Sujet Précédent Sujet Suivant

Alertes permanentes Avast "menace détectée"

Résolu/Fermé
kooms - 6 nov. 2010 à 17:29
 manu - 15 juin 2012 à 21:48
Bonjour,

Depuis quelques jours, Avast ne cesse de m'envoyer des messages d'alerte "une menace a été détectée" dès que je suis sur Internet
objet : d.dmcpmtrack.com/afr.php?zoneid= 4&cb=123456789
infection : URL : MAL
Action : bloqué
Processus : C:\....\iexplorer.exe

Quelqu'un aurait une solution pour se débarrasser de ce qui génère ça ?

Merci d'avance


A voir également:

51 réponses

Réponse 1 / 51
Utilisateur anonyme
7 nov. 2010 à 14:07
Bonjour

Je l'avais constaté pour Winlogon;mais merci quand même.

Tu lances ZHPDiag ;tu cliques ensuite sur la paire de jumelles(ZHPsearch)

Dans cette fenêtre tu tapes :winlogon.exe
et ensuite tu cliques sur la loupe.

Tu me postes ce rapport ;merci.

@+
1
Réponse 2 / 51
Utilisateur anonyme
6 nov. 2010 à 17:34
Bonsoir

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html
en bas de la page ZHP avec un numéro de version.

Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Merci

A+
0
Réponse 3 / 51
kooms
6 nov. 2010 à 17:58
tout ce que tu as toujours voulu savoir sur mon PC :

http://www.cijoint.fr/cjlink.php?file=cj201011/cij7lCUvTq.txt

Si avec ça tu me trouve la solution t'es trop fort !...

Merci d'avance
0
Réponse 4 / 51
kooms
6 nov. 2010 à 18:53
ComboFix 10-11-06.01 - bertand 06/11/2010 18:37:43.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.511.232 [GMT 1:00]
Lancé depuis: c:\program files\asdehi.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\bertand\Application Data\chrtmp
c:\documents and settings\bertand\Local Settings\Temporary Internet Files\4902da5c-f76f-1906-c330-53d2e137ba6e
c:\documents and settings\bertand\Local Settings\Temporary Internet Files\8de28108-493d-3a40-281c-2cb60d580110
c:\documents and settings\bertand\Local Settings\Temporary Internet Files\f9655f88-448c-5f6b-8c8c-bfdc045d616e
c:\windows\system32\5db96382-107d-ee09-f02f-8f0f6bf62702.exe
c:\windows\system32\winlogon.bak
E:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-10-06 au 2010-11-06 ))))))))))))))))))))))))))))))))))))
.

2010-11-06 17:29 . 2010-11-06 17:29 3903895 ----a-r- c:\program files\asdehi.exe
2010-11-06 16:48 . 2010-11-06 16:51 -------- d-----w- c:\program files\ZHPDiag
2010-11-04 17:54 . 2010-09-08 14:36 10833920 ----a-w- c:\windows\system32\libmfxsw32.dll
2010-11-04 17:54 . 2010-09-08 14:36 10915840 ----a-w- c:\windows\system32\libmfxhw32.dll
2010-11-04 17:54 . 2010-11-04 17:57 -------- d-----w- c:\program files\AVS4YOU
2010-11-04 17:00 . 2010-11-04 17:00 -------- d-----w- c:\program files\BitTorrent
2010-11-04 16:57 . 2010-11-04 22:12 -------- d-----w- c:\documents and settings\bertand\Application Data\BitTorrent
2010-11-03 10:02 . 2010-11-04 19:34 -------- d-----w- c:\program files\FSCapture53
2010-10-31 19:00 . 2010-03-15 09:31 165376 ----a-w- c:\windows\system32\unrar.dll
2010-10-31 18:11 . 2010-10-31 18:11 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\AVS4YOU
2010-10-31 18:11 . 2010-10-31 18:11 -------- d-----w- c:\documents and settings\bertand\Application Data\AVS4YOU
2010-10-31 18:06 . 2010-11-04 17:56 -------- d-----w- c:\program files\Fichiers communs\AVSMedia
2010-10-31 18:06 . 2010-08-17 14:02 1700352 ----a-w- c:\windows\system32\GdiPlus.dll
2010-10-31 18:06 . 2010-08-17 14:02 24576 ----a-w- c:\windows\system32\msxml3a.dll
2010-10-31 17:35 . 2010-10-31 18:04 -------- d-----w- c:\documents and settings\bertand\Application Data\Media Player Classic
2010-10-31 17:27 . 2010-10-31 18:57 -------- d-----w- c:\program files\Essentials Codec Pack
2010-10-22 16:47 . 2010-10-22 16:47 -------- d-----w- c:\documents and settings\bertand\LiU_print
2010-10-22 16:46 . 2010-10-22 16:46 -------- d-----w- c:\program files\Fichiers communs\YDP
2010-10-22 16:45 . 2010-10-22 16:46 -------- d-----w- c:\program files\Reflex TBC
2010-10-20 10:31 . 2010-10-20 10:31 2611200 ----a-w- c:\windows\system32\2813913b-710f-1248-3131-0937ea7a3dc8.dll
2010-10-10 20:14 . 2010-10-10 20:14 -------- d-----w- c:\documents and settings\bertand\Application Data\Publish Providers
2010-10-10 20:11 . 2010-10-10 21:02 -------- d-----w- c:\documents and settings\bertand\Application Data\Sony
2010-10-10 20:11 . 2010-10-10 20:11 -------- d-----w- c:\documents and settings\bertand\Local Settings\Application Data\Sony
2010-10-10 20:06 . 2010-10-10 20:06 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Sony
2010-10-10 20:03 . 2008-04-14 12:00 221184 ----a-w- c:\windows\system32\wmpns.dll
2010-10-10 20:01 . 2010-10-10 20:02 -------- d-----w- c:\windows\system32\drivers\UMDF
2010-10-10 20:01 . 2010-10-10 20:01 -------- d-----w- c:\windows\system32\LogFiles

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\RPRSTITL.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\RPRSTEXT.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\RPRSSTMP.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\RPRSSPEC.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\RPRSSCRP.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\RPRSREH_.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\RPRSMET_.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\RPRSCHOR.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\RPRS____.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\OPUSTEXT.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\OPUSSE__.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\OPUSS___.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\OPUSROMC.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\OPUSPC__.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\OPUSP___.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\OPUSO___.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\OPUSNN__.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\OPUSM___.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\OPUSFS__.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\OPUSFBE_.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\OPUSFB__.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\OPUSCSC_.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\OPUSCS__.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\OPUSC___.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\OPUS____.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\INKPEN2_.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\INK2TEXT.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\INK2SPEC.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\INK2SCRI.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\INK2METR.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\INK2CHOR.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\HELST___.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\HELSS___.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\HELSM___.FOT
2010-09-27 16:23 . 2010-09-27 16:23 1409 ----a-w- c:\windows\Fonts\HELSINKI.FOT
2010-09-18 10:23 . 2008-04-14 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2008-04-14 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2008-04-14 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2008-04-14 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-09-10 05:50 . 2008-04-14 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-09-10 05:50 . 2008-04-14 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-09-10 05:50 . 2008-04-14 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-09-07 15:12 . 2010-07-10 18:57 38848 ----a-w- c:\windows\avastSS.scr
2010-09-07 15:11 . 2010-05-07 10:47 167592 ----a-w- c:\windows\system32\aswBoot.exe
2010-09-07 14:52 . 2010-05-07 10:48 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-09-07 14:52 . 2010-05-07 10:48 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-09-07 14:47 . 2010-05-07 10:48 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-09-07 14:47 . 2010-05-07 10:48 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-09-07 14:47 . 2010-05-07 10:48 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-09-07 14:47 . 2010-05-07 10:48 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-09-07 14:46 . 2010-05-07 10:48 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-09-01 11:51 . 2008-04-14 12:00 285824 ----a-w- c:\windows\system32\atmfd.dll
2010-09-01 07:55 . 2008-04-14 12:00 1852928 ----a-w- c:\windows\system32\win32k.sys
2010-08-27 08:02 . 2008-04-14 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2010-08-27 05:58 . 2008-04-14 12:00 99840 ----a-w- c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2008-04-14 12:00 357248 ----a-w- c:\windows\system32\drivers\srv.sys
2010-08-23 16:12 . 2008-04-14 12:00 617472 ----a-w- c:\windows\system32\comctl32.dll
2010-08-17 13:17 . 2008-04-14 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-16 08:44 . 2008-04-14 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
.

------- Sigcheck -------

[-] 2010-05-07 . 8D71F28DEB37CC9C2E344095D8BFE1EE . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2010-06-13 138552]

[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2010-06-13 15:25 1438520 ----a-w- c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{f913dbd9-c752-05cf-cc77-d6a25d7a7423}]
2010-10-20 10:31 2611200 ----a-w- c:\windows\system32\2813913b-710f-1248-3131-0937ea7a3dc8.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2010-06-13 1438520]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2010-06-13 1438520]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-06-26 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"ATIModeChange"="Ati2mdxx.exe" [2010-05-07 28672]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-03-25 335872]
"HKSERV.EXE"="c:\program files\Sony\HotKey Utility\HKserv.exe" [2004-06-29 122880]
"SonyPowerCfg"="c:\program files\sony\vaio power management\SPMgr.exe" [2004-06-29 180224]
"Switcher.exe"="c:\program files\Sony\Wireless Switch Setting Utility\Switcher.exe" [2004-01-19 290816]
"VAIO Update 5"="c:\program files\Sony\VAIO Update 5\VAIOUpdt.exe" [2010-04-09 1459568]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-09-07 2838912]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-06-15 141624]
"SweetIM"="c:\program files\SweetIM\Messenger\SweetIM.exe" [2010-06-07 111928]
"PMBVolumeWatcher"="c:\program files\Sony\PMB\PMBVolumeWatcher.exe" [2010-03-24 599328]
"CardDetector"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-10-18 241664]
"BEWINTERNET-FR-DMESessionManager"="c:\program files\OrangeBS\BEWInternet\SessionManager\SessionManager.exe" [2007-10-30 102400]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"e:\\SAVE\\PROGRAMMES\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\OrangeBS\\BEWInternet\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\BitTorrent\\BitTorrent.exe"=

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [07/05/2010 11:48 165584]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [07/05/2010 11:48 17744]
R2 PMBDeviceInfoProvider;PMBDeviceInfoProvider;c:\program files\sony\PMB\PMBDeviceInfoProvider.exe [24/10/2009 02:18 360224]
R3 SPI;Périphérique de contrôle d'E/S programmable Sony;c:\windows\system32\drivers\SonyPI.sys [06/05/2010 18:42 37040]
R3 VUAgent;VUAgent;c:\program files\sony\VAIO Update 5\VUAgent.exe [07/05/2010 10:09 722288]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [26/06/2010 11:57 135664]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [26/06/2010 19:22 36608]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [28/07/2010 13:29 95744]
S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [28/07/2010 13:29 51968]
.
Contenu du dossier 'Tâches planifiées'

2010-10-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

2010-11-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-26 10:57]

2010-11-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-26 10:57]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://yahoo.fr/
mStart Page = hxxp://home.sweetim.com
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
HKLM-Run-Mouse Suite 98 Daemon - ICO.EXE
HKLM-Run-IMBooster - c:\program files\Iminent\IMBooster\IMBooster.exe
HKLM-Run-Iminent.Notifier - c:\program files\Iminent\SearchTheWeb\Iminent.Notifier.exe
AddRemove-5db96382-107d-ee09-f02f-8f0f6bf62702 - c:\windows\system32\5db96382-107d-ee09-f02f-8f0f6bf62702.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-06 18:44
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(916)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2010-11-06 18:47:34
ComboFix-quarantined-files.txt 2010-11-06 17:47

Avant-CF: 75 459 608 576 octets libres
Après-CF: 76 306 415 616 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 77B8A6D686E6EF257789F7399BD53D4B


Alors ? c'est grave docteur ???
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 51
kooms
6 nov. 2010 à 19:03
Aïe !!! le message d'Avast vient de réapparaître !...

tu vois qq chose dans le rapport ?
0
Réponse 6 / 51
Utilisateur anonyme
6 nov. 2010 à 20:41
Re

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur " parcourir ", cherche un fichier à la fois :

Clique sur Send File.

c:\windows\system32\2813913b-710f-1248-3131-0937ea7a3dc8.dll

.
Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport en copiant le lien de Virus Total. (C'est mieux)

Copie le lien du rapport dans ta réponse et fait le pour chaque fichier ; merci

(!) Si Virus Total indique que le fichier a déjà été analysé, cliquer sur le bouton. Ré analyser le fichier maintenant

@+
0
Réponse 7 / 51
kooms
7 nov. 2010 à 12:26
Bonjour,

j'ai lancé l'opération sur le fichier que tu m'as indiqué et si j'ai tout compris (?) il faut que je t'envoie ça :

http://www.virustotal.com/file-scan/report.html?id=3d438c0a63c5273ed024faebdcd71265b9983cb73cc42f6221f9476043f1c777-1289128618

c'est bien ça ?
Après tu me dis de le faire sur "chaque" fichier ... mais lesquels ? tu parles des fichiers de quelle liste ??? ceux créés du 06/10 au 06/11 ? ceux du chapitre "points de chargement" ? ...

Merci !...
0
Réponse 8 / 51
kooms
7 nov. 2010 à 12:52
En attendant ta réponse sur la liste des fichiers, j'en ai essayé 2 ou 3 ... y'a celui-là qui m'a l'air touché !...

http://www.virustotal.com/file-scan/report.html?id=9b22b9c84d6033af852bb19acce3afd8884f10b86faf0dfedcaf181ef2386ee2-1289130400

A+
0
Réponse 9 / 51
kooms
7 nov. 2010 à 14:25
en attendant, y'a aussi celui là ? :

http://www.virustotal.com/file-scan/report.html?id=f6ed899a795dd99878685ec6c1f212a54061baa1695543ef7d41e56e6dca689d-1289134162

PS : sur le premier y'a rien à faire ?

A+
0
Utilisateur anonyme
7 nov. 2010 à 14:37
Re

Fait ceci ;merci.
0
Réponse 10 / 51
kooms
7 nov. 2010 à 14:43
http://www.cijoint.fr/cjlink.php?file=cj201011/cijgw9ALef.txt

A+

Ps : tu veux que je continue à scanner des fichiers ? lesquels ? Merci
0
Réponse 11 / 51
Utilisateur anonyme
7 nov. 2010 à 14:44
Re

Ce n'est pas ce qui est demandé.
Relis bien et applique.

@+
0
Réponse 12 / 51
kooms
7 nov. 2010 à 14:56
Rapport de ZHPSearch 1.23.05 par Nicolas Coolman, Update du 05/11/2010
Run by bertand at 07/11/2010 14:54:01
Windows XP Professional Service Pack 3 (Build 2600)

---\\ Elément(s) de recherche
winlogon.exe

---\\ Liste des Fichiers & Dossiers:
C:\WINDOWS\system32\winlogon.exe

---\\ Bilan de la recherche
Mode de recherche : Fichiers, Dossiers
Elément(s) trouvé(s) : 1
Nombre de fichiers analysés : 75029
Nombre de clés, valeurs ou données analysées : 0
Mode : Recherche complète
End of the scan (01mn 02s)


c'est ça qu'il te faut ?
0
Réponse 13 / 51
Utilisateur anonyme
7 nov. 2010 à 15:06
Re

Je te faisais chercher un autre fichier de ce nom pour le remplacer;mais rien.

Télécharge celui-ci et enregistre le dans C;pas dans un dossier

http://sd-2.archive-host.com/membres/up/19387509578328357/winlogon.exe

Ensuite;

1. Télécharge The Avenger par Swandog46 sur le Bureau

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):


Files to move:
c:\winlogon.exe | c:\windows\system32\winlogon.exe


IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Clique sur l'icône de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Exécute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

@+
0
Réponse 14 / 51
kooms
7 nov. 2010 à 15:22
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "c:\windows\system32\winlogon.exe" is whitelisted
File move operation "c:\winlogon.exe|c:\windows\system32\winlogon.exe" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Completed script processing.

*******************

Finished! Terminate.



Aïe ! pas terrible ???
0
Réponse 15 / 51
Utilisateur anonyme
7 nov. 2010 à 15:45
Re

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en cours de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

* Copies et colles le contenu de cette citation dans la partie inférieure d'OTL "Personnalisation"

----------------------------------------------------------------------------------------------------

:processes

[override]
c:\windows\system32\winlogon.exe
[stopoverride]

:Files
c:\windows\system32\winlogon.exe |c:\winlogon.exe /replace

[CREATERESTOREPOINT]
[resethosts]
:end
[Purity]
[Empty Temp Folders]

-------------------------------------------------------------------------------------------------

* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log


@+
0
manu
15 juin 2012 à 21:38
bonsoir Guillaume, est ce que tu peux m' aider,
j' ai ça sur mon pc : http://www.playerplus.com.exe?27116=b19c8359481c4ce0320cfaa6be87f89c
je ne sais pas où s ' est mais c ' est un malware , je ne sais pas comment m ' en débarrasser
0
manu
15 juin 2012 à 21:41
http://www.playerplus.com/PlayerPlus.exe?27116=b19c8359481c4ce0320cfaa6be87f89c
0
manu
15 juin 2012 à 21:48
http://www.playerplus.com/PlayerPlusX.exe?27116=b19c8359481c4ce0320cfaa6be87f89c

je ne sais pas pk mais mes copié/coller ont zappé une partie du nom voici le nom qu ' avast m' a cité http://www.playerplus.com/PlayerPlusX.exe?27116=b19c8359481c4ce0320cfaa6be87f89c



merci
0
Réponse 16 / 51
kooms
7 nov. 2010 à 15:57
Grosse frayeur ! au reboot le system s'est figé !... Ouf ça a redémarré ...

t'en dis quoi ?

A+


========== PROCESSES ==========
No active process named [override] was found!
Process winlogon.exe killed successfully!
No active process named [stopoverride] was found!
========== FILES ==========
Unable to replace file: c:\windows\system32\winlogon.exe with c:\winlogon.exe without a reboot.
File\Folder [CREATERESTOREPOINT] not found.
File\Folder [resethosts] not found.
Error: Unable to interpret <:end > in the current context!
Error: Unable to interpret <[Purity] > in the current context!
Error: Unable to interpret <[Empty Temp Folders]> in the current context!

OTL by OldTimer - Version 3.2.17.3 log created on 11072010_154958

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
0
Réponse 17 / 51
Utilisateur anonyme
7 nov. 2010 à 16:06
Re

Poste moi un nouveau rapport ZHPDiag;merci.

@+
0
Réponse 18 / 51
kooms
7 nov. 2010 à 16:18
un complet ou juste en recherche sur WINLOGON ???

PS : entre temps j'ai vérifié : le WINLOGON de C:\ a disparu et celui de SYSTEM32 a toujours les 4 alertes Trojan ...

@+
0
Réponse 19 / 51
kooms
7 nov. 2010 à 16:21
Rapport de ZHPSearch 1.23.05 par Nicolas Coolman, Update du 05/11/2010
Run by bertand at 07/11/2010 16:19:05
Windows XP Professional Service Pack 3 (Build 2600)

---\\ Elément(s) de recherche
winlogon.exe

---\\ Liste des Fichiers & Dossiers:
C:\WINDOWS\system32\winlogon.exe

---\\ Bilan de la recherche
Mode de recherche : Fichiers, Dossiers
Elément(s) trouvé(s) : 1
Nombre de fichiers analysés : 75443
Nombre de clés, valeurs ou données analysées : 0
Mode : Recherche complète
End of the scan (01mn 27s)
0
Réponse 20 / 51
Utilisateur anonyme
7 nov. 2010 à 16:23
Re

Il faut lire et faire ce qui est demandé.
0

Discussions similaires

Menace "Interpol" après webcam coquine
diego34 -
Panth33ra -

4 réponses
Hameçonnage ce soir 499 euros pour abonnement Avast
Colette34 -
Gerper -

2 réponses
message intempestifs d'avast : une menace a été détectée
ed62945077 -
Malekal_morte- -

3 réponses
Chantage internet photo nue
Hasmath -
Afrikarnak -

16 réponses
DRI Avast software
Franoise -
bazfile -

18 réponses