Sujet Précédent Sujet Suivant

[Malware] : Win32: Adan 078 et Adan 094

Fermé
Gabouga - 19 juil. 2006 à 14:47
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 - 3 août 2006 à 21:10
Bonjour,

En ce temps de chaleur, quoi de mieux que de rester enfermé à cause de virus ennuyeux ? ....

Bon, serieusement, je suis infecté par win32: adan 094 et adan 078.
Avast n'arrete pas de s'affoler en me bombardanr de fenetres ^^

J'ai lu les postes pour voir comment m'en debarasser mais problème : j'ai pas les meme fichiers qui s'affichent dans mon rapport HijackThis en 04.

Afin d'aviter les bêtises, est ce que quelqu'un pourrait me dire les fichiers qui sont en cause ?

Par analogie avec les autres postes, je devrais pouvoir regler le probleme.
Voici mon rapport HaijackThis :
Logfile of HijackThis v1.99.1
Scan saved at 14:40:41, on 19/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\NetLimiter\NetLimiter.exe
C:\Progra~1\EZWPaper\EZWPaper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Gabouga\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [EasyWallpaper] C:\Progra~1\EZWPaper\EZWPaper.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [fftyx.exe] C:\WINDOWS\system32\fftyx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [KillAndClean] "C:\Program Files\KillAndClean\KillAndClean.exe"
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D54367C-988D-4BED-9353-CBB54BE29C91}: NameServer = 85.255.114.77,85.255.112.91
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.77 85.255.112.91
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.77 85.255.112.91
O17 - HKLM\System\CS2\Services\Tcpip\..\{0BEBCDF1-7F6A-446F-A159-9AEEF6C63E17}: NameServer = 85.255.114.77,85.255.112.91
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.77 85.255.112.91
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

Merci d'avance pour l'aide apportée :)
A voir également:

18 réponses

Réponse 1 / 18
Maya* Messages postés 180 Date d'inscription samedi 1 juillet 2006 Statut Membre Dernière intervention 2 août 2006 177
19 juil. 2006 à 15:06
Bonjour Gabouga,
en attendant que quelqu'un te guide plus précisément voici un lien pour commencer le nettoyage
virus methode preliminaire de desinfection version fr
Bonne continuation.
0
gabouga
19 juil. 2006 à 17:33
Merci Maya pour le lien sur les étapes de "premier secour". Je viens juste de lire les reponses au moment ou phoibe avait ecrit la sienne.
J'en prend note dans mon dossier de liens special CCM :)
0
Maya* Messages postés 180 Date d'inscription samedi 1 juillet 2006 Statut Membre Dernière intervention 2 août 2006 177 > gabouga
19 juil. 2006 à 20:06
Gabouga,
de rien :)
0
Réponse 2 / 18
phoibe Messages postés 158 Date d'inscription lundi 3 juillet 2006 Statut Membre Dernière intervention 30 août 2006 8
19 juil. 2006 à 15:13
bonjour,

apres avoir refait "do a system scan only", tu te retrouves avec une liste et il y a une case à cocher devant chaque ligne. coche :

O4 - HKLM\..\Run: [fftyx.exe] C:\WINDOWS\system32\fftyx.exe

puis clique sur "fix checked"

fais un scan en ligne ici :

https://www.avg.com/en/signal/malware-and-virus-removal-tool

et post le rapport

à+
phoibe
0
gabouga
19 juil. 2006 à 17:29
merci pour les conseils, je fais ça de suite et je te poste le résultat ^^
0
Gabouga
19 juil. 2006 à 18:30
apres avoir suivi tes indications, voici le rapport de Ewido :

__________________________________________________
ewido anti-spyware online scanner
https://www.avg.com/en-us/free-antivirus-download
__________________________________________________


Name: Downloader.Agent.uj
Path: [540] VM_00D70000
Risk: High

Name: Downloader.Agent.uj
Path: [564] VM_00DA0000
Risk: High

Name: Downloader.Agent.uj
Path: [1432] VM_009D0000
Risk: High

Name: Downloader.Agent.uj
Path: [1504] VM_008B0000
Risk: High

Name: Downloader.Agent.uj
Path: [1512] VM_003D0000
Risk: High

Name: Downloader.Agent.uj
Path: [1520] VM_003F0000
Risk: High

Name: Downloader.Agent.uj
Path: [1540] VM_00990000
Risk: High

Name: Downloader.Agent.uj
Path: [1624] VM_003E0000
Risk: High

Name: Trojan.DNSChanger.ef
Path: [1776] VM_003B0000
Risk: High

Name: Downloader.Agent.uj
Path: [2668] VM_00FD0000
Risk: High

Name: TrackingCookie.247realmedia
Path: :mozilla.10:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.247realmedia
Path: :mozilla.11:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.247realmedia
Path: :mozilla.12:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.247realmedia
Path: :mozilla.13:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.247realmedia
Path: :mozilla.14:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.247realmedia
Path: :mozilla.15:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Smartadserver
Path: :mozilla.16:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Smartadserver
Path: :mozilla.17:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Smartadserver
Path: :mozilla.18:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: :mozilla.22:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Weborama
Path: :mozilla.32:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Weborama
Path: :mozilla.33:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Serving-sys
Path: :mozilla.36:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Serving-sys
Path: :mozilla.37:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Serving-sys
Path: :mozilla.38:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Serving-sys
Path: :mozilla.39:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: :mozilla.44:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Bluestreak
Path: :mozilla.45:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: :mozilla.53:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.63:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.64:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.65:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.66:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.67:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.68:C:\Documents and Settings\Gabouga\Application Data\Mozilla\Firefox\Profiles\a1sadhw8.default\cookies.txt
Risk: Medium

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{2BCA865F-F1F0-4EA4-ADFE-3424111D091F}\RP32\A0012488.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{2BCA865F-F1F0-4EA4-ADFE-3424111D091F}\RP33\A0012516.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{2BCA865F-F1F0-4EA4-ADFE-3424111D091F}\RP33\A0013514.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{2BCA865F-F1F0-4EA4-ADFE-3424111D091F}\RP33\A0014514.exe
Risk: High

Name: Trojan.Puper.bx
Path: C:\WINDOWS\system32\{66437A5D-B21F-4F23-B5A4-1496366E484C}.exe
Risk: High

Name: Trojan.Small.gq
Path: C:\WINDOWS\system32\{9794099A-1C8A-40E6-9145-8828802AD3CB}.exe
Risk: High

Name: Adware.FindSpy
Path: C:\WINDOWS\Temp\_avast4_\unp253427504.tmp
Risk: Medium

Name: Adware.FindSpy
Path: C:\WINDOWS\Temp\_avast4_\unp261761125.tmp
Risk: Medium

Name: Downloader.IstBar.nh
Path: F:\data
Risk: High


entre Kerio et Avast et Spybot; je ne comprend pas comment il peut y avoir tout ça .....
Surtout que j'ai réinstallé mon pc il y a même pas une semaine ....

Bon, sinon je garde la fenêtre d'ewido ouverte, prêt à tout supprimer ^^.
0
Gabouga
19 juil. 2006 à 21:14
ARGH !

Maintenant j'ai des trojans qui s'invitent malgrès le bloquage d'avast !!!
0
phoibe Messages postés 158 Date d'inscription lundi 3 juillet 2006 Statut Membre Dernière intervention 30 août 2006 8
20 juil. 2006 à 09:20
a ba oui la, il faut tout supprimer !

et pour completer, fais un scan bitdefender :

http://www.bitdefender.fr/bd/site/search.php#

puis repost un hijack pour qu'on fasse le point
0
Réponse 3 / 18
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 320
20 juil. 2006 à 10:51
Salut

Il faudrait remettre un HijackThis car celui ci est encore infecté.

a+
0
Réponse 4 / 18
gabouga
27 juil. 2006 à 16:45
bonjour ^^

Désolé pour le temps de réponse, j'étais pas chez moi ces derniers temps ^^

Bon, alors après un passage chez EWIDO (qui m'a dit qu'il ne pouvait pas tout effacer et qu'il fallait que je telecharge la version complète...); j'ai fait un scan trojan remover et un scan bitdefender.
PB : depuis, je ne peux plus rechercher sous google ou aller dans les fichiers d'options de Firefox, ni demarrer trojan remover, serait-ce lié au scan ?...

bon voilà, je poste un nouveau Hijack this :

Logfile of HijackThis v1.99.1
Scan saved at 16:38:56, on 27/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\NetLimiter\NetLimiter.exe
C:\Progra~1\EZWPaper\EZWPaper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Gabouga\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [EasyWallpaper] C:\Progra~1\EZWPaper\EZWPaper.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D54367C-988D-4BED-9353-CBB54BE29C91}: NameServer = 85.255.114.77,85.255.112.91
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.77 85.255.112.91
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.77 85.255.112.91
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.77 85.255.112.91
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

Merci encore pour vos conseils, mon pc va tout de même mieux, je n'ai plus de trojan win32 adan qui essaie de se mettre sur mon pc.

PS : j'ai totalement desinstallé et réinstallé firefox, mais rien n'y fait ( suppression de programme puis un tit coup de regcleaner puis un reboot et une reinstallation)

PS2 : si je ne repond pas avant demain matin, c'est que je serai de nouveau absent ( avec un verrou sur mon pc pour eviter tout dérapages en mon absence... lol)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
gabouga
27 juil. 2006 à 16:51
Oups, désolé ,

J'ai oublié de vous faire part d'un autre truc : j'utilise internet explorer pour communiquer et lorsque j'utilise google, un fois sur deux ça m'ouvre un autre moteur de recherche, starware search.

Comment je peux dégager toutes ces fenêtres qui s'ouvrent à la place de mon résultat de recherche conventionnel ?
j'ai lancé un spybot mais sans succès.

Voilà pour l'oubli et desolé encore pour les poste supplémentaires que ça occasionne ^^

soooorrryyy ^^
0
Réponse 6 / 18
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 320
27 juil. 2006 à 21:21
Salut

Deux choses:

Telecharge ceci
https://www.silentrunners.org/Silent%20Runners.vbs
Execute le,atends quelques minutes, il va creer ensuite un dossier juste a coté de silent runner sous format texte, copie/colle ce qu il te donnera

+

HijackThis -> Open the misc tools sections -> open Uninstall manager -> clique sur "Save list" -> enregistre le fichier -> fais-en un copier/coller ici.

A+
0
Réponse 7 / 18
gabouga
28 juil. 2006 à 00:03
bonsoir,

Comme convenu, voici le rapport de silent runner + le rapport hijackthis :

SILENT RUNNER :
"Silent Runners.vbs", revision 46, https://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
"WinampAgent" = "C:\Program Files\Winamp\winampa.exe" [null data]
"NetLimiter" = "C:\Program Files\NetLimiter\NetLimiter.exe /s" ["LockTime"]
"EasyWallpaper" = "C:\Progra~1\EZWPaper\EZWPaper.exe" ["Herve LE ROY"]
"TrojanScanner" = "C:\Program Files\Trojan Remover\Trjscan.exe" ["Simply Super Software"]
"dmgmz.exe" = "C:\WINDOWS\system32\dmgmz.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{FED7043D-346A-414D-ACD7-550D052499A7}" = "dBpowerAMP Music Converter 1"
-> {HKLM...CLSID} = "dBpShell Class"
\InProcServer32\(Default) = "C:\Program Files\Illustrate\dBpowerAMP\dBShell.dll" [empty string]
"{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpowerAMP Music Converter"
-> {HKLM...CLSID} = "dMCIShell Class"
\InProcServer32\(Default) = "C:\Program Files\Illustrate\dBpowerAMP\dMCShell.dll" [empty string]
"{52B87208-9CCF-42C9-B88E-069281105805}" = "Trojan Remover Shell Extension"
-> {HKLM...CLSID} = "Trojan Remover Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" ["Simply Super Software"]



et maintenant HIJACKTHIS :


Logfile of HijackThis v1.99.1
Scan saved at 00:00:30, on 28/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\NetLimiter\NetLimiter.exe
C:\Progra~1\EZWPaper\EZWPaper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Gabouga\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [EasyWallpaper] C:\Progra~1\EZWPaper\EZWPaper.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D54367C-988D-4BED-9353-CBB54BE29C91}: NameServer = 85.255.114.77,85.255.112.91
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.77 85.255.112.91
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.77 85.255.112.91
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.77 85.255.112.91
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe


voilà ^^

Merci encore pour l'aide apportée, je vois que vous êtes un peu sur tous les fronts à la fois et c'est sympa d'aider les novices comme moi ;)

Sauf quand je m'essaie au nettoyage de mon PC et que je fais tout planter ...sigh.

PS: à propos de firefox, lorsque j'essaie n'importe quel moteur de recherche , il plante ; même quand c'est celui d'un site comme CCM ou telecharger.com

voilà, merci et bonne soirée.
0
Réponse 8 / 18
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 320
28 juil. 2006 à 10:32
Salut

Un peu sur tous les fronts oui lol

1/

Dans ajout/suppression de programme, desinstalles si tu as ceci:

KillAndClean

2/

-Télécharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe

:: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::
http://pageperso.aol.fr/balltrap34/killbox.htm

-Télécharge le FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

3/

¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O17 - HKLM\System\CCS\Services\Tcpip\..\{3D54367C-988D-4BED-9353-CBB54BE29C91}: NameServer = 85.255.114.77,85.255.112.91

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.77 85.255.112.91

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.77 85.255.112.91

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.77 85.255.112.91

4/

Double clic sur killbox.exe (Pocket Killbox)

- coche: delete on reboot
- Dans "Full Path of File to Delete"
- copie et colle:

C:\WINDOWS\system32\dmgmz.exe

-Sélectionne "single File"
- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation clique sur YES
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES

Si ce message s’affiche ignore le :
http://tinypic.com/images/goodbye.jpg
Laisse le pc redémarrer.

5/Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

Quand ton système aura redémarré, suis les invites des messages.

6/

Aller dans Démarrer > Panneau de configuration > Connexions > clic droit sur la connexion > Propriétés > onglet Gestion de réseau
Mettre en surbrillance Protocole Internet (tcp/ip) puis cliquer sur le bouton Propriétés.
Dans les options (serveur DNS préféré et serveur DNS auxiliaire) on trouvera une de ces adresses présentes dans le rapport hijackthis en ligne 017 =>(85.255.114.73 85.255.112.227 etc...)

Pour les éliminer, cocher : "Obtenir les adresses des serveurs DNS automatiquement" puis cliquer 2 fois sur"Ok" et redémarrer le PC.

Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis

A+
0
Réponse 9 / 18
gabouga
28 juil. 2006 à 11:10
Bonjour, alors voilà, j'ai fait tout ce que tu m'as dit.
Par contre Killbox n'a pas rebooté, à la place il m'a mis ce message :

https://www.cjoint.com/?hClfdTqP1O

d'autre part, j'ai pas trouvé d'onglet "gestion de réseau, mais par contre il y avait un protocole TCP/IP. Je suis allé dessus, j'ai fait " propriétés" et j'ai pu faire "obtenir des DNS automatiquement.

Sur ce j'ai rebooté et Firefox fonctionne à nouveau sans pb ^^.

Voici pour finir les rapport :

FIXEWAREOUT :


Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F7C26B9AAC84-9D2A-3C14-C657-43035115{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\zmgmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\onisacputes
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
"dmgmz.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...
* csr.exe C:\WINDOWS\System32\CSRAS.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSRAS.EXE 51 262 2006-07-18
C:\WINDOWS\SYSTEM32\DMGMZ.EXE 62 047 2004-08-19
Other suspects
Directory of C:\WINDOWS\system32
{276A91C2-88C3-4F92-AE63-A02BD6C14BEE}.exe
{570202E1-959F-4B3F-A1BC-8C064F845C46}.exe
{B604B032-7615-4028-842D-7A0461F28FBC}.exe
{0FD35988-257B-4966-9E71-81EA8362E336}.exe
{44CB3079-021E-4B5D-BF86-4F1EDC030C20}.exe
{6DF27B4A-E15B-409E-AAA1-CCEAA5D0B214}.exe
{64FA6E8A-6AA8-4745-9BD6-67E389471045}.exe
{688B51BC-EEE1-4DD3-B4B6-22A0A0C5BD69}.exe
{89B4DE2F-23EE-42FB-B395-67F795F7ABB7}.exe
{29155E1F-FF09-427A-AFBD-B8B1E0B3F205}.exe
{7A9C242E-D0C0-4788-AC09-2382C29B9F5E}.exe
{9A364667-4120-4431-AFD7-F529C144EE3A}.exe
{664304C9-ECDB-48B0-96CF-57FBAF75D9C6}.exe
{2B0750CA-1140-4FD3-BBB7-B7CC655A1613}.exe
{1820A9F1-9562-4EDA-ACB1-0DD118BF0DA2}.exe
{788FCAEC-36B5-4D02-BB0C-95EA4D648B85}.exe
{84EE7CF5-CE78-4DF5-A706-38E82AFE1AE0}.exe
{B34B3E86-2F4C-4AD2-8512-7337DA6D5759}.exe
{5503A1FE-A9DD-4258-8ACB-3FA3D6685933}.exe
{A965786B-1116-44F1-95BD-906F148D17B2}.exe
{E5D16C8B-D037-4932-9842-FC619073117D}.exe
{567CBC10-DD79-4A3F-8D4D-B84A2D30EC63}.exe
{95F58EBF-9EA7-4D3E-AD66-BC661EA33BDE}.exe
{6DE901F9-23DB-4C94-9FB9-1F6D3BE8034B}.exe
{332B7F36-A6CE-442A-8237-C1793A610F5C}.exe
{8BAD7DF3-0466-47E3-B49D-5DAC4BF3F0F5}.exe
{E7CF7907-1E77-43E7-B37C-A65632F8A3B8}.exe
{753A0DFE-6F53-48AF-AADC-4D867E98005B}.exe
{955CC630-CA2E-4BE5-B374-B6AFFFF851AE}.exe
{41717E68-C98E-48B0-A772-DB053E8CEE3A}.exe
{E9726C5B-952C-4B20-B770-84FF6D581A0A}.exe
{F3FE9307-6B21-4876-A133-89ABE86EA7F2}.exe
{5840D9FC-20EA-4434-B90B-5369A547A942}.exe
{4E035A76-78F2-4E28-9CE2-47B48777D4E9}.exe
{7AEDFF96-29D3-44DA-B56E-C13AEB2836DC}.exe
{7A0AC4E3-D912-43A9-8807-D8C69B15F611}.exe
{D13C592E-2235-4236-A3A8-51AD0B2DBD64}.exe
{C6F9E295-000A-43E6-85D4-C999875AC827}.exe
{5D089EB5-EC34-49BB-8A28-0748FFA7BB70}.exe
{9233CED9-DF7F-4C58-99DB-CE513E24E840}.exe
{8E0C842C-52DA-46C0-BCD9-1089BF5C9663}.exe
{69D5556E-A185-4B9F-8598-BB3CA31ADEE1}.exe
{44F00F50-448D-4B26-9F1F-B0FEC31204EB}.exe
{D8E6B025-CD2A-48D7-8FD2-7DE9CFC2192C}.exe
{149BA484-AAFD-4821-A646-6BAC8FB55634}.exe
{16300258-A8AC-4005-A18E-8BB97B3AD87F}.exe
{A571F37C-BA15-4E28-AA62-DBCFD2130FEE}.exe
{BA8156E7-4A12-47B7-9D20-ADC0F3A7D065}.exe
{40A3D4B1-FCD5-4764-8AC8-63F37B814056}.exe
{3D63462A-2B2F-4AB6-B014-B7161F8559CD}.exe
{3FBB1800-054B-4B34-8220-86DF318F1669}.exe
{1E671AB7-F61B-435A-BEB2-AA2A4465A518}.exe
{81CBD4E8-7763-45D5-BF79-631904280E61}.exe
{D1A92DB9-F35B-4E78-A502-0D8EC52727FE}.exe
{659BEA6B-32CC-4D99-87D2-B4F0D0B05816}.exe
{EE245435-1FC6-4AB5-B047-A11FDB53CAEA}.exe
{3A152B62-7F12-4E06-9FA6-20C7B9D64717}.exe
{89926AA6-6136-4399-82B4-7E93F712FB06}.exe
{C9CB1ACD-3F5C-41F4-AD9B-9291C68CD2EF}.exe
{85479407-475E-4C85-B228-A36CAB6BFB4C}.exe
{5E79FBB1-1FEF-4652-A0BD-84FD7A520A3F}.exe
{FC2CEBB4-EB00-47BF-936C-61D8EDBC7B20}.exe
{9DC59203-503A-4500-B862-2456AD62C863}.exe
{85AE5004-0A57-4264-A10F-25B2E561270C}.exe
{ACF992C8-B4E6-410F-9A94-548AE79E0168}.exe
{3DE40C4F-A361-41DE-B1AB-32BB545E45BF}.exe
{DC268803-57F3-4712-94C1-3AE04E1EF0D8}.exe
{FCF41F64-3879-48DF-B868-38F14F54857C}.exe
{52AE4362-6B31-4A28-A217-E3E114EF945E}.exe
{8AC64A0D-CF80-420A-A18B-4181F2B8302A}.exe
{C11A026E-FBB0-4935-B516-8C182607D052}.exe
{542DE9DF-73F8-472F-ADE9-4445696C2DC5}.exe
{6E9B57C4-A132-4761-986A-BF1ECB7ED1E2}.exe
{D95CE2D6-FEAF-426D-BCC3-64740F0752B4}.exe
{BF59CE18-342B-490A-B943-C56A44900566}.exe
{ED6B13DA-9A53-4A99-90D3-D8899C7BF3DB}.exe
{F96C832C-1AB0-47FD-88E0-7E1291BE6CFC}.exe
{7355E1E0-F5BD-4167-B853-E6F53BB3ACD5}.exe
{4BFDAB8C-DA22-46F9-8264-73850B78D158}.exe
{352144EA-1B58-4A8C-80EB-F572F6C025A1}.exe
{BE6ABBD3-B7B9-46A0-87C2-54643FE63B48}.exe
{9E30E50F-439C-4EDE-B72D-FD49FFBCF969}.exe
{FD41E90D-31FE-4BF9-B572-62AB83DD976A}.exe
{5FA25EF8-0A8D-4C36-BB2B-8BE5F4BD8D2B}.exe
{4F12F439-5A1D-4288-8BB0-19829BD793D8}.exe
{DCC15B89-3224-496D-AFD5-70320AD15649}.exe
{78182BED-DC07-4008-8CD7-FA7634A21249}.exe
{8534E6C7-B3B7-4E02-8918-521BF08CB3E6}.exe
{67327173-8065-43F3-BE48-52EBE10502B8}.exe
{2B261181-B740-4AFC-8FD1-A809DB3FA082}.exe
{F4207D49-9A84-4C11-9274-9A5DD4B30C27}.exe
{8EAA57FA-1641-4D51-A400-F2300E5B9D15}.exe
{2CD13FEC-275E-451B-95CF-4C1C54229C43}.exe
{51B867DA-CC95-4C7C-A86B-1FF2FA41CE8A}.exe
{A6ABB959-53B8-415A-8F6A-717521C2620E}.exe
{1011C2D9-9B09-44B1-B34F-A9AF65B98F46}.exe
{46669DE4-E67A-4C7F-89DF-5B914DF1E09E}.exe
{3BB4AD7D-3DD3-4548-868B-A9C07CCDBB9F}.exe
{4668B39E-ADF2-421D-9D9D-1916376FF59E}.exe
{8D87F624-B1E4-4E57-89F7-BD633C23B014}.exe
{31276742-C628-480A-A323-96AC7ADFD06A}.exe


et HIJACKTHIS :

Logfile of HijackThis v1.99.1
Scan saved at 11:01:50, on 28/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\NetLimiter\NetLimiter.exe
C:\Progra~1\EZWPaper\EZWPaper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Gabouga\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [EasyWallpaper] C:\Progra~1\EZWPaper\EZWPaper.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe


Voilà ^^
Je croise les doigts pourqu'il n'y ait plus rien ^^
0
Réponse 10 / 18
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 320
28 juil. 2006 à 11:14
Salut

Pour Kill box, j avais indiqué que si tu avais ceci, c etait pas grave lol
Redemarre ton pc
Je peux ravoir un Silent runner stp?

Et aussi:

Rend toi sur ce site :
http://www.virustotal.com/xhtml/virustotal_en.html
Clik sur parcourir
Recherche ceci :

C:\WINDOWS\SYSTEM32\CSRAS.EXE
C:\WINDOWS\SYSTEM32\DMGMZ.EXE

Clik send et colles les rapports stp

A+
0
Réponse 11 / 18
gabouga
28 juil. 2006 à 11:47
ARGH ! desolé pour la fenêtre de killbox, j'avais lu le message "à la lettre"
bon, ceci étant voici les rapports :

Virustotal :

Complete scanning result of "CSRAS.EXE_", received in VirusTotal at 07.28.2006, 11:31:03 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.0 07.28.2006 no virus found
Authentium 4.93.8 07.28.2006 Possibly a new variant of W32/SecRisk-ProcessPatcher-based!Maximus
Avast 4.7.844.0 07.26.2006 no virus found
AVG 386 07.27.2006 no virus found
BitDefender 7.2 07.28.2006 Trojan.Downloader.Mohbpork.A
CAT-QuickHeal 8.00 07.26.2006 Trojan.DNSChanger
ClamAV devel-20060426 07.27.2006 no virus found
DrWeb 4.33 07.28.2006 Trojan.DownLoader.10960
eTrust-InoculateIT 23.72.80 07.28.2006 no virus found
eTrust-Vet 12.6.2314 07.28.2006 Win32/Alureon!generic
Ewido 4.0 07.27.2006 Downloader.Agent.uj
Fortinet 2.77.0.0 07.27.2006 suspicious
F-Prot 3.16f 07.27.2006 Possibly a new variant of W32/SecRisk-ProcessPatcher-based!Maximus
F-Prot4 4.2.1.29 07.27.2006 W32/SecRisk-ProcessPatcher-based!Maximus
Ikarus 0.2.65.0 07.27.2006 no virus found
Kaspersky 4.0.2.24 07.28.2006 no virus found
McAfee 4816 07.27.2006 Spy-Agent.bc
Microsoft 1.1508 07.27.2006 no virus found
NOD32v2 1.1682 07.27.2006 a variant of Win32/Small.FB
Norman 5.90.23 07.28.2006 no virus found
Panda 9.0.0.4 07.27.2006 Trj/Ruins.MB
Sophos 4.07.0 07.28.2006 no virus found
Symantec 8.0 07.28.2006 no virus found
TheHacker 5.9.8.182 07.27.2006 no virus found
UNA 1.83 07.27.2006 no virus found
VBA32 3.11.0 07.27.2006 Trojan-Downloader.Win32.Agent.uj
VirusBuster 4.3.7:9 07.27.2006 no virus found

Aditional Information
File size: 51262 bytes
MD5: 24bfb41edbdbcecf05a9ebb7639119d4
SHA1: 68c756128986528c2f8208bb8f4b161f59eaf708



Complete scanning result of "DMGMZ.EXE", received in VirusTotal at 07.28.2006, 11:36:42 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.0 07.28.2006 no virus found
Authentium 4.93.8 07.28.2006 Possibly a new variant of W32/SecRisk-ProcessPatcher-based!Maximus
Avast 4.7.844.0 07.26.2006 no virus found
AVG 386 07.27.2006 no virus found
BitDefender 7.2 07.28.2006 MemScan:Trojan.Agent.QB
CAT-QuickHeal 8.00 07.26.2006 Trojan.DNSChanger
ClamAV devel-20060426 07.27.2006 no virus found
DrWeb 4.33 07.28.2006 Trojan.DnsChange
eTrust-InoculateIT 23.72.80 07.28.2006 no virus found
eTrust-Vet 12.6.2314 07.28.2006 Win32/Alureon!generic
Ewido 4.0 07.27.2006 no virus found
Fortinet 2.77.0.0 07.27.2006 suspicious
F-Prot 3.16f 07.27.2006 Possibly a new variant of W32/SecRisk-ProcessPatcher-based!Maximus
F-Prot4 4.2.1.29 07.27.2006 W32/SecRisk-ProcessPatcher-based!Maximus
Ikarus 0.2.65.0 07.27.2006 no virus found
Kaspersky 4.0.2.24 07.28.2006 no virus found
McAfee 4816 07.27.2006 no virus found
Microsoft 1.1508 07.27.2006 no virus found
NOD32v2 1.1682 07.27.2006 a variant of Win32/Small.FB
Norman 5.90.23 07.28.2006 no virus found
Panda 9.0.0.4 07.27.2006 Trj/Ruins.MB
Sophos 4.07.0 07.28.2006 no virus found
Symantec 8.0 07.28.2006 no virus found
TheHacker 5.9.8.182 07.27.2006 no virus found
UNA 1.83 07.27.2006 no virus found
VBA32 3.11.0 07.27.2006 Trojan.Win32.Small.fb
VirusBuster 4.3.7:9 07.27.2006 no virus found

Aditional Information
File size: 62047 bytes
MD5: c796511c1553ff6c22289adb0cb24b0d
SHA1: e65ef77c9ccf8398ac62c82cde3844b60a3a4a05

et pour finir voici un tit silentrunner :

"Silent Runners.vbs", revision 46, https://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
"WinampAgent" = "C:\Program Files\Winamp\winampa.exe" [null data]
"NetLimiter" = "C:\Program Files\NetLimiter\NetLimiter.exe /s" ["LockTime"]
"EasyWallpaper" = "C:\Progra~1\EZWPaper\EZWPaper.exe" ["Herve LE ROY"]
"TrojanScanner" = "C:\Program Files\Trojan Remover\Trjscan.exe" ["Simply Super Software"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{FED7043D-346A-414D-ACD7-550D052499A7}" = "dBpowerAMP Music Converter 1"
-> {HKLM...CLSID} = "dBpShell Class"
\InProcServer32\(Default) = "C:\Program Files\Illustrate\dBpowerAMP\dBShell.dll" [empty string]
"{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpowerAMP Music Converter"
-> {HKLM...CLSID} = "dMCIShell Class"
\InProcServer32\(Default) = "C:\Program Files\Illustrate\dBpowerAMP\dMCShell.dll" [empty string]
"{52B87208-9CCF-42C9-B88E-069281105805}" = "Trojan Remover Shell Extension"
-> {HKLM...CLSID} = "Trojan Remover Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" ["Simply Super Software"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = (value not set)

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"
-> {HKLM...CLSID} = "Trojan Remover Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" ["Simply Super Software"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"
-> {HKLM...CLSID} = "Trojan Remover Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" ["Simply Super Software"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\EZWPaper.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Gabouga" & "All Users" startup folders:
---------------------------------------------------------

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"Lancement rapide d'Adobe Reader" -> shortcut to: "C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\Program Files\NetLimiter\nl_lsp.dll [null data], 01 - 05, 17
%SystemRoot%\system32\mswsock.dll [MS], 06 - 08, 11 - 16
%SystemRoot%\system32\rsvpsp.dll [MS], 09 - 10


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: SAFESITE_VALUE="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2ffr%2f%3f"

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
Kerio Personal Firewall 4, KPF4, ""C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe"" ["Kerio Technologies"]
Machine Debug Manager, MDM, ""C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\system32\MsPMSPSv.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 40 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 20 seconds.
---------- (total run time: 101 seconds)


voilà pour les rapports, je croise les doigts pour qu'il n'y ait rien de "casse-pied".
Voilà, merci encore et à bientôt
0
Réponse 12 / 18
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 320
28 juil. 2006 à 11:51
Re,

Supprime ceci:

C:\WINDOWS\SYSTEM32\CSRAS.EXE
C:\WINDOWS\SYSTEM32\DMGMZ.EXE

Et je voudrais vérifier une chose:

Télécharge Blacklight (de F-Secure) a l’une des 2 adresses :
https://www.f-secure.com/en
https://www.f-secure.com/en

et sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse

a+
0
Réponse 13 / 18
gabouga
28 juil. 2006 à 13:10
Re,

voila le rapport de blacklight :

07/28/06 12:03:32 [Info]: BlackLight Engine 1.0.42 initialized
07/28/06 12:03:32 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/28/06 12:03:32 [Note]: 7019 4
07/28/06 12:03:32 [Note]: 7005 0
07/28/06 12:03:39 [Note]: 7006 0
07/28/06 12:03:39 [Note]: 7011 1312
07/28/06 12:03:39 [Note]: 7026 0
07/28/06 12:03:39 [Note]: 7026 0
07/28/06 12:03:44 [Note]: FSRAW library version 1.7.1019
07/28/06 13:08:09 [Note]: 7007 0

++
0
Réponse 14 / 18
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 320
28 juil. 2006 à 19:17
Ok !

Ou en sont tes soucis?

a+
0
Réponse 15 / 18
gabouga
1 août 2006 à 15:49
bonjour ^^

Voilà, je suis rentré ^^

Bon, après un rapide coup d'oeil sur mon PC,n il semble qu'il n'y ait plus de pb et qu'il fonctionne correctement ^^
plus de pop-up, plus de malware en tout genre. J'ai mis un mot de passe sur mon PC pour que personne ne puisse ouvrir de cession sans ma présence et tout refonctionne :D ^^

Voilà ^^

Merci encore Regis59 pour ton aide ainsi qu'à tout ceux qui m'ont conseillé auparavant ^^ .
Heureusement que vous êtes là pour aider les novices comme moi ^^
Au fait, est-ce qu'il existe un livre sur Windows qui explique bien concretement ce SGBD ? car j'avoue me sentir un peu bête quand je pense que j'utilise un outil dont je ne connais pas la "construction" si on peu dire .

En tout cas merci encore et qui sait, peut-être à une prochaine fois... autre part que sur le forum virus et securité de CCM lol
0
Réponse 16 / 18
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 320
1 août 2006 à 16:19
lol

Bonjour ^^

Plaisir de te voir ! Content pour tes problemes resolus

Qu est ce que SGBD?

Si tu veux apprendre un peu l informatique, n hesites pas a nous demander, on t orienteras vers sites ou forums

a+
0
Réponse 17 / 18
gabouga
1 août 2006 à 19:19
re,

en Fait un SGBD est un Systeme de Gestion de Base de Données. Bon, désolé, suis un peu out donc j'ai pas reflechi à ce que j'ai mis ^^

En fait oui, je serais assez interessé en conseil de forum/site pour mieux connaitre l'informatique. Connaitre comment marche windows, interne, mieux connaitre ce q'il y a sous le capot de mon ordi etc ...

En, fait j'ai quelque bribes de connaissance par ci par là; mais j'aimerais bien rationnaliser tout ça.

Merci d'avance pour les conseils :D

A peluche ^^
0
Réponse 18 / 18
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 320
3 août 2006 à 21:10
Salut

Tu as plusieurs solutions interressantes:
-soit tu consultes les "cours" donnés sur CCM.
-Soit tu nous rejoint sur le forum qui est dans mon profil mais qui est axé sur prevention/securisation/desinfection de PC.

a+
0

Discussions similaires

Comment supprimer tor.jack sur Android
sabinelouisonbruno -
akaloupile -

4 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses
Win64:Malware-gen
ptb35 -
MisteryBean -

3 réponses
Problème de malware
jbijp -
MisteryBean -

1 réponse
je n'arrive pas a supprimer un virus sur mon téléphone
nath340 -
christou -

26 réponses