service;C:\WINDOWS\system32\DRIVERS\AVerE506.sys [2005-06-14 12:12] S3 BW2NDIS5;BW2NDIS5;C:\WINDOWS\system32\Drivers\BW2NDIS5.sys [] S3 UNDPX2K;UNDPX2K;C:\WINDOWS\system32\drivers\UNDPX2K.SYS [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7d66a460-422a-11db-9a58-0014f83ca7cf}] \Shell\AutoRun\command - G:\LaunchU3.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2005-10-22 20:00:13 C:\WINDOWS\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job"

pierrot22 · Answer

Re,
Et le rapport Hijack This:
J'ai posté message chez sUBs.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:36, on 2008-01-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.fr/myway
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dell.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.dell.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/fr/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/fr/1,0,0,23/mcgdmgr.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

Le sioux · Answer

Bonsoir Pierrot

Télécharge  OTMoveIt2 (de Old_Timer) sur ton Bureau.  http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Double clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche (de couleur bleu) de OTMoveIt :
Paste standard List of Files/Folders to be moved.

C:\WINDOWS\system32
i4
C:\WINDOWS\system32\etz1
C:\Temp\gTiis19
C:\Temp\cXzz9
C:\WINDOWS\system32\comg7
C:\Documents and Settings\PEDRO\Application Data\EoRezo 
C:\Program Files\MyWaySA
C:\WINDOWS\system32
Gpxx01
C:\WINDOWS\system32\wnzs6 

Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaîtra dans le cadre Results.
Clique sur Exit pour fermer.

Il te sera peut-être demander de faire redémarrer le PC pour achever la suppression.
si c'est le cas accepte par Yes.


--> Poste le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)

Dis moi aussi comment se porte le PC.

@ suivre.

pierrot22 · Answer

Salut Le Sioux,

Je fais ca des que je rentre chez moi ce soir.
On va bien finir par le reparer cet ordi! :)
@+

Le sioux · Answer

Hello Pierrot
 (ça rime ;-) )

Je fais ca des que je rentre chez moi ce soir. ok,  d'ac, bon courage pour le taff.

On va bien finir par le reparer cet ordi! :)   Yes, on avance, on avance ;-)

@ plus.

pierrot22 · Answer

Bonsoir L'indien,

Voici le rapport de OTMoveIt:

C:\WINDOWS\system32
i4 moved successfully.
C:\WINDOWS\system32\etz1 moved successfully.
C:\Temp\gTiis19 moved successfully.
C:\Temp\cXzz9 moved successfully.
C:\WINDOWS\system32\comg7 moved successfully.
File/Folder C:\Documents and Settings\PEDRO\Application Data\EoRezo not found.
File/Folder C:\Program Files\MyWaySA not found.
File/Folder C:\WINDOWS\system32
Gpxx01 not found.
File/Folder C:\WINDOWS\system32\wnzs6 not found.
 
OTMoveIt2 v1.0.16 log created on 01302008_203734

Je fais redémarrer la bête avant de refaire un Hijack This.

pierrot22 · Answer

Un petit rapport Hijack This:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:43, on 2008-01-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dell.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.dell.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/fr/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/fr/1,0,0,23/mcgdmgr.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

pierrot22 · Answer

Bonsoir,

Je n'ai pas une très bonne nouvelle. Je viens de faire un scan (en mode standard) avec Avast et il me retrouve toujours ce trojan.

Je n'arrive pas à trouver le rapport d'analyse d'avast en fichier texte mais les fichiers infectés sont dans C:\System Volume Information\_restore et dans C:\VundoFix Backups

@+
Pierre

Le sioux · Answer

Bonjour Pierrot

Ce qu'a trouvé Avast est logé dans la restauration système, ce n'est pas dangereux tant que l'on ne s'en sert pas.

Je te ferai désactiver / réactiver en fin de nettoyage, cela créera un point sain et supprimera les cochonneries qui s'y trouvent .

Le rapport HijackThis est clean, on va tout de même parfaire le nettoyage en deux temps  :

1er temps :  Cleanzip

* Télécharge clean zip de Malekal_Morte http://www.malekal.com/download/clean.zip

* Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
* Ouvre le dossier Clean qui se trouve sur ton Bureau.
* Double-clique sur clean.cmd.
Une fenêtre noire va apparaître,

choisis l'option 1

Puis poste le rapport qui se trouve ici C:\rapport_clean.txt

Dans un 2nd temps, on fera un nettoyage  en mse avec Cleanzip, AVG Antispyware et CCleaner , je te donnerai la manip dans un prochain poste quand tu m'auras envoyé le rapport de cleanzip

@ suivre

pierrot22 · Answer

Bonjour Le Sioux,

Je viens d'utiliser clean.cmd. Le rapport est le suivant:

 2008-01-31 a  9:12:11.42 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 

@+

Le sioux · Answer

Bonsoir Pierrot

Cleanzip n'a rien trouvé, on approfondit le nettoyage, encore un peu de courage , on en voit le bout ;)

Je te conseille d'enregistrer la page en format HTLM afin d’appliquer la procédure comme il faut, pour cela : 
* Avec Firefox
- clique sur le menu Fichier (en haut à gauche), puis choisis Enregistrer sous...
- dans la boîte de dialogue Enregistrer sous, pour le champ "Enregistrer dans" (en haut), clique sur la flèche de la "liste déroulante" et choisis Bureau; pour le champ "Type", laisse Page Web complète; pour le champ "Nom du fichier", saisis Discussion en cours; termine en cliquant sur Enregistrer
* Avec Internet Explorer 7, presse la touche Alt pour faire apparaître le menu et suis les mêmes instructions qu’avec FireFox.
Pour afficher la page (après redémarrage), double-clique sur "Discussion en cours.htm" situé sur le Bureau.
(Tu n'auras pas accès à Internet à partir du moment ou te redémarreras en mode sans échec)

Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection

1) Télécharge

--  CCleaner
https://www.ccleaner.com/ccleaner/download
Choisi de préférence la version SLIM-No Toolbar.
Installe-le en prenant soin de décocher les diverses options dont la barre Yahoo et la mise à jour.
Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
 Pour les autres paramètres, laisse-le avec ses réglages par défaut.
Ferme le programme pour l’instant.

--la version d'essai d'AVG Anti-Spyware 7.5 depuis http://www.grisoft.com/doc/downloads-products/ww/crp/0?prd=triasw
Installe la puis...Lancer AVG Anti-Spyware.
Clique sur le menu Mise à jour.
Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
Attends la fin de cette mise à jour puis ferme le programme.
Ne pas lancer d'analyse maintenant

2) Redémarre en mode sans échec

Regarde ici si besoin avant ici  : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8]  (ou [F5]  sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuie sur  [Entrée] 
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre. 

Ouvre le fichier HTLM sauvegardé sur ton Bureau afin de suivre les instructions comme il faut.

3) Lance AVG Anti-Spyware 7.5

--Réglages

Clique sur le menu Analyse (de la barre d'outils).
Clique sur l'onglet Paramètres.
Dans Comment réagir? clique sur Actions recommandées et choisir Quarantaine.
Dans Comment faire l'analyse ? et dans Programmes potentiellement dangereux, vérifier que toutes les cases soient cochées.
Dans Rapports cocher "générer un rapport après chaque analyse"

-- Scan
Dans l'onglet Analyse
Clique sur Analyse complète du système.
Important : Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.
Cliquer sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.( C:\Programfiles\Grisoft\AVG Antispyware 7.5\Reports)
Ensuite 
Très important : A la fin de l'analyse, clique sur " Appliquer toutes les actions"
 
Puis ferme AVG Anti-Spyware.

4) Suppression de fichiers inutiles avec CCleaner

Lance CCleaner en double-cliquant sur son raccourci sur le bureau.
Puis dans le menu Nettoyeur
Clique sur Analyse (laisser travailler cela peut durer longtemps la 1ere fois)
Clique sur le bouton Lancer le nettoyage.
Clique une seconde fois sur le bouton Lancer le nettoyage puis ferme CCleaner.

5) Rapports

Fais redémarrer le PC en mode normal puis poste en réponse :
* Un nouveau rapport HijackThis 
*  Le rapport d AVG antispyware 7.5 situé ici C:\Programfiles\Grisoft\AVG Antispyware 7.5\Reports 

Bon courage

 @+

pierrot22 · Answer

Salut Le Sioux,

Je me suis endormi pendant qu'AVG antispyware tournait! J'ai suivi tes instructions. Le seul problème est qu'à la fin de l'analyse avec AVG, le bouton enregistrer le rapport était grisé. Du coup, je n'ai pas de rapport. Il y avait 139 objets infectés: 
Trojan.Agent.cdq
Downloader.Agent.hvj
Downloader.Agent.hvx
Downloader.VB.cge
le reste: TrackingCookies

Ensuite, passage (rapide) de CCleaner. 

Et enfin, le rapport Hijack This

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:44, on 2008-02-01
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dell.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.dell.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/fr/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/fr/1,0,0,23/mcgdmgr.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

Le sioux · Answer

Re

Ok, bien joué 

1) Vide la quarantaine d'AVG Antispyware

Double-clique sur le raccourci d'AVG Antispyware 7.5 présent sur ton Bureau afin de le lancer, puis clique sur "Infections", clique sur "Tout sélectionner" puis sur "Supprimer définitivement".
Ferme AVG Antispyware.

2) Il te faut mieux gerer tes cookies

-- Avec I.E outils/options/ onglet confidentialité/avancés/
*Cocher ignorer gestion automatique des cookies
*Cocher accepter cookies interne et refuser cookies tierce puis appliquer et ok

-- Avec Firefox outils/options/vie privée
*conserver les cookies --> jusqu a la fermeture de Firefox sur PC Astuces">Firefox
*dans paramètres , cocher cookies
*puis cocher "toujours effacer mes informations personnelles a la fermeture de Firefox puis valider par ok
Sinon, pour FF, il y a des extensions pour cela (au moins 4 a C) --> https://www.hugedomains.com/domain_profile.cfm?d=geckozone&e=org#C

Passer CCleaner régulièrement, fonction nettoyeur


Cookies (biscuit)
Un cookie est un enregistrement d'informations par le serveur dans un fichier texte situé sur l'ordinateur client.
Il se compose d'un ensemble de variables que le client et le serveur s'échangent lors de transactions HTTP,ce qui permet d'éviter de se connecter à nouveau sur un forum par exemple ,ou d'aller directement sur la page d'un site, etc......
Sans problème quand ils sont utilisés par des "entités",ils peuvent se révéler trés dangereux mal employés.
En effet, ils peuvent stocker une multitudes de renseignements, qui récoltés par un spyware, permet de se connecter au service Web sous le compte de l'utilisateur.
extrait  de   https://forum.pcastuces.com/sujet.asp?f=25&s=14911   gigrionne

3) ToolsCleaner  de A.Rothstein 

On va supprimer toutes les traces des logiciels que nous avons utilisés qui traitent des infections spécifiques et ceci grâce a  ToolsCleaner  de A.Rothstein 

Télécharge le  http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe sur ton Bureau. 
* Double-clique sur ToolsCleaner2.bat et laisse le travailler
* Clique sur Recherche et laisse le scan se terminer. 
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options facultatives. 
* Clique sur Quitter, pour que le rapport puisse se créer.

-->  Poste moi Le rapport de ToolsCleaner  ( qui se trouve à la racine de ton disque dur (C:\TCleaner.txt )

Note 

-- Pour CCleaner ----> Tu peux par contre, garder et utiliser CCleaner fonction "Nettoyeur" sans modération , reccoche seulement dans avancés "Ne pas effacer fichiers...48h"
un petit complément d’info sur celui-ci :
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
(Attention toutefois à l'utilisation de la fonction  Erreur , sauvegarder les changements faits dans le Registre par sécurité.)

--Pour AVG AS --->
Au bout des 30 jours d'essais , AVG Anti-Spyware restera utilisable sans limitation de durée, mais avec deux restrictions :
*- pas de surveillance en temps réel
*- pas de mise à jour automatique en ligne.
Il restera un bon scan passif avec lequel tu pourras effectuer un nettoyage hebdomadaire, sans oublier de faire une mise à jour manuelle avant d'exécuter l’analyse .

@ suivre

pierrot22 · Answer

Re.

Merci pour ta patience et ton aide... Je faisais vraiment pas gaffe à mes cookies, ça m'apprendra!

Voici le rapport de CCleaner.
-->- Recherche: 

C:\Combofix: trouvé !
C:\Vundofix backups: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\PEDRO\Bureau\Clean.zip: trouvé !
C:\Documents and Settings\PEDRO\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\PEDRO\Bureau\vundoFix.exe: trouvé !
C:\Documents and Settings\PEDRO\Bureau\clean	ar.exe: trouvé !
C:\Documents and Settings\PEDRO\Bureau\cleanemove.reg: trouvé !
C:\Documents and Settings\PEDRO\Bureau\clean\pskill.exe: trouvé !
C:\Documents and Settings\PEDRO\Bureau\clean\LFiles.exe: trouvé !
C:\Documents and Settings\PEDRO\Bureau\clean\gzip.exe: trouvé !
C:\Documents and Settings\PEDRO\Bureau\clean\delsiri.cmd: trouvé !
C:\Documents and Settings\PEDRO\Bureau\clean\delr.cmd: trouvé !
C:\Documents and Settings\PEDRO\Bureau\clean\del3.cmd: trouvé !
C:\Documents and Settings\PEDRO\Bureau\clean\del2.cmd: trouvé !
C:\Documents and Settings\PEDRO\Bureau\clean\clean.cmd: trouvé !
C:\Documents and Settings\PEDRO\Bureau\clean\cherche.cmd: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\QooBox\Quarantine\C\Combofix: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\PEDRO\Bureau\Clean.zip: supprimé !
C:\Documents and Settings\PEDRO\Bureau\ComboFix.exe: supprimé !
C:\Documents and Settings\PEDRO\Bureau\vundoFix.exe: supprimé !
C:\Documents and Settings\PEDRO\Bureau\clean	ar.exe: supprimé !
C:\Documents and Settings\PEDRO\Bureau\cleanemove.reg: supprimé !
C:\Documents and Settings\PEDRO\Bureau\clean\pskill.exe: supprimé !
C:\Documents and Settings\PEDRO\Bureau\clean\LFiles.exe: supprimé !
C:\Documents and Settings\PEDRO\Bureau\clean\gzip.exe: supprimé !
C:\Documents and Settings\PEDRO\Bureau\clean\delsiri.cmd: supprimé !
C:\Documents and Settings\PEDRO\Bureau\clean\delr.cmd: supprimé !
C:\Documents and Settings\PEDRO\Bureau\clean\del3.cmd: supprimé !
C:\Documents and Settings\PEDRO\Bureau\clean\del2.cmd: supprimé !
C:\Documents and Settings\PEDRO\Bureau\clean\clean.cmd: supprimé !
C:\Documents and Settings\PEDRO\Bureau\clean\cherche.cmd: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix: supprimé !
C:\Vundofix backups: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Fichiers temporaires nettoyés !

Pour finir, tu m'avais dit que l'on supprimerait les cochonneries trouvées par Avast situées dans la restauration système. Peux-tu m'expliquer comment faire stp?

Merci.
@+

Le sioux · Answer

Re Pour finir, tu m'avais dit que l'on supprimerait les cochonneries trouvées par Avast situées dans la restauration système. Peux-tu m'expliquer comment faire stp? On fait cela après un scan en ligne de vérification ;-) * Fais un scan antivirus en ligne https://www.bitdefender.fr/ avec IE et copie colle le résultat ici * En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE * Dans la nouvelle fenêtre, clique sur I agree * La fenêtre change encore, clique sur Click here to scan * Les signatures se chargent, etc. Aide toi de ce Tuto (merci Morgane) http://pageperso.aol.fr/loraline60/bitdefender_scan.htm Poste en réponse le rapport de scan qui se trouve ici C:\windows\bdoscan8\scanres.txt ou scanres.html @ suivre car il reste des conseils de sécurité à appliquer.

pierrot22 · Answer

Salut,

Voici le rapport de BitDefender:

@+

BitDefender Online Scanner
	


Rapport d'analyse généré à: Fri, Feb 01, 2008 - 13:32:54


Voie d'analyse: C:\;D:\;
	
Statistiques

Temps

02:59:54

Fichiers

233807

Directoires

5680

Secteurs de boot

4

Archives

8612

Paquets programmes
	
18166
	


Résultats

Virus identifiés
1

Fichiers infectés
1

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
1
	


Info sur les moteurs

Définition virus

895016

Version des moteurs
	
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
14

Archive des plugins

38

Unpack des plugins

7

E-mail plugins

6

Système plugins

1
	
Paramètres d'analyse

Première action

Désinfecté

Seconde Action
	
Supprimé

Heuristique

Oui

Acceptez les avertissements
	
Oui

Extensions analysées
*;

Excludez les extensions
 
Analyse d'emails

Oui

Analyse des Archives

Oui

Analyser paquets programmes
	
Oui

Analyse des fichiers
	
Oui

Analyse de boot	

Oui

Fichier analysé
	
 Statut

C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP372\A0097382.dll
	

Infecté par: Trojan.Vundo.DWR

C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP372\A0097382.dll
	

Supprimé

Le sioux · Answer

Hello Pierrot Bien joué. Je vais te donner plusieurs conseils par ordre de priorité, prends le temps de lire et d’exécuter cela à ton rythme, ne "t’abrutis" pas à tout faire d'un coup, quitte a y revenir par a coups et suivre ainsi petit à petit les différentes instructions. ========================================================================= => Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la, ce qui créera un point de restauration sain * Désactivation : Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs" > Appliquer patiente jusqu’a ce que cela soit marqué "désactivé" puis Ok. * Activation : Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs" > Appliquer attends que cela soit à nouveau sur "surveillance" puis Ok. Redémarrer l'ordinateur.. ========================================================================= => Il te faut impérativement tenir à jour régulièrement Windows ainsi qu’ Internet Explorer : Via Internet Explorer, rends toi sur Microsoft Update http://www.update.microsoft.com/windowsupdate/v6/default.aspx Effectue toutes les mise à jour critiques proposées. Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé. Mettez à jour Internet Explorer s'il est en version 6, même si vous ne l'utilisez pas. Gratuit et même pour les systèmes Windows non authentiques, ça se passe ici : https://support.microsoft.com/en-us/office/internet-explorer-help-23360e49-9cd3-4dda-ba52-705336cc0de2?ui=en-US&rs=en-001&ad=US => Il faut mettre a jour la console Java régulièrement aussi : Rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 Après avoir installé la dernière version, désinstalle les anciennes versions (de java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions. via Démarrer / paramètres / panneau de config / et dans ajout/suppression de programme navigue jusqu'aux anciennes versions de la console java qui s'y trouvent, puis supprimer, suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. ========================================================================= => Installe un pare-feu pour remplacer celui de Windows qui est insuffisant : Regarde celui-ci en gratuit : * ComodoFirewallPro 2.4 http://www.personalfirewall.comodo.com/ Version 2.4 en français en bas de page ici http://www.personalfirewall.comodo.com/download_firewall.html Comodo Firewall Pro − French Version 2.4 Option 1 Download French Version of Comodo Firewall Pro 2.4 (Size: 8.48 MB) - Tuto https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389 http://www.nordicnature.net/tutorials/comodo/cf24wiz.htm Attention ce pare-feu existe aussi en version 3.0 mais en version anglaise uniquement et plus difficile à paramétrer Tuto pour la version 3.0https://infomars.fr/forum/index.php?showtopic=1225 Tu peux constater son efficacité en regardant son résultat aux tests firewall: http://www.matousec.com/index.html => Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) : ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html -Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html ========================================================================= => Pour sécuriser ta navigation -- Un programme incontournable : SpyBot-Search & Destroy 1.5 (scan passif + protection préventive avec ses 2 résidents, ses vaccinations et sa liste Hosts ) https://www.safer-networking.org/ -démo d’utilisation http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm -Tuto : https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/ http://perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm -- Tutorial pour sécuriser FireFox : https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ Pense aussi a le mettre a jour, ta version (2.0.0.9) dans ton profil est obsolète, on en est a la 2.0.0.11 --Comportement à adopter http://assiste.com.free.fr/p/abc/a/safe_cex.html ========================================================================= => Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC : Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html -Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ -Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. ========================================================================= => Pour améliorer la sécurité de ton PC prends quelques instants pour lire Sécuriser son PC +WIFI (versions "hot" & "light") de Philae https://forum.pcastuces.com/default.asp https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf (téléchargeable en Pdf) => Rappel sur les principales causes d'infection : * L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : Les dangers des cracks : http://forum.malekal.com/ftopic893.php Le crack dans toute sa splendeur, journal d'une infection attendue : https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ * Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent ): Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ Pourquoi éviter le P2P : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 https://lexpansion.lexpress.fr/actualite-economique/ * Prévention sur deux autres types d'infection d'actualité : MSN prévention : https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/ Infection par supports amovibles (clefs usb, flash, DD externes ..) https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ https://forum.malekal.com/viewtopic.php?f=45&t=5544 ========================================================================= => Pour optimiser un peu ton PC * Pense à lancer une défragmentation. Tuto : http://www.linternaute.com/hightech/nettoyagepc/nettoyagepc1.shtml * Gère tes services grâce à ces 2 liens http://speedweb1.free.fr/frames2.php?page=service3 et http://speedweb1.free.fr/frames2.php?page=service4 * Utilise Zeb Utility de Sebdraluorg une application ne nécessitant pas d’installation, pour optimiser un poil ton pc. (merci a l ami Zebulon) Téléchargement : https://www.zebulon.fr/telechargements/utilitaires/optimisation/zeb-utility.html Tuto : https://www.zebulon.fr/dossiers/autres/58-zebutility.html * Utilise Ccleaner fonction nettoyeur de manière journalière. ========================================================================= Voila, bonne lecture, content d'avoir pu te filer un coup de main ;-) Hugh !

pierrot22 · Answer

Salut Le Sioux.

Je te remercie vraiment beaucoup pour l'aide que tu m'as apportée. C'est très agréable d'avoir un PC qui fonctionne...
Je vais suivre tes conseils de sécurité et tâcher de prendre plus soin de mon ordi à l'avenir.

Merci encore beaucoup.
Pierre

Le sioux · Answer

Re Pierrot

Ce fut avec plaisir  ;-)

On est d'accord, c'est tellement mieux un PC qui fonctionne bien !

Partage avec ceux qui t'entourent ce que tu as pu apprendre au cours de cette expérience, aide-les à sécuriser leurs PCs, à mettre leurs logiciels à jours et à mettre en place des mesures préventives et une attitude de surf "saine" pour éviter les problèmes.

Salut bonne lectures et bon surf.

miya14 · Answer

bonsoir tout le monde ben voila :s depuis des jours mon pc ne marche pas correctement , s'etain et s'allume tt seule, trés long au démarage, des fenetres qui souvre tt seule et cela me tappe sur les nerfs j'ai essayer plusieurs antiveruse (avast) mais tjr rien et aussi j fé le scan hijackthis: 
Logfile of HijackThis v1.99.1 
Scan saved at 02:27:40, on 30/01/2008 
Platform: Windows XP SP2 (WinNT 5.01.2600) 
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) 

Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\csrss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\System32\svchost.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\system32\svchost.exe 
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 
C:\Program Files\Alwil Software\Avast4\ashServ.exe 
C:\WINDOWS\Explorer.EXE 
C:\WINDOWS\system32\spoolsv.exe 
C:\WINDOWS\SOUNDMAN.EXE 
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe 
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe 
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 
C:\Program Files\MSN Messenger\msnmsgr.exe 
C:\Program Files\Messenger\Msmsgs.exe 
C:\Program Files\a-squared Free\a2service.exe 
C:\Program Files\Menara\dslmon.exe 
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe 
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE 
C:\WINDOWS\system32\wdfmgr.exe 
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 
C:\WINDOWS\System32\alg.exe 
C:\Program Files\Internet Explorer\iexplore.exe 
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe 
C:\Program Files\a-squared Free\a2free.exe 
C:\Program Files\MSN Messenger\usnsvc.exe 
C:\Documents and Settings\imane\Bureau\HijackThis.exe 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.files-ftp.com/~unicorni/phpBB2/index.php 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Menara 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens 
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32
tos.exe, 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx 
O2 - BHO: Ofb1 - {3E1500AC-87A5-416b-A211-82E848649DA9} - (no file) 
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE 
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osboot 
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" 
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background 
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\Msmsgs.exe" /background 
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe 
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present 
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll 
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL 
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O9 - Extra button: Menara - {F77016BC-C464-4300-A404-D7FCC0CE29D1} - http://www.menara.ma/abonne (file missing) (HKCU) 
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll 
O17 - HKLM\System\CCS\Services\Tcpip\..\{D49FD1B7-8D7E-4C8D-B752-84B5DD34DCDB}: NameServer = 212.217.1.4 212.217.0.14 
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL 
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL 
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll 
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe 
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe 
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) 
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) 
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing

Le sioux · Answer

Bonsoir MYia14

Il serait plus que préférable que tu crées ton propre sujet.
Cela rendra le poste (ici) plus compréhensible, et nous pourrons traiter ton soucis avec plus d’efficacité.
Pour t'y aider, regarde ici :
http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm 

Salut.

Virus Win 32

51 réponses

Discussions similaires

Newsletters