Locationinformationservice.com
Résolu/Fermé
acclaude2
-
27 déc. 2007 à 07:52
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 - 22 juin 2008 à 19:42
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 - 22 juin 2008 à 19:42
47 réponses
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
27 déc. 2007 à 09:05
27 déc. 2007 à 09:05
Bienvenue sur la communauté CCM.
Pour commencer poste un log HJThis comme tu as fait l'an dernier.
- Télécharger HiJackThis sur ton bureau : http://www.commentcamarche.net/telecharger/telechargement 159 hijackthis
- Renommer le fichier HiJackThis.exe par exemple en Scanner.exe pour cela, faire un clic droit sur le fichier HiJackThis.exe et choisir renommer dans la liste
- Taper Scanner.exe et Appuyer sur la touche Entrée.
- Génère un rapport en suivant ces indications :
- Double-clic sur Scanner.exe
- Exécuter le et cliquer sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Coller le rapport dans un nouveau message
Aide : N'hésite pas à consulter l'aide HiJackThis -
a+ je te laisses avec les pro je vais me coucher,
Denis
Pour commencer poste un log HJThis comme tu as fait l'an dernier.
- Télécharger HiJackThis sur ton bureau : http://www.commentcamarche.net/telecharger/telechargement 159 hijackthis
- Renommer le fichier HiJackThis.exe par exemple en Scanner.exe pour cela, faire un clic droit sur le fichier HiJackThis.exe et choisir renommer dans la liste
- Taper Scanner.exe et Appuyer sur la touche Entrée.
- Génère un rapport en suivant ces indications :
- Double-clic sur Scanner.exe
- Exécuter le et cliquer sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Coller le rapport dans un nouveau message
Aide : N'hésite pas à consulter l'aide HiJackThis -
a+ je te laisses avec les pro je vais me coucher,
Denis
acclaude2
Messages postés
40
Date d'inscription
lundi 27 novembre 2006
Statut
Membre
Dernière intervention
17 août 2015
28 déc. 2007 à 03:55
28 déc. 2007 à 03:55
une précision, il s'agit en fait de "tiger.locationinformationservice.com" qui tente de se connecter.
Merci de ta prompte réponse,
Trouve ci-dessous le scan HiJackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:53:44, on 28/12/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Sony\Jog Dial Utility\JogServ2.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\taskbaricon.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\inetsrv\win.exe
C:\Program Files\PowerPanel\Program\PcfMgr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [JOGSERV2.EXE] C:\Program Files\Sony\Jog Dial Utility\JogServ2.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Win Critical File] C:\WINDOWS\System32\inetsrv\win.exe
O4 - HKLM\..\RunServices: [Win Critical File] C:\WINDOWS\System32\inetsrv\win.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Win Critical File] C:\WINDOWS\System32\inetsrv\win.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: PowerPanel.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.Sony-europe.com
O15 - Trusted Zone: *.Sonystyle-europe.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C14DBF3-387C-49B0-9F91-5AAC6621662D}: NameServer = 81.253.149.9 80.10.246.3
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
Merci de ta prompte réponse,
Trouve ci-dessous le scan HiJackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:53:44, on 28/12/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Sony\Jog Dial Utility\JogServ2.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\taskbaricon.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\inetsrv\win.exe
C:\Program Files\PowerPanel\Program\PcfMgr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [JOGSERV2.EXE] C:\Program Files\Sony\Jog Dial Utility\JogServ2.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Win Critical File] C:\WINDOWS\System32\inetsrv\win.exe
O4 - HKLM\..\RunServices: [Win Critical File] C:\WINDOWS\System32\inetsrv\win.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Win Critical File] C:\WINDOWS\System32\inetsrv\win.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: PowerPanel.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.Sony-europe.com
O15 - Trusted Zone: *.Sonystyle-europe.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C14DBF3-387C-49B0-9F91-5AAC6621662D}: NameServer = 81.253.149.9 80.10.246.3
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
28 déc. 2007 à 05:12
28 déc. 2007 à 05:12
salut acclaude2,
Bon visiblement je vais être obligé de tirer les oreilles.
Tu as un bon pare feu Sunblet (Kerio), mais pas d'anti virus c'est la chose la plus importante, pourquoi? es tu maso?
Pourtant tu as déjà eu un virus l'an dernier.
Je te conseilles Antivir de Avira:https://www.avira.com/
Le tutoriel pour Antivir ici :
http://forum.malekal.com/ftopic4192.php
Tu devrais également faire la mise à jour IE7 plus sure:
http://www.update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=en&&thankspage=5
Je te conseillerais surtout Firefox plus sure, rapide et plus souple que IE: http://www.mozilla-europe.org/fr/products/firefox/
Mais comme tu as déjà une infection on va passer par Navilog, si cela ne marche pas on essaiera Smitfraudfix.
Il y a sans doute une infection NaviPromo là dessous.
On va vérifier cela:
• Télécharge Navilog1 de Il_Mafioso depuis-ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
• Une fois l'installation terminée, fait un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis Exécuter en tant qu'administrateur .
• Au menu principal, Fait le choix 1
• Laisse toi guider et patiente jusqu'au message :
*** Analyse Termine le ..... ***
• Appuie sur une touche le bloc note va s'ouvrir.
Copie-colle l'intégralité du rapport dans ta prochaine réponse.
Referme le bloc note.
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.
Affiche les dossiers les fichiers cachés de XP : https://1map.com/fr/astwindscom
a+
Denis
Bon visiblement je vais être obligé de tirer les oreilles.
Tu as un bon pare feu Sunblet (Kerio), mais pas d'anti virus c'est la chose la plus importante, pourquoi? es tu maso?
Pourtant tu as déjà eu un virus l'an dernier.
Je te conseilles Antivir de Avira:https://www.avira.com/
Le tutoriel pour Antivir ici :
http://forum.malekal.com/ftopic4192.php
Tu devrais également faire la mise à jour IE7 plus sure:
http://www.update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=en&&thankspage=5
Je te conseillerais surtout Firefox plus sure, rapide et plus souple que IE: http://www.mozilla-europe.org/fr/products/firefox/
Mais comme tu as déjà une infection on va passer par Navilog, si cela ne marche pas on essaiera Smitfraudfix.
Il y a sans doute une infection NaviPromo là dessous.
On va vérifier cela:
• Télécharge Navilog1 de Il_Mafioso depuis-ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
• Une fois l'installation terminée, fait un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis Exécuter en tant qu'administrateur .
• Au menu principal, Fait le choix 1
• Laisse toi guider et patiente jusqu'au message :
*** Analyse Termine le ..... ***
• Appuie sur une touche le bloc note va s'ouvrir.
Copie-colle l'intégralité du rapport dans ta prochaine réponse.
Referme le bloc note.
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.
Affiche les dossiers les fichiers cachés de XP : https://1map.com/fr/astwindscom
a+
Denis
acclaude2
Messages postés
40
Date d'inscription
lundi 27 novembre 2006
Statut
Membre
Dernière intervention
17 août 2015
28 déc. 2007 à 08:49
28 déc. 2007 à 08:49
Hum, en effet, tu as raison, j'installerai un AV,
Merci pour ton aide,
voici le log Navilog :
Search Navipromo version 3.3.8 commencé le 28/12/2007 à 8:12:39,36
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2600.0000
Système de fichiers : NTFS
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
*** Recherche dossiers dans "C:\Documents and Settings\fnac\application data" ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans "C:\Documents and Settings\fnac\local settings\application data"
*
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans C:\WINDOWS\system32 :
* Dans "C:\Documents and Settings\fnac\local settings\application data" :
3)Recherche Certificats :
Certificat Egroup absent !
4)Recherche fichiers connus :
*** Analyse terminée le 28/12/2007 à 8:20:58,25 ***
Merci pour ton aide,
voici le log Navilog :
Search Navipromo version 3.3.8 commencé le 28/12/2007 à 8:12:39,36
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2600.0000
Système de fichiers : NTFS
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
*** Recherche dossiers dans "C:\Documents and Settings\fnac\application data" ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans "C:\Documents and Settings\fnac\local settings\application data"
*
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans C:\WINDOWS\system32 :
* Dans "C:\Documents and Settings\fnac\local settings\application data" :
3)Recherche Certificats :
Certificat Egroup absent !
4)Recherche fichiers connus :
*** Analyse terminée le 28/12/2007 à 8:20:58,25 ***
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
28 déc. 2007 à 18:12
28 déc. 2007 à 18:12
aaclaude2,
Rien pour Navilog, j'y vais à taton car rien n'indique l'origine de ton infection même avec le nom
locationinformationservice.com on reçoit des réponses en chinois russe ou italien pas facile mes courts d'italien sont loin ;-)
On va tester si tu as une infection Smitfraud.
Passes d'abord Spybot un anti spyware, pour le télécharger cliquer ici
Rechercher les mises à jour, cocher les MàJ , télécharger les MàJ, Vérifier tout, Purger les éléments sélectionner, puis ***Vacciner***
************************
Ensuite
Télécharger SmitfraudFix - S!Ri -> http://siri.urz.free.fr/Fix/SmitfraudFix.php
Dézipper la totalité de l'archive smitfraudfix.zip.
Option 1 - Recherche :
Double cliquer sur smitfraudfix.cmd
Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.
Poster le rapport dans ton prochain message.
a+
Denis
Rien pour Navilog, j'y vais à taton car rien n'indique l'origine de ton infection même avec le nom
locationinformationservice.com on reçoit des réponses en chinois russe ou italien pas facile mes courts d'italien sont loin ;-)
On va tester si tu as une infection Smitfraud.
Passes d'abord Spybot un anti spyware, pour le télécharger cliquer ici
Rechercher les mises à jour, cocher les MàJ , télécharger les MàJ, Vérifier tout, Purger les éléments sélectionner, puis ***Vacciner***
************************
Ensuite
Télécharger SmitfraudFix - S!Ri -> http://siri.urz.free.fr/Fix/SmitfraudFix.php
Dézipper la totalité de l'archive smitfraudfix.zip.
Option 1 - Recherche :
Double cliquer sur smitfraudfix.cmd
Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.
Poster le rapport dans ton prochain message.
a+
Denis
acclaude2
Messages postés
40
Date d'inscription
lundi 27 novembre 2006
Statut
Membre
Dernière intervention
17 août 2015
29 déc. 2007 à 06:19
29 déc. 2007 à 06:19
Merci de ton aide, et du temps que tu consacre à ce probleme,
trouve, plus bas, le rapport SmitfraudFix.
Entre-temps, j'ai installé et fais "tourner" l'anti-virus que tu m'as conseillé qui a trouvé des malware (mis en quarantaine)
en voici le log :
AntiVir PersonalEdition Classic
Report file date: vendredi 28 décembre 2007 09:15
Scanning for 994132 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (plain) [5.1.2600]
Username: SYSTEM
Computer name: NOM-WB2J4L619KO
Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 08:07:25
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 08:07:25
ANTIVIR2.VDF : 7.0.1.157 286720 Bytes 26/12/2007 08:07:26
ANTIVIR3.VDF : 7.0.1.166 23552 Bytes 28/12/2007 08:07:26
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 28/12/2007 08:07:29
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.2 360488 Bytes 28/12/2007 08:07:29
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21
Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: vendredi 28 décembre 2007 09:15
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '0' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'PcfMgr.exe' - '1' Module(s) have been scanned
Scan process 'win.exe' - '1' Module(s) have been scanned
Module is infected -> 'C:\WINDOWS\System32\inetsrv\win.exe'
Scan process 'ApntEx.exe' - '1' Module(s) have been scanned
Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned
Scan process 'msmsgs.exe' - '1' Module(s) have been scanned
Scan process 'avgas.exe' - '1' Module(s) have been scanned
Scan process 'qttask.exe' - '1' Module(s) have been scanned
Scan process 'TaskBarIcon.exe' - '1' Module(s) have been scanned
Scan process 'dragdiag.exe' - '1' Module(s) have been scanned
Scan process 'CnxMon.exe' - '1' Module(s) have been scanned
Scan process 'JogServ2.exe' - '1' Module(s) have been scanned
Scan process 'Apoint.exe' - '1' Module(s) have been scanned
Scan process 'igfxtray.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
Process 'win.exe' has been terminated
C:\WINDOWS\System32\inetsrv\win.exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[INFO] The file was moved to '47e2b17b.qua'!
33 processes with 32 modules were scanned
Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!
Starting to scan the registry.
The registry was scanned ( '25' files ).
Starting the file scan:
Begin scan in 'C:\' <VAIO>
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\fnac\Bureau\adlib ver.0.4.1r\users\Maryline-Beauplet-Dornic\cv[1].txt
[DETECTION] Contains detection pattern of the HTML script virus HTML/Infected.WebPage.Gen
[INFO] The file was moved to '47cfb366.qua'!
C:\Documents and Settings\fnac\Bureau\TRANSFERT\adlib ver.0.4.1r\users\Maryline-Beauplet-Dornic\cv[1].txt
[DETECTION] Contains detection pattern of the HTML script virus HTML/Infected.WebPage.Gen
[INFO] The file was moved to '47cfb508.qua'!
C:\System Volume Information\_restore{BA184C3A-FCE2-4A3A-9CD5-F549A08FB508}\RP879\A0143192.exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[INFO] The file was moved to '47a5ce95.qua'!
C:\System Volume Information\_restore{BA184C3A-FCE2-4A3A-9CD5-F549A08FB508}\RP885\A0143929.exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[INFO] The file was moved to '47a5cec6.qua'!
Begin scan in 'D:\' <VAIO>
End of the scan: vendredi 28 décembre 2007 12:03
Used time: 2:48:25 min
The scan has been done completely.
4761 Scanning directories
175437 Files were scanned
4 viruses and/or unwanted programs were found
2 Files were classified as suspicious:
0 files were deleted
0 files were repaired
5 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
175433 Files not concerned
9175 Archives were scanned
2 Warnings
7 Notes
-----------------------
Le rapport SmitfraudFix :
SmitFraudFix v2.274
Rapport fait à 6:15:21,67, 29/12/2007
Executé à partir de C:\Documents and Settings\fnac\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Sony\Jog Dial Utility\JogServ2.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\taskbaricon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\PowerPanel\Program\PcfMgr.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\fnac
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\fnac\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\fnac\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix.exe by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 80.10.246.130
DNS Server Search Order: 80.10.246.3
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4C14DBF3-387C-49B0-9F91-5AAC6621662D}: NameServer=80.10.246.130 80.10.246.3
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4C14DBF3-387C-49B0-9F91-5AAC6621662D}: NameServer=80.10.246.130 80.10.246.3
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
trouve, plus bas, le rapport SmitfraudFix.
Entre-temps, j'ai installé et fais "tourner" l'anti-virus que tu m'as conseillé qui a trouvé des malware (mis en quarantaine)
en voici le log :
AntiVir PersonalEdition Classic
Report file date: vendredi 28 décembre 2007 09:15
Scanning for 994132 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (plain) [5.1.2600]
Username: SYSTEM
Computer name: NOM-WB2J4L619KO
Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 08:07:25
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 08:07:25
ANTIVIR2.VDF : 7.0.1.157 286720 Bytes 26/12/2007 08:07:26
ANTIVIR3.VDF : 7.0.1.166 23552 Bytes 28/12/2007 08:07:26
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 28/12/2007 08:07:29
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.2 360488 Bytes 28/12/2007 08:07:29
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21
Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: vendredi 28 décembre 2007 09:15
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '0' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'PcfMgr.exe' - '1' Module(s) have been scanned
Scan process 'win.exe' - '1' Module(s) have been scanned
Module is infected -> 'C:\WINDOWS\System32\inetsrv\win.exe'
Scan process 'ApntEx.exe' - '1' Module(s) have been scanned
Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned
Scan process 'msmsgs.exe' - '1' Module(s) have been scanned
Scan process 'avgas.exe' - '1' Module(s) have been scanned
Scan process 'qttask.exe' - '1' Module(s) have been scanned
Scan process 'TaskBarIcon.exe' - '1' Module(s) have been scanned
Scan process 'dragdiag.exe' - '1' Module(s) have been scanned
Scan process 'CnxMon.exe' - '1' Module(s) have been scanned
Scan process 'JogServ2.exe' - '1' Module(s) have been scanned
Scan process 'Apoint.exe' - '1' Module(s) have been scanned
Scan process 'igfxtray.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
Process 'win.exe' has been terminated
C:\WINDOWS\System32\inetsrv\win.exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[INFO] The file was moved to '47e2b17b.qua'!
33 processes with 32 modules were scanned
Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!
Starting to scan the registry.
The registry was scanned ( '25' files ).
Starting the file scan:
Begin scan in 'C:\' <VAIO>
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\fnac\Bureau\adlib ver.0.4.1r\users\Maryline-Beauplet-Dornic\cv[1].txt
[DETECTION] Contains detection pattern of the HTML script virus HTML/Infected.WebPage.Gen
[INFO] The file was moved to '47cfb366.qua'!
C:\Documents and Settings\fnac\Bureau\TRANSFERT\adlib ver.0.4.1r\users\Maryline-Beauplet-Dornic\cv[1].txt
[DETECTION] Contains detection pattern of the HTML script virus HTML/Infected.WebPage.Gen
[INFO] The file was moved to '47cfb508.qua'!
C:\System Volume Information\_restore{BA184C3A-FCE2-4A3A-9CD5-F549A08FB508}\RP879\A0143192.exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[INFO] The file was moved to '47a5ce95.qua'!
C:\System Volume Information\_restore{BA184C3A-FCE2-4A3A-9CD5-F549A08FB508}\RP885\A0143929.exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[INFO] The file was moved to '47a5cec6.qua'!
Begin scan in 'D:\' <VAIO>
End of the scan: vendredi 28 décembre 2007 12:03
Used time: 2:48:25 min
The scan has been done completely.
4761 Scanning directories
175437 Files were scanned
4 viruses and/or unwanted programs were found
2 Files were classified as suspicious:
0 files were deleted
0 files were repaired
5 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
175433 Files not concerned
9175 Archives were scanned
2 Warnings
7 Notes
-----------------------
Le rapport SmitfraudFix :
SmitFraudFix v2.274
Rapport fait à 6:15:21,67, 29/12/2007
Executé à partir de C:\Documents and Settings\fnac\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Sony\Jog Dial Utility\JogServ2.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\taskbaricon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\PowerPanel\Program\PcfMgr.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\fnac
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\fnac\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\fnac\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix.exe by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 80.10.246.130
DNS Server Search Order: 80.10.246.3
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4C14DBF3-387C-49B0-9F91-5AAC6621662D}: NameServer=80.10.246.130 80.10.246.3
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4C14DBF3-387C-49B0-9F91-5AAC6621662D}: NameServer=80.10.246.130 80.10.246.3
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
29 déc. 2007 à 06:51
29 déc. 2007 à 06:51
aaclaude2,
Rien avec Smitfraud non plus.
Fermes toutes tes applications, redémarres Hijackthis, clic sur do a scan only, coches la ligne suivante et clic sur fix checked:
O4 - Startup: PowerReg Scheduler.exe
----------------------
Ensuite il faut rechercher et effacer le fichier PowerReg Scheduler.exe et le répertoire PowerReg.
-Affiche les dossiers les fichiers cachés de XP : https://1map.com/fr/astwindscom
Ensuite clic sur démarrer puis recherche et tape PowerReg.
Si tu ne peux pas les enlever, installes Unlocker
Unlocker permet de déverrouiller un fichier afin de le supprimer normalement !
https://www.01net.com/telecharger/windows/Utilitaire/manipulation_de_fichier/fiches/32585.html
Clic sur le bouton droit de la souris un menu va apparaitre tu clic sur unlock, ensuite tu pourras le supprimer.
-----------------------
Pour continuer le nettoyage.
Cleanzip de Malekal_Morte
* Télécharge clean zip de Malekal_Morte http://www.malekal.com/download/clean.zip
* Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
* Ouvre le dossier Clean qui se trouve sur ton bureau.
* Double-clique sur clean.cmd.
Une fenêtre noire va apparaître,
Choisis l'option 1 laisses le travailler.
A là fin clic sur une touche pour continuer… comme indiquer.
Puis poste le rapport qui se trouve ici C:\rapport_clean.txt et un autre rapport log Hijackthis également
a+
Rien avec Smitfraud non plus.
Fermes toutes tes applications, redémarres Hijackthis, clic sur do a scan only, coches la ligne suivante et clic sur fix checked:
O4 - Startup: PowerReg Scheduler.exe
----------------------
Ensuite il faut rechercher et effacer le fichier PowerReg Scheduler.exe et le répertoire PowerReg.
-Affiche les dossiers les fichiers cachés de XP : https://1map.com/fr/astwindscom
Ensuite clic sur démarrer puis recherche et tape PowerReg.
Si tu ne peux pas les enlever, installes Unlocker
Unlocker permet de déverrouiller un fichier afin de le supprimer normalement !
https://www.01net.com/telecharger/windows/Utilitaire/manipulation_de_fichier/fiches/32585.html
Clic sur le bouton droit de la souris un menu va apparaitre tu clic sur unlock, ensuite tu pourras le supprimer.
-----------------------
Pour continuer le nettoyage.
Cleanzip de Malekal_Morte
* Télécharge clean zip de Malekal_Morte http://www.malekal.com/download/clean.zip
* Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
* Ouvre le dossier Clean qui se trouve sur ton bureau.
* Double-clique sur clean.cmd.
Une fenêtre noire va apparaître,
Choisis l'option 1 laisses le travailler.
A là fin clic sur une touche pour continuer… comme indiquer.
Puis poste le rapport qui se trouve ici C:\rapport_clean.txt et un autre rapport log Hijackthis également
a+
Le sioux
Messages postés
4894
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
6 mars 2023
495
29 déc. 2007 à 07:53
29 déc. 2007 à 07:53
Bonjour
Pour avancer DenisCool
C:\WINDOWS\System32\inetsrv\win.exe
O4 - HKLM\..\Run: [Win Critical File] C:\WINDOWS\System32\inetsrv\win.exe
O4 - HKLM\..\RunServices: [Win Critical File] C:\WINDOWS\System32\inetsrv\win.exe
Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
(Note: tu n'auras pas accès à Internet à partir du moment ou te redémarreras en mode sans échec)
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection
1) Télécharge
* SDFix d' AndyManchesta
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. N y touche pas pour l instant.
2) Redémarre en mode sans échec
Regarde ici si besoin avant ici : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuie sur [Entrée]
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.
Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut.
3) SDFix
* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.
* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
· Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
4) Rapports :
Poste un nouveau rapport HijackThis et le rapport de SDFix en réponse.
@ plus
Pour avancer DenisCool
C:\WINDOWS\System32\inetsrv\win.exe
O4 - HKLM\..\Run: [Win Critical File] C:\WINDOWS\System32\inetsrv\win.exe
O4 - HKLM\..\RunServices: [Win Critical File] C:\WINDOWS\System32\inetsrv\win.exe
Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
(Note: tu n'auras pas accès à Internet à partir du moment ou te redémarreras en mode sans échec)
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection
1) Télécharge
* SDFix d' AndyManchesta
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. N y touche pas pour l instant.
2) Redémarre en mode sans échec
Regarde ici si besoin avant ici : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuie sur [Entrée]
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.
Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut.
3) SDFix
* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.
* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
· Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
4) Rapports :
Poste un nouveau rapport HijackThis et le rapport de SDFix en réponse.
@ plus
acclaude2
Messages postés
40
Date d'inscription
lundi 27 novembre 2006
Statut
Membre
Dernière intervention
17 août 2015
29 déc. 2007 à 08:07
29 déc. 2007 à 08:07
Bonjour Denis,
J'ai effectué le fix HijackThis demandé mais ne trouve pas les fichiers et/ou répertoires PowerReg (fichiers caché affichés)
mais seulement la sauvegarde HijackThis : backup-20071229-073336-531-PowerReg Scheduler.exe
voici néanmoins le rapport de Cleanzip :
29/12/2007 a 7:57:48,72
*** Recherche des fichiers dans C:
*** Recherche des fichiers dans C:\WINDOWS\
*** Recherche des fichiers dans C:\WINDOWS\system32
*** Recherche des fichiers dans C:\Program Files
et le fichier : resultat_clean.txt :
Veuillez svp envoyer le fichier C:\upload_moi_NOM-WB2J4L619KO.tar.gz a l'adresse http://upload.malekal.com
- dois-je envoyer le fichier en question?
J'ai effectué le fix HijackThis demandé mais ne trouve pas les fichiers et/ou répertoires PowerReg (fichiers caché affichés)
mais seulement la sauvegarde HijackThis : backup-20071229-073336-531-PowerReg Scheduler.exe
voici néanmoins le rapport de Cleanzip :
29/12/2007 a 7:57:48,72
*** Recherche des fichiers dans C:
*** Recherche des fichiers dans C:\WINDOWS\
*** Recherche des fichiers dans C:\WINDOWS\system32
*** Recherche des fichiers dans C:\Program Files
et le fichier : resultat_clean.txt :
Veuillez svp envoyer le fichier C:\upload_moi_NOM-WB2J4L619KO.tar.gz a l'adresse http://upload.malekal.com
- dois-je envoyer le fichier en question?
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
29 déc. 2007 à 08:14
29 déc. 2007 à 08:14
aacalude2,
Non il n'y a rien.
Suis la procédure Sdfix de Le Sioux au dessus.
a+
Non il n'y a rien.
Suis la procédure Sdfix de Le Sioux au dessus.
a+
acclaude2
Messages postés
40
Date d'inscription
lundi 27 novembre 2006
Statut
Membre
Dernière intervention
17 août 2015
29 déc. 2007 à 09:16
29 déc. 2007 à 09:16
voici les log demandés :
HijacThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:13:40, on 29/12/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\igfxtray.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Sony\Jog Dial Utility\JogServ2.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\taskbaricon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\PowerPanel\Program\PcfMgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [JOGSERV2.EXE] C:\Program Files\Sony\Jog Dial Utility\JogServ2.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: PowerPanel.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.Sony-europe.com
O15 - Trusted Zone: *.Sonystyle-europe.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C14DBF3-387C-49B0-9F91-5AAC6621662D}: NameServer = 81.253.149.9 80.10.246.132
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
HijacThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:13:40, on 29/12/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\igfxtray.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Sony\Jog Dial Utility\JogServ2.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\taskbaricon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\PowerPanel\Program\PcfMgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [JOGSERV2.EXE] C:\Program Files\Sony\Jog Dial Utility\JogServ2.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: PowerPanel.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.Sony-europe.com
O15 - Trusted Zone: *.Sonystyle-europe.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C14DBF3-387C-49B0-9F91-5AAC6621662D}: NameServer = 81.253.149.9 80.10.246.132
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
Le sioux
Messages postés
4894
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
6 mars 2023
495
29 déc. 2007 à 09:24
29 déc. 2007 à 09:24
Bonjour Claude
Bien joué.
Denis repassera ce soir ou en fin d'âpres midi. Pour l'avancer un ctit peu ;)
Quand est il du probleme initial ? y a t il un mieux ?
Salut
Bien joué.
Denis repassera ce soir ou en fin d'âpres midi. Pour l'avancer un ctit peu ;)
Quand est il du probleme initial ? y a t il un mieux ?
Salut
acclaude2
Messages postés
40
Date d'inscription
lundi 27 novembre 2006
Statut
Membre
Dernière intervention
17 août 2015
29 déc. 2007 à 09:31
29 déc. 2007 à 09:31
et bien, merci de ton aide à toi aussi :o)
le problem n'est plus manifeste depuis que j'ai donné dans la fenêtre des tentatives de connection un numéron d'appel bidon.
mais ce n'est sans doute qu'un mieux apparent.
par ailleur j'ai toujour l'alert au demerrage du PC qui dit en substence "plantage disk imminent, sauvegardez vos fichier"
& appuyez sur F1 pour continuer...
merci encore,
le problem n'est plus manifeste depuis que j'ai donné dans la fenêtre des tentatives de connection un numéron d'appel bidon.
mais ce n'est sans doute qu'un mieux apparent.
par ailleur j'ai toujour l'alert au demerrage du PC qui dit en substence "plantage disk imminent, sauvegardez vos fichier"
& appuyez sur F1 pour continuer...
merci encore,
Le sioux
Messages postés
4894
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
6 mars 2023
495
29 déc. 2007 à 09:39
29 déc. 2007 à 09:39
Re
Avec plaisir Claude, ce n'est pas encore gagné apparemment.
Denis continuera par la suite ;)
As tu fait ce qu'il t ' a demandé a propos de PowerReg Scheduler.exe poste 7 ?
Salut.
Avec plaisir Claude, ce n'est pas encore gagné apparemment.
Denis continuera par la suite ;)
As tu fait ce qu'il t ' a demandé a propos de PowerReg Scheduler.exe poste 7 ?
Salut.
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
29 déc. 2007 à 23:44
29 déc. 2007 à 23:44
aaclaude2,
Pour win.exe, Antivir l'avait déjà trouvé et supprimé.
Tu as fait la recherche pour PowerReg sans succès apparemment.
Si je ne me trompes pas.
La ligne de démarrage de ton parefeu Sunbelt Kerio est là mais le programme a disparu.
Résinstalles le, cela serait raisonnable.
Internet explorer n'est pas à jour il serait mieux de le faire car il est plus sure:
http://www.windowsupdate.com/windowsupdate/v6/default.aspx
Télécharge Combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse
Le Sioux nous aidera pour l'analyse ;-)
a+
Pour win.exe, Antivir l'avait déjà trouvé et supprimé.
Tu as fait la recherche pour PowerReg sans succès apparemment.
Si je ne me trompes pas.
La ligne de démarrage de ton parefeu Sunbelt Kerio est là mais le programme a disparu.
Résinstalles le, cela serait raisonnable.
Internet explorer n'est pas à jour il serait mieux de le faire car il est plus sure:
http://www.windowsupdate.com/windowsupdate/v6/default.aspx
Télécharge Combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse
Le Sioux nous aidera pour l'analyse ;-)
a+
acclaude2
Messages postés
40
Date d'inscription
lundi 27 novembre 2006
Statut
Membre
Dernière intervention
17 août 2015
31 déc. 2007 à 08:19
31 déc. 2007 à 08:19
Bonjour,
Excuse-moi, j'ai du m'absenter ce dimanche,
merci pour pour ton aide.
Voici le rapport ComboFix :
ComboFix 07-12-31.4 - fnac 2007-12-31 7:20:31.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.67 [GMT 1:00]
Running from: C:\Documents and Settings\fnac\Bureau\ComboFix.exe
* Created a new restore point
.
((((((((((((((((((((((((((((( Fichiers créés 2007-11-28 to 2007-12-31 ))))))))))))))))))))))))))))))))))))
.
2007-12-31 07:16 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-12-29 08:41 . 2007-12-29 08:41 <REP> d-------- C:\WINDOWS\ERUNT
2007-12-29 08:03 . 2007-12-29 08:03 <REP> d-------- C:\upload_moi_NOM-WB2J4L619KO
2007-12-29 07:58 . 2007-12-29 07:58 2,153,464 --a------ C:\upload_moi_NOM-WB2J4L619KO.tar.gz
2007-12-29 06:15 . 2007-12-29 06:15 2,050 --a------ C:\WINDOWS\system32\tmp.reg
2007-12-28 08:51 . 2007-12-28 08:51 <REP> d-------- C:\Program Files\Avira
2007-12-28 08:51 . 2007-12-28 08:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-12-28 08:11 . 2007-12-28 08:24 <REP> d-------- C:\Program Files\Navilog1
2007-12-28 01:48 . 2007-12-28 01:48 <REP> d-------- C:\Program Files\Trend Micro
2007-12-27 08:28 . 2007-12-27 08:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-21 08:53 . 2006-09-05 17:03 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-18 17:29 . 2007-12-18 17:29 <REP> d--hs---- C:\found.000
2007-12-17 23:04 . 2007-12-29 08:37 835 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2007-11-21 01:11 . 2007-12-27 08:17 <REP> d-------- C:\Program Files\Audacity
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-28 01:53 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-28 01:53 --------- d-----w C:\Program Files\Sony
2007-12-28 01:51 --------- d-----w C:\Program Files\QuickTime
2007-12-27 07:28 --------- d-----w C:\Program Files\InterActual
2007-12-27 07:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-27 07:16 --------- d-----w C:\Program Files\Fichiers communs\Sony Shared
2007-12-27 07:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2005-10-17 13:24 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 06:14 1077277]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2001-08-08 08:25 143360]
"JOGSERV2.EXE"="C:\Program Files\Sony\Jog Dial Utility\JogServ2.exe" [2002-02-25 21:41 1462272]
"WooCnxMon"="C:\PROGRA~1\Wanadoo\CnxMon.exe" [2002-02-20 11:49 20480]
"SpeedTouch USB Diagnostics"="C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" [2001-12-05 07:07 4247552]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\watch.exe" [2002-02-20 11:49 20480]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\taskbaricon.exe" [2002-02-20 11:49 36864]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-12-21 08:55 6731312]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 11:00 13312]
"Win Critical File"="C:\WINDOWS\System32\inetsrv\win.exe" [ ]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
PowerPanel.lnk - C:\Program Files\PowerPanel\Program\PcfMgr.exe [2002-04-10 11:01:49]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"DisallowRun"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\disallowrun]
"Protected system files1"= avgupsvc.exe
"Protected system files2"= avgamsvr.exe
"Protected system files3"= avgcc.exe
"Protected system files4"= nod32kui.exe
"Protected system files5"= nod32krn.exe
"Protected system files6"= ccSetMgr.exe
"Protected system files7"= ccEvtMgr.exe
"Protected system files8"= DefWatch.exe
"Protected system files9"= SavRoam.exe
"Protected system files10"= Rtvscan.exe
"Protected system files11"= VPTray.exe
"Protected system files12"= ccApp.exe
"Protected system files13"= AluSchedulerSvc.exe
"Protected system files14"= nod32.exe
"Protected system files15"= nod32ra.exe
"Protected system files16"= UpdaterUI.exe
"Protected system files17"= tbmon.exe
"Protected system files18"= Mcshield.exe
"Protected system files19"= SHSTAT.exe
"Protected system files20"= ashMaiSv.exe
"Protected system files21"= ashServ.exe
"Protected system files22"= ashWebSv.exe
"Protected system files23"= aswUpdSv.exe
"Protected system files24"= AVGUARD.exe
"Protected system files25"= AVWUPSRV.exe
"Protected system files26"= avscan.exe
"Protected system files27"= guardgui.exe
"Protected system files28"= VxMon.exe
"Protected system files29"= AVGNT.exe
"Protected system files30"= avgemc.exe
"Protected system files31"= avp.exe
"Protected system files32"= avp.com
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Program Files\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NAV Agent]
C:\PROGRA~1\NORTON~2\navapw32.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NAV CfgWiz]
C:\PROGRA~1\NORTON~2\Cfgwiz.exe /R
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Apoint"=C:\Program Files\Apoint\Apoint.exe
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R0 va16w2;va16w2;C:\WINDOWS\System32\DRIVERS\va16w2.sys [2000-10-21 00:11]
R0 va32w2;va32w2;C:\WINDOWS\System32\DRIVERS\va32w2.sys [2001-06-21 00:09]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R1 fwdrv;Firewall Driver;C:\WINDOWS\System32\drivers\fwdrv.sys [2006-07-18 11:02]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\System32\drivers\khips.sys [2006-07-18 11:02]
R3 Ich;Ich;C:\WINDOWS\System32\DRIVERS\Ich.sys [2002-04-09 17:16]
R3 SPI;Périphérique de contrôle d'E/S programmable Sony;C:\WINDOWS\System32\DRIVERS\SonyPI.sys [2001-08-17 20:51]
R3 WDM_YAMAHAAC97;YAMAHA AC-XG Audio Device;C:\WINDOWS\System32\drivers\yacxgc.sys [2002-01-23 17:33]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18883bb0-b28b-11d9-8ce3-080046612bca}]
\shell\play\command - C:\Program Files\WinDVD\WinDVD.exe
*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2005-04-21 10:06:58 C:\WINDOWS\Tasks\Low Battery Alarm Program.job"
.
**************************************************************************
catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-31 07:27:31
Windows 5.1.2600 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-12-31 7:30:40
Excuse-moi, j'ai du m'absenter ce dimanche,
merci pour pour ton aide.
Voici le rapport ComboFix :
ComboFix 07-12-31.4 - fnac 2007-12-31 7:20:31.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.67 [GMT 1:00]
Running from: C:\Documents and Settings\fnac\Bureau\ComboFix.exe
* Created a new restore point
.
((((((((((((((((((((((((((((( Fichiers créés 2007-11-28 to 2007-12-31 ))))))))))))))))))))))))))))))))))))
.
2007-12-31 07:16 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-12-29 08:41 . 2007-12-29 08:41 <REP> d-------- C:\WINDOWS\ERUNT
2007-12-29 08:03 . 2007-12-29 08:03 <REP> d-------- C:\upload_moi_NOM-WB2J4L619KO
2007-12-29 07:58 . 2007-12-29 07:58 2,153,464 --a------ C:\upload_moi_NOM-WB2J4L619KO.tar.gz
2007-12-29 06:15 . 2007-12-29 06:15 2,050 --a------ C:\WINDOWS\system32\tmp.reg
2007-12-28 08:51 . 2007-12-28 08:51 <REP> d-------- C:\Program Files\Avira
2007-12-28 08:51 . 2007-12-28 08:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-12-28 08:11 . 2007-12-28 08:24 <REP> d-------- C:\Program Files\Navilog1
2007-12-28 01:48 . 2007-12-28 01:48 <REP> d-------- C:\Program Files\Trend Micro
2007-12-27 08:28 . 2007-12-27 08:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-21 08:53 . 2006-09-05 17:03 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-18 17:29 . 2007-12-18 17:29 <REP> d--hs---- C:\found.000
2007-12-17 23:04 . 2007-12-29 08:37 835 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2007-11-21 01:11 . 2007-12-27 08:17 <REP> d-------- C:\Program Files\Audacity
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-28 01:53 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-28 01:53 --------- d-----w C:\Program Files\Sony
2007-12-28 01:51 --------- d-----w C:\Program Files\QuickTime
2007-12-27 07:28 --------- d-----w C:\Program Files\InterActual
2007-12-27 07:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-27 07:16 --------- d-----w C:\Program Files\Fichiers communs\Sony Shared
2007-12-27 07:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2005-10-17 13:24 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 06:14 1077277]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2001-08-08 08:25 143360]
"JOGSERV2.EXE"="C:\Program Files\Sony\Jog Dial Utility\JogServ2.exe" [2002-02-25 21:41 1462272]
"WooCnxMon"="C:\PROGRA~1\Wanadoo\CnxMon.exe" [2002-02-20 11:49 20480]
"SpeedTouch USB Diagnostics"="C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" [2001-12-05 07:07 4247552]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\watch.exe" [2002-02-20 11:49 20480]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\taskbaricon.exe" [2002-02-20 11:49 36864]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-12-21 08:55 6731312]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 11:00 13312]
"Win Critical File"="C:\WINDOWS\System32\inetsrv\win.exe" [ ]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
PowerPanel.lnk - C:\Program Files\PowerPanel\Program\PcfMgr.exe [2002-04-10 11:01:49]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"DisallowRun"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\disallowrun]
"Protected system files1"= avgupsvc.exe
"Protected system files2"= avgamsvr.exe
"Protected system files3"= avgcc.exe
"Protected system files4"= nod32kui.exe
"Protected system files5"= nod32krn.exe
"Protected system files6"= ccSetMgr.exe
"Protected system files7"= ccEvtMgr.exe
"Protected system files8"= DefWatch.exe
"Protected system files9"= SavRoam.exe
"Protected system files10"= Rtvscan.exe
"Protected system files11"= VPTray.exe
"Protected system files12"= ccApp.exe
"Protected system files13"= AluSchedulerSvc.exe
"Protected system files14"= nod32.exe
"Protected system files15"= nod32ra.exe
"Protected system files16"= UpdaterUI.exe
"Protected system files17"= tbmon.exe
"Protected system files18"= Mcshield.exe
"Protected system files19"= SHSTAT.exe
"Protected system files20"= ashMaiSv.exe
"Protected system files21"= ashServ.exe
"Protected system files22"= ashWebSv.exe
"Protected system files23"= aswUpdSv.exe
"Protected system files24"= AVGUARD.exe
"Protected system files25"= AVWUPSRV.exe
"Protected system files26"= avscan.exe
"Protected system files27"= guardgui.exe
"Protected system files28"= VxMon.exe
"Protected system files29"= AVGNT.exe
"Protected system files30"= avgemc.exe
"Protected system files31"= avp.exe
"Protected system files32"= avp.com
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Program Files\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NAV Agent]
C:\PROGRA~1\NORTON~2\navapw32.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NAV CfgWiz]
C:\PROGRA~1\NORTON~2\Cfgwiz.exe /R
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Apoint"=C:\Program Files\Apoint\Apoint.exe
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R0 va16w2;va16w2;C:\WINDOWS\System32\DRIVERS\va16w2.sys [2000-10-21 00:11]
R0 va32w2;va32w2;C:\WINDOWS\System32\DRIVERS\va32w2.sys [2001-06-21 00:09]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R1 fwdrv;Firewall Driver;C:\WINDOWS\System32\drivers\fwdrv.sys [2006-07-18 11:02]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\System32\drivers\khips.sys [2006-07-18 11:02]
R3 Ich;Ich;C:\WINDOWS\System32\DRIVERS\Ich.sys [2002-04-09 17:16]
R3 SPI;Périphérique de contrôle d'E/S programmable Sony;C:\WINDOWS\System32\DRIVERS\SonyPI.sys [2001-08-17 20:51]
R3 WDM_YAMAHAAC97;YAMAHA AC-XG Audio Device;C:\WINDOWS\System32\drivers\yacxgc.sys [2002-01-23 17:33]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18883bb0-b28b-11d9-8ce3-080046612bca}]
\shell\play\command - C:\Program Files\WinDVD\WinDVD.exe
*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2005-04-21 10:06:58 C:\WINDOWS\Tasks\Low Battery Alarm Program.job"
.
**************************************************************************
catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-31 07:27:31
Windows 5.1.2600 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-12-31 7:30:40
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
31 déc. 2007 à 17:31
31 déc. 2007 à 17:31
aaclaude2,
On va attendre Le Sioux car je suis encore novice avec Combofix je regardes un peu en attendant.
Bonne Année
Denis
On va attendre Le Sioux car je suis encore novice avec Combofix je regardes un peu en attendant.
Bonne Année
Denis
Le sioux
Messages postés
4894
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
6 mars 2023
495
2 janv. 2008 à 22:28
2 janv. 2008 à 22:28
Bonsoir tout le monde
Meilleurs voeux a vous 2.
Quelques éléments de registre a supprimer , vu dans rapport ComboFix
1) Creation de Fix.reg
Crée un nouveau document texte :
Clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :
REGEDIT 4
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Win Critical File"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"DisallowRun"=-
[-HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\disallowrun]
Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : Fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"
Note:
* Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers"
* Fait bien attention que REGEDIT 4 soit sur la toute 1ere ligne
2 ) Utilisation du Fix.reg
Double clique sur regfix.reg (que tu as créé sur ton bureau)
=> tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"
Salut.
Meilleurs voeux a vous 2.
Quelques éléments de registre a supprimer , vu dans rapport ComboFix
1) Creation de Fix.reg
Crée un nouveau document texte :
Clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :
REGEDIT 4
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Win Critical File"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"DisallowRun"=-
[-HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\disallowrun]
Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : Fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"
Note:
* Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers"
* Fait bien attention que REGEDIT 4 soit sur la toute 1ere ligne
2 ) Utilisation du Fix.reg
Double clique sur regfix.reg (que tu as créé sur ton bureau)
=> tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"
Salut.
Merci et BONNE ANNEE à vous !! :o)
une question, à la 5eme ligne et suivantes du Fix.reg, est-ce normal qu'il n'y ait plus de majuscules après HKEY_USER?
quoiqu'il en soit, j'effectue la manip. que dois-je faire après?
merci de consacrer du temps à ce probleme.
Claude
une question, à la 5eme ligne et suivantes du Fix.reg, est-ce normal qu'il n'y ait plus de majuscules après HKEY_USER?
quoiqu'il en soit, j'effectue la manip. que dois-je faire après?
merci de consacrer du temps à ce probleme.
Claude
Le sioux
Messages postés
4894
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
6 mars 2023
495
3 janv. 2008 à 03:59
3 janv. 2008 à 03:59
Re
une question, à la 5eme ligne et suivantes du Fix.reg, est-ce normal qu'il n'y ait plus de majuscules après HKEY_USER?
--> Yes, c est normal ;)
que dois-je faire après?
--> Poste un nouveau rapport Hijackthis.
Remarques :
* SDFix nous a cité une pochette sur ton Bureau qui possède des éléments suspect la pochette TRANSFERT
* Je ne vois pas Antivir sur le démarrage dans ton dernier rapport HijackThis, est il actif dans la barre des taches en bas a droite ? --> parapluie rouge ouvert ?
@ +
une question, à la 5eme ligne et suivantes du Fix.reg, est-ce normal qu'il n'y ait plus de majuscules après HKEY_USER?
--> Yes, c est normal ;)
que dois-je faire après?
--> Poste un nouveau rapport Hijackthis.
Remarques :
* SDFix nous a cité une pochette sur ton Bureau qui possède des éléments suspect la pochette TRANSFERT
* Je ne vois pas Antivir sur le démarrage dans ton dernier rapport HijackThis, est il actif dans la barre des taches en bas a droite ? --> parapluie rouge ouvert ?
@ +