Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Xp security center

Dernière réponse le 3 sep 2008 à 17:46:42 indianasophie@yahoo.fr, le 18 jun 2008 à 22:19:25

Signaler ce message aux modérateurs

Bonjour,
Au secours, j'ai un "xp security center" qui a viré mon kaspersky et aucun anti spyware ne l'enlève. J'ai lu dans des forum une histoire compliquée de hitchky his... queslqu'un peut il m(aider?
Merci

Configuration: Windows XP
Internet Explorer 6.0

Posez votre question Répondre

boy94450, le 18 jun 2008 à 22:19:41

1) Télécharge Malwarebytes' Anti-Malware.

*Télécharge et installe Malwarebyte's Anti-Malware
*http://www.commentcamarche.net/telecharger/telechargement 34055379 malwarebyte s anti malware
*A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK
*Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur ton Bureau.
*Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK
*Laisse les Mises à jour se télécharger

*** Referme le programme ***

2) Redémarre en "Mode sans échec"

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuie sur [Entrée]
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.
Regarde ici si besoin : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm

Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut.

3) Scan avec Malwarebyte's Anti-Malware

*Lance Malwarebyte's Anti-Malware
*Puis vs dans l'onglet "Recherche" puis coche "Exécuter un examen complet" puis "Rechercher sélectionne tes disques durs" puis clique sur "Lancer l’examen"
*A la fin du scan >>> clique sur Afficher les résultats puis sur Enregistrer le rapport
*Suppression des éléments détectés >>>> clique sur Supprimer la sélection
*S'il t'es demandé de redémarrer >>> clique sur "Yes"

*--> Un rapport de scan s'ouvre, enregistre sur ton Bureau et poste ce rapport en réponse. Un travail réglé et des victoires après des victoires, voilà sans doute la formule du bonheur.
Ecrivez dans l'ordre chronologique s.v.p.

Répondre à boy94450

Lezard, le 20 jun 2008 à 13:52:14

Bonjour
J'ai le même problème est ce que je poster le rapport aussi je ne m'en sort pas j'ai tenté plusieurs techniques sans résultats..
Je ne suis pas un crack en info mais il faut que je me débarrasse de cette m...e !!!
Merci

Répondre à Lezard

456476ez, le 20 aoû 2008 à 00:27:03

BONJOUR,

BIEN JOUE ! VRAIMENT. MASTERPIECE !
Je ne l'ai plus cru. Aujourd'hui en fin d'après midi, j'ai reçu le joli "cadeau"...
Mon écran a changé de couleur (comme lors d'un système crash!), et le message "Warning... etc." a
commençé à s'afficher.

Je n'ai rien compris et voulais évidemment acheter Windows XP Security CENTER !
Heureusement ma banque a bloqué ma carte pour fraude, sans doute lorsque j'ai acheté Antivirus XP.

J'ai cherché en vain des solutions... pour trouver un programme.
Je me suis calculée des frais énormes pour sauvegarde etc. auprès de mon conseiller informatique.

Au dernier moment j'ai trouvé ce forum et ce sublime mode d'emploi.

Un grand, immense MERCI !

Répondre à 456476ez

do-yourperson, le 26 aoû 2008 à 09:58:17

Bonjour,

Mauvaise surprise! Cela recommence. J'arrive à l'enlever pour quelques heures, mais après il se réinstalle.
Ci-après le dernier rapport d'hier soir.

Y a-t-il quelque chose à faire?

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1087
Windows 5.1.2600 Service Pack 2

19:12:45 25/08/2008
mbam-log-08-25-2008 (19-12-45).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|)
Eléments examinés: 159756
Temps écoulé: 1 hour(s), 32 minute(s), 28 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 16

Processus mémoire infecté(s):
C:\WINDOWS\system32\blphce3hj0e3cl.scr (Trojan.FakeAlert) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\wxpjqr.dll (Trojan.Agent) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wxpjqr (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphce3hj0e3cl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\wxpjqr.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\4.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphce3hj0e3cl.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\admin\Local Settings\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\admin\Local Settings\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphce3hj0e3cl.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phce3hj0e3cl.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\CT SERVICES.ADMIN-AC03E4839.000\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

Répondre à do-yourperson

do-yourperson, le 26 aoû 2008 à 11:47:22

Par rapport au chemin d'accès là, je l'ai modifé (ne peux évidemment pas indiquer le chemin d'accès de mon client)Mais si cela vient de là, merci de me dire.
Je saurai déjà que ca parvient via le réseau.
MERCI!!!!! ALLO??????!!!!!! IL Y A ENCORE QUELQU'UN???

C:\Documents and Settings\CT SERVICES.ADMIN-AC03E4839.000\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully

Répondre à do-yourperson

do-yourperson, le 2 sep 2008 à 19:26:49

Bonjour,

Voila le hijack-report. J'espère avoir fait tout comme il faut.

J'ai modifié le IP du server (confidentiel) et effacé une info par rapport à macromedia (inintéressant).
Merci de votre réponse d'avance: J'ai le virus à nouveau. Par contre là, juste une invitation "d'activer mon antivirus", écran blanc avec msg de "Warning" sur fond rouge.., le programme XP Security Center a disparu par contre.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:31:10, on 02/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\hpzipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\TEMP\rnp4.tmp
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\TEMP\gxf1.tmp
C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder\OrderReminder.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\vphc700.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\TF1Vision\TF1vision.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Philips\SPC 700NC PC Camera\TrayMin700.exe
C:\Program Files\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Microsoft Office\Office10\EXCEL.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: (no name) - {1962c5bc-e475-465b-823b-133e711bceb9} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: livetvbar Toolbar - {ad55c869-668e-457c-b270-0cfb2f61116f} - C:\Program Files\livetvbar\tblive.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [eFax 4.3] "C:\Program Files\eFax Messenger 4.3\J2GDllCmd.exe" /R
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [phc700] C:\WINDOWS\vphc700.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [e-TF1] C:\Program Files\TF1Vision\TF1vision.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [lphce3hj0e3cl] C:\WINDOWS\system32\lphce3hj0e3cl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1229272821-362288127-725345543-1009\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'CT SERVICES')
O4 - HKUS\S-1-5-21-1229272821-362288127-725345543-1009\..\Run: [WeatherDPA] "C:\Program Files\Hotbar\bin\10.0.368.0\Weather.exe" -auto (User 'CT SERVICES')
O4 - HKUS\S-1-5-21-1229272821-362288127-725345543-1009\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized (User 'CT SERVICES')
O4 - HKUS\S-1-5-21-1229272821-362288127-725345543-1009\..\Run: [e©ùýùäûïèóÎ×øøãøôÄÊýòñûöÞó] C:\Program Files\XP Antivirus\xpa.exe (User 'CT SERVICES')
O4 - HKUS\S-1-5-21-1229272821-362288127-725345543-1009\..\Run: [45489363903916860336011484382995] C:\Program Files\XP Antivirus\xpa.exe (User 'CT SERVICES')
O4 - HKUS\S-1-5-21-1229272821-362288127-725345543-1009\..\Run: [B5540E2FA0ECC5B71253836C0D5EF23F] C:\Program Files\XP Antivirus\xpa.exe (User 'CT SERVICES')
O4 - HKUS\S-1-5-21-1229272821-362288127-725345543-1009\..\Run: [1753803CE2478992B2EAE1745B017976] C:\Program Files\XP Antivirus\xpa.exe (User 'CT SERVICES')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-1229272821-362288127-725345543-1009 Startup: CallMe.lnk = C:\Program Files\CallMe\CallMe.exe (User 'CT SERVICES')
O4 - S-1-5-21-1229272821-362288127-725345543-1009 Startup: Scheduler.lnk = C:\Program Files\3B Software\Common\Scheduler\wcomschd.exe (User 'CT SERVICES')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: eFax 4.3.lnk = C:\Program Files\eFax Messenger 4.3\J2GTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: TrayMin.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: SMScatcher Texte - C:\Program Files\MobilZone\getText.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: SMScatcher - {2D11C2D3-BAA1-4C4C-962B-0B242AEF1AFC} - C:\Program Files\MobilZone\SMScatcher.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-0de022d10c5a2fcd.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {B9907873-6560-4A36-B76B-9DADE84A7F55} (FnacmusicDnl.DnlManager) - http://www.fnacmusic.com/telechargementFnacmusic/FnacmusicDnl.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{C75654233-77CT-2397-31FA-9AB133FA6C2C}: NameServer = 135.274.432.221
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: karina.dat
O20 - Winlogon Notify: wxpjqr - C:\WINDOWS\SYSTEM32\wxpjqr.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\hpzipm12.exe
End of file - 10633 bytes

Répondre à do-yourperson

do-yourperson, le 23 aoû 2008 à 16:35:05

Bonjour à nouveau,

J'ai eu le virus à nouveau aujourd'hui.
Par contre uniquement sur mon compte Administrateur sur lequel j'ai installé Exchange qui est contrôlé par un
login administré par mon employeur.
Je voulais juste rénommer le compte Administrateur.
Sur cela l'écran a à nouveau viré vers le bleu criant avec le message jaune d'avertissement.

Je suis retournée dans le compte Admin, mais là, non infecté, rien, même après redémarrage.
J'ai refait la même manoeuvre de balayage mais via le compte "Administrateur".
Le virus est parti à nouveau.

En même temps je constate que, pour mon compte Administrateur, je ne peux plus utiliser les paramètres de propriétés d'affichage que je peux utiliser pour mon compte Admin.
Je ne comprends pas, j'ai un écran Siemens avec une bibliothèque de thèmes d'affichage, mais les thèmes n'y sont
plus pour le compte Administrateur, là je n'ai plus que Thèmes, Apparences, Paramètres.
J'ai essayé de le restaurer en mode sans échec, mais rien à faire.

Comment je peux récupérer cela? Et d'où cela vient?

Répondre à do-yourperson

boy94450, le 29 aoû 2008 à 01:10:51

Salut tu es la ? °°°Merci de suivre la désinfection jusqu'au bout svp,Merci°°°

Répondre à boy94450

do-yourperson, le 2 sep 2008 à 22:03:48

Voilà, le dernier rapport de malware.
Ne sert à plus rien. Le truc reste.
Même Hijack est identifié Virus.

Je vais évidemment le désinstaller.

Dans l'attente

Malwarebytes' Anti-Malware 1.26
Version de la base de données: 1104
Windows 5.1.2600 Service Pack 2

02/09/2008 21:26:22
mbam-log-2008-09-02 (21-26-22).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|)
Eléments examinés: 137616
Temps écoulé: 1 hour(s), 24 minute(s), 32 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 6
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 19

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cpl32ver (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphce3hj0e3cl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{B62FEE10-6E78-4F25-815B-35AED6C4ACD7}\RP22\A0002600.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B62FEE10-6E78-4F25-815B-35AED6C4ACD7}\RP22\A0002652.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B62FEE10-6E78-4F25-815B-35AED6C4ACD7}\RP22\A0002677.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B62FEE10-6E78-4F25-815B-35AED6C4ACD7}\RP22\A0002693.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\4.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\5.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphce3hj0e3cl.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Cpl32ver.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\admin\Local Settings\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\admin\Local Settings\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\admin\Local Settings\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\admin\Local Settings\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphce3hj0e3cl.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phce3hj0e3cl.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

Répondre à do-yourperson

boy94450, le 3 sep 2008 à 17:46:42

1) Redémarre en "Mode sans Échec":

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuie sur [Entrée]
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.
Regarde ici si besoin : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm

2°) Analyser avec AntiVir:

Tu fais un scan en mode sans échec avec AntiVir. Tu lances le scan et si il détecte un virus (normalement oui) tu cliques sur "delete" et "apply sélection to all following détections. (pour qu'il le supprimes automatiquement). A la fin du scan tu cliques sur "Report" puis normalement un bloc-note s'ouvrira tu l'enregistre sur ton bureau avec le titre "Rapport AntiVir"puis tu redémarre en mode normal puis tu me postes le rapport. PS: En redémarrant le scan se lancera tous seul laisse le. °°°Merci de suivre la désinfection jusqu'au bout svp,Merci°°°

Répondre à boy94450

do-yourperson, le 29 aoû 2008 à 08:36:02

Oui, je suis tout à fait là.

Mais j'ai suivi et posté le rapport!

J'ai alors téléchargé Avira Antivirus. Depuis je m'en sors.

Répondre à do-yourperson

E..T, le 29 aoû 2008 à 09:09:13

Salut do-yourperson
Pour avancer boy94450

Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

-Une fois installé, le renommer en HJT.exe
Explications >> http://www.pcentraide.com/index.php?showtopic=89046

Double-clique sur HJT.exe pour lancer le programme

Accepte en cliquant sur le bouton "I Accept"

Ensuite clique sur "do a system scan and save a logfile" et postes le rapport obtenu ici.

Bonne continuation.

@++

Répondre à E..T

boy94450, le 29 aoû 2008 à 18:15:57

Re et slt E..T fais ceci:

° Télécharge HijackThis sur ton bureau

/!\ : Avant de l'utiliser, il faut le renommer, clique droit sur "HijackThis" et nomme le "Hijack".

° Accepte la licence en cliquant sur le bouton "I Accept"
° Choisis l'option "Do a system scan and save a log file"
° Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
° Clique sur "Édition" puis "Sélectionner tout" puis sur ta prochaine réponse et fais "Coller"
° Colle le rapport que tu viens de copier sur ce forum.

PS: si tu as besoin d'aide, aide toi du tutoriel. °°°Merci de suivre la désinfection jusqu'au bout svp,Merci°°°

Répondre à boy94450

do-yourperson, le 29 aoû 2008 à 23:37:20

Ok, pourquoi stresser..??
Ne t'inquiète. Report sera posté avant ce maudit lundi midi.

Bon weekend

Répondre à do-yourperson

Posez votre question Répondre