Sujet Précédent Sujet Suivant

Virus Spyware, Adware, Backdoor, Trojan,Rogue

Résolu/Fermé
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008 - 14 avril 2008 à 23:15
 jboy - 19 mai 2011 à 13:17
Bonjour,

Mon frère étais sur l'ordinateur quand tout à coup le font d'écrant est devenu rouge avec marqué YOUR PRIVACY IS IN DANGER!

Maintenant plein de Message s'afiche toute les 2 minutes, il paraiterai qu'on à environ 260 virus, des : Spywares, Adware, Backdoor, Trojan, Rogue.

Parfois 1 message s'affiche avec marqué : Trojan.Win 32.Agent.brk Trojan Critical

Spy.HTML.Paylap.b Spyware High

Worm.Win 32.NetSky Spyware High

Worm.Win 32.NetBooster Spyware Médium

En bas à droite de l'écrant clignote parfois 1 croix blanche entourée de rouge, et parfois il y a à coté de la croix 1 point dexclamation.

L'entivirus Norton lui est vert comme si il y avait aucun virus sur l'ordinateur.

Parfois 1 message s'affiche avec écrit Spyware Alert

Merci de bien vouloir m'aider.

PS: Je suis pas tres bon en informatique.
A voir également:

63 réponses

Réponse 1 / 63
invité
25 avril 2008 à 06:36
Clean Navipromo version 3.5.4 commencé le 25/04/2008 à 6:17:01,58

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "ali"

Mise à jour le 15.04.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS


Executé en mode sans échec


*** Aucun résultat Catchme ***


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\ali\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\Samsam\locals~1\applic~1" *



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\DOCUME~1\ALLUSE~1\APPLIC~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\ali\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\ali\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\ali\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1" ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\ali\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


* Dans "C:\Documents and Settings\ali\locals~1\applic~1" *

wmpoxuusvt.dat trouvé !
Copie wmpoxuusvt.dat réalisée avec succès !
wmpoxuusvt.dat supprimé !

wmpoxuusvt_nav.dat trouvé !
Copie wmpoxuusvt_nav.dat réalisée avec succès !
wmpoxuusvt_nav.dat supprimé !

wmpoxuusvt_navps.dat trouvé !
Copie wmpoxuusvt_navps.dat réalisée avec succès !
wmpoxuusvt_navps.dat supprimé !

wmpoxuusvt.exe trouvé !
Copie wmpoxuusvt.exe réalisée avec succès !
wmpoxuusvt.exe supprimé !

C:\WINDOWS\prefetch\wmpoxuusvt*.pf trouvé !
Copie C:\WINDOWS\prefetch\wmpoxuusvt*.pf réalisée avec succès !
C:\WINDOWS\prefetch\wmpoxuusvt*.pf supprimé !


* Dans "C:\DOCUME~1\Samsam\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 25/04/2008 à 6:17:52,08 ***
1
Utilisateur anonyme
25 avril 2008 à 15:18
salut

peux tu poster 1 hijack apres passage de navilog as tu du changement?

a+
0
virusmsn Messages postés 60 Date d'inscription samedi 19 janvier 2008 Statut Membre Dernière intervention 18 janvier 2011 > Utilisateur anonyme
25 avril 2008 à 17:57
Je n'ai pas de changement, mon père me dit qu'internet est peut-être lent à cause qu'on est en fin de mois et qu'on est arrivé à notre cota de téléchargement car il parait qu'on a 1 certain nombre de giga de téléchargement pour le mois.

A tu trouvé quelleque chose de spécial dans le hijack ?
0
Réponse 2 / 63
Utilisateur anonyme
14 avril 2008 à 23:20
salut



Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.


Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.



bises
0
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
14 avril 2008 à 23:38
Merci FunnyGirl pour ton lien.

Voici le rapport :

SmitFraudFix v2.314

Rapport fait à 23:33:15,31, lun. 14/04/2008
Executé à partir de C:\Documents and Settings\Mic\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Documents and Settings\All Users\Application Data\wryvozst\kfcrkzaz.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Belgacom\bin\sprtcmd.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\mjwhynyl.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\privacy_danger PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mic


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mic\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Mic\Favoris

C:\DOCUME~1\Mic\Favoris\Error Cleaner.url PRESENT !
C:\DOCUME~1\Mic\Favoris\Privacy Protector.url PRESENT !
C:\DOCUME~1\Mic\Favoris\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

C:\DOCUME~1\Mic\Bureau\Error Cleaner.url PRESENT !
C:\DOCUME~1\Mic\Bureau\Privacy Protector.url PRESENT !
C:\DOCUME~1\Mic\Bureau\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: nslbvxpgbft.dll
BHO: DVA Storm - {9A17BFB4-E5BE-4EE1-8ADF-01424F567754}
TypeLib: {64EE4E03-A009-4BC6-B289-7B18C049BA75}
Interface: {3D2D401C-87AC-42B1-BDD6-3922C35A4DF1}
Interface: {97A248B2-4940-48DC-AC22-99F24749315B}

[!] Suspicious: sgoblxtm.dll
Toolbar: sgoblxtm - {1F8A048D-9A0B-4565-A3D0-2A2E6B44592A}
TypeLib: {7ABB2F2F-8108-4813-BDEC-4C82B0D16992}
Interface: {21C2F302-AE38-4CA6-B979-FFD157CBC4DB}
Classe: sgoblxtm.bsrf
Classe: sgoblxtm.ToolBar.1

[!] Suspicious: dsktbwfe.dll
SSODL: dsktbwfe - {86DD5757-AB1D-4195-898C-ACD20530ACC2}

[!] Suspicious: ogxtsepr.dll
SSODL: ogxtsepr - {CAC7FED3-DF87-4324-B459-1C03F728541C}


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F6D78CB9-B663-437A-9D9B-4136158933F9}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F6D78CB9-B663-437A-9D9B-4136158933F9}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F6D78CB9-B663-437A-9D9B-4136158933F9}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Utilisateur anonyme > Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
14 avril 2008 à 23:45
re

de rien , on a pas fini ^^

Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

bises
0
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008 > Utilisateur anonyme
15 avril 2008 à 00:25
Re

J'ai fait tout se que vous m'aviez dit, appart peut-être sauvegarder le rapport, j'ai fait copier puis j'ai éteind et ralummé l'ordinateur en mode normal, mais quand je vais pour collé le rapport il y a rien car je sais rien collé.
0
Utilisateur anonyme > Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
15 avril 2008 à 00:32
pour coller , tu va sur le fichier voulu et la clic droit choisi copier et op tu revient ici et en réponse tu fais clic droit et coller
0
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008 > Utilisateur anonyme
15 avril 2008 à 00:37
C'est se que j'ai fait, mais je sais peut-être rien collé sur le forum à cause que j'ai éteind l'ordinateur par appres pour le redémarrer en mode normal...
0
Réponse 3 / 63
Utilisateur anonyme
15 avril 2008 à 21:41
re

relance hitjack et clic sur do a scan only et coche ceci déjà stp:
-C:\Documents and Settings\All Users\Application Data\wryvozst\kfcrkzaz.exe
-C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
-C:\WINDOWS\system32\mjwhynyl.exe
-O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
-O4 - HKLM\..\Run: [f07e109c] rundll32.exe "C:\WINDOWS\system32\iodahljx.dll",b
-O4 - HKCU\..\Run: [cpcrbrix] C:\WINDOWS\system32\mjwhynyl.exe
-O4 - HKCU\..\Run: [e©ùýùÆûïÒóÎÑøøÕøôÞÊýÛñûÍÞó] C:\Program Files\XP Antivirus\xpa.exe
-O4 - HKLM\..\Policies\Explorer\Run: [2UQXynUx0C] C:\Documents and Settings\All Users\Application Data\wryvozst\kfcrkzaz.exe.
-

clic sur fix
bises
0
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
15 avril 2008 à 22:03
Appres avoir coché se que tu mas demandé et cliqué sur Fix checked, je fait quoi ?
0
Utilisateur anonyme > Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
15 avril 2008 à 22:26
rends toi au post 9 pour ccleaner et malwarebytes
0
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008 > Utilisateur anonyme
15 avril 2008 à 22:55
J'ai téléchargé CCleaner, j'ai fait l'analyse puis j'ai lancer le nétoyage, maintenant je ne trouve pas l'icône Erreurs situés dans la marge à gauche.
0
Utilisateur anonyme > Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
15 avril 2008 à 23:20
clic sur le 2émé a gauche

lance analyse et là : corrige les erreurs! aussi il va te demander faire 1 sauvegarde tu met oui et ca va l'enregistrer
0
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008 > Utilisateur anonyme
15 avril 2008 à 23:30
J'ai cliqué sur "Chercher des erreurs" puis j'ai cliqué sur "Réparer les erreurs sélectionées" et il ma pas demandé pour sauvegarder...
0
Réponse 4 / 63
Utilisateur anonyme
16 avril 2008 à 00:01
ok

passe tout de meme malwarebytes dont le lien a été donné^^ lol cherche ....... je te l'ai donné!
0
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
16 avril 2008 à 01:23
Malwarebytes' Anti-Malware 1.11
Version de la base de données: 634

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 88328
Temps écoulé: 17 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 4
Clé(s) du Registre infectée(s): 14
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 21

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\efcCssRh.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\iodahljx.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\qoMEvwxv.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\byXPIbbY.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{68886d12-9e83-4dcf-9ee4-83b9329889cb} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{68886d12-9e83-4dcf-9ee4-83b9329889cb} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{c3e15dfe-d990-4c3f-9be2-4cf4e3e007ce} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3e15dfe-d990-4c3f-9be2-4cf4e3e007ce} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qomevwxv (Trojan.Vundo) -> Delete on reboot.
HKEY_CURRENT_USER\Software\mwc (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\aldd (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\f07e109c (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{c3e15dfe-d990-4c3f-9be2-4cf4e3e007ce} (Trojan.Vundo) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\efccssrh -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\efccssrh -> Delete on reboot.

Dossier(s) infecté(s):
C:\Program Files\Fichiers communs\Carlson (Dialer) -> Quarantined and deleted successfully.
C:\Program Files\PC-Cleaner (Rogue.PC-Cleaner) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\efcCssRh.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\hRssCcfe.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hRssCcfe.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\eujllugw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wgulljue.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iodahljx.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\xjlhadoi.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qoMEvwxv.dll (Trojan.Vundo) -> Delete on reboot.
C:\Documents and Settings\All Users\Application Data\wryvozst\kfcrkzaz.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{691AB287-9557-4C55-A803-8B7C57BED47C}\RP103\A0032801.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mjwhynyl.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\LOSTFILE\DIR182\system32\format.com (Trojan.Clicker) -> Quarantined and deleted successfully.
D:\LOSTFILE\DIR182\system32\msvidc32.dll (Trojan.Clicker) -> Quarantined and deleted successfully.
D:\LOSTFILE\DIR182\system32\routemon.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Program Files\PC-Cleaner\PC-Cleaner.db (Rogue.PC-Cleaner) -> Quarantined and deleted successfully.
C:\Program Files\PC-Cleaner\pccleaner.pkg (Rogue.PC-Cleaner) -> Quarantined and deleted successfully.
C:\Program Files\PC-Cleaner\program.info (Rogue.PC-Cleaner) -> Quarantined and deleted successfully.
C:\WINDOWS\rs.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\byXPIbbY.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\spnkfwad.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Menu Démarrer\carlton (Dialer) -> Quarantined and deleted successfully.
0
Utilisateur anonyme > Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
16 avril 2008 à 15:00
salut

du changement?

reposte un hijack stp
0
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008 > Utilisateur anonyme
16 avril 2008 à 15:05
Salut, ben le seul changement, c'est que pour le moment je n'ai plus rien qui s'affiche me disant que j'ai des virus.

Je te fais 1 Hijack This.
0
jboy
19 mai 2011 à 13:17
Problème(s) rencontré(s) par l'internaute
Fausses alertes de sécurité dans l'espoir de vous faire télécharger un faux antivirus qui n'est rien d'autre qu'une arnaque. En scannant votre machine, il vous fera croire que tous vos programmes sont infectés. Impossibilité d'exécuter le moindre programme y compris les outils de désinfection. L'achat du logiciel est proposé afin de nettoyer l'ordinateur => ne pas saisir vos coordonnées bancaires.
Qui est XP Security 2011?
XP Security 2011 fait partie de la famille des rogues

On peut reconnaître XP Security 2011 par des lignes logées dans %appdata% dans des rapports comme Hijackthis: (ps moi aussi j'ai sa fack va voir un informatitien pour qu,il te le répare
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 63
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
16 avril 2008 à 15:12
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:10:35, on 16/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Belgacom\bin\sprtcmd.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [EPSON Stylus D78 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\WINDOWS\TEMP\E_S1B4.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [basicsmssmenu] "C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Basics Service - Seagate Technology LLC - C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
0
Utilisateur anonyme
16 avril 2008 à 15:21
Télécharge « clean.zip »
http://www.malekal.com/download/clean.zip
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".

•- Redémarre en mode sans échec. ( note bien ce que tu as à faire ).
•- Ouvre le dossier « clean » qui se trouve sur ton bureau.
•- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, choisis l’option 2.

Clean va travailler.
•- Redémarre normalement
•- Poste qui se trouve ici C:\rapport_clean.txt.



(- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )
0
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008 > Utilisateur anonyme
16 avril 2008 à 16:24
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec mer. 16/04/2008 a 16:17:09,23

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\mcrh.tmp
tentative de suppression de C:\WINDOWS\system32\winsys.exe

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
0
Utilisateur anonyme > Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
16 avril 2008 à 17:21
re

relance le et choisi l'option 2 cette fois
0
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008 > Utilisateur anonyme
16 avril 2008 à 17:24
C'étais déja l'option 2 que tu m'avais demandé de faire...
0
Utilisateur anonyme > Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
16 avril 2008 à 17:37
recherche ces 2 dossiers stp:


- C:\WINDOWS\system32\mcrh.tmp
- C:\WINDOWS\system32\winsys.exe

dis moi si tu les trouve, et tente de les virer
0
Réponse 6 / 63
Utilisateur anonyme
16 avril 2008 à 17:43
manuellement

va dans démarrer > C: > windows > systeme 32 et cherche là!
0
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
16 avril 2008 à 18:13
Je n'ai malheureusement pas trouvé.

- C:\WINDOWS\system32\mcrh.tmp
- C:\WINDOWS\system32\winsys.exe

J'ai été dans Démarrer puis dans "Rechercher" ( ou il y a 1 loupe )

Puis j'ai été dans "Tous les fichiers et tous les dossiers"

Puis j'ai tappé :
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\winsys.exe
Mais aucun dossiers ou fichiers sur l'ordi ne s'apelle comme sa car il a rien trouvé.

Puis j'ai tappé :
C:\WINDOWS\system32\
Il y avais plein de dossiers et fichiers portant se nom la, il y avais marqué la suite et j'ai reguardé appres mcrh.tmp et winsys.exe mais je n'ai rien trouvé.

Jespère que c'étais bien la que tu voulais que j'ail pour rechercher.

Je vais manger, je revien vers 19h30

bis
0
Réponse 7 / 63
Utilisateur anonyme
16 avril 2008 à 19:37
zut le 2eme est pas cool , regarde :

https://www.processlibrary.com/fr/directory/a/1/
0
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
16 avril 2008 à 19:51
re

Et ou as tu vu que j'avais C:\WINDOWS\system32\winsys.exe sur mon ordinateur ?
0
Réponse 8 / 63
Utilisateur anonyme
16 avril 2008 à 20:06
au post 31 : tentative de suppression de C:\WINDOWS\system32\winsys.exe
0
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
16 avril 2008 à 20:12
A oui désolé je vien juste de le voire...

Et ques que je pourai faire ?

Depuis que mon frère à eu les virus sur sa session, je n'ai pas ausé aller sur la mienne, je voulais s'avoir si je pouvai aller sur ma session et aller sur internet ou si c'étais risqué.

Si mon frère à des virus sur sa session et que j'ouvre la mienne, je risque d'avoir des virus aussi sur ma session ?
0
Utilisateur anonyme > Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
16 avril 2008 à 20:21
Télécharge Killbox (Option^Explicit) http://www.downloads.subratam.org/KillBox.zip

(Tu trouveras une démo ici :
http://mickael.barroux.free.fr/securite/killbox.html et une autre là : http://perso.orange.fr/rginformatique/section%20virus/killbox.htm


- Clique sur KillBox Download Link pour le télécharger
-- Décompresse le sur le bureau
- Clique sur Démarrer exécuter tape notepad puis clique sur Ok
- Sélectionne le texte en citation et fais en un copier coller dans le blocnote (notepad)

Citation :

C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\winsys.exe


* Dans le bloc notes sur le menu en haut clique sur Edition >>> Sélectionner tout puis Edition >>> Copier
* Ouvre Killbox
-- Coche la case [X] "Delete on next reboot"
-- Clique sur le menu File puis sur Paste from Clipboard

* Clique sur la croix blanche sur fond rouge
-- au message "All listed files will be deleted on next reboot" clique sur OUI
-- Au message "Files will be removed on next reboot, Do you want to reboot now ?" clique sur OUI
-- Redémarre ton ordinateur s'il ne le fait pas automatiquement

* Aprés son redémarrage supprime le dossier C:\!Killbox
0
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008 > Utilisateur anonyme
16 avril 2008 à 21:07
J'ai fait tout se qui étais demandé, et appres avoir cliqué sur la croix blanche entourée de rouge il est écrit :
File Error
! You have not Specified any File to Delete, You must Specify a File Path in the Yellow Box
0
Utilisateur anonyme > Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
16 avril 2008 à 21:20
ok !! tant mieux!!!

relance navilog option 1 stp
0
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008 > Utilisateur anonyme
16 avril 2008 à 21:31
Sa veut dire quoi ? Car je ne connais pas l'Anglais.

Navilog, je crois pas que j'ai sa, tu pourais me donner le lien ?
0
Réponse 9 / 63
Utilisateur anonyme
16 avril 2008 à 22:01
ah mais il m'aura fais **** vundo !

Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil
à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera dans c:\infosat.txt

Si, dans le rapport, tu vois un texte semblable à celui-ci

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;

envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).

L'outil a rencontré un fichier qu'il reconnait mais ne sait pas encore éradiquer. Dans 24 heures environ, sur le site, la version de déchargement (v10.24 dans l'exemple) aura changé par rapport à celle actuelle. Tu retéléchargeras l'outil, tu le relanceras et tu posteras le rapport.


jme zen ^^
0
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
16 avril 2008 à 22:28
Wed Apr 16 22:09:40 2008
EliBagle v11.27 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Wed Apr 16 22:10:35 2008
EliBagle v11.27 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 4882
Nº Total de Ficheros: 50274
Nº de Ficheros Analizados: 8301
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Wed Apr 16 22:18:16 2008
EliBagle v11.27 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Wed Apr 16 22:18:21 2008
EliBagle v11.27 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 4882
Nº Total de Ficheros: 50287
Nº de Ficheros Analizados: 8301
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
0
Utilisateur anonyme > Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
16 avril 2008 à 23:39
re

sous de bon conseil fait ceci:


scan avec vundofix (colle le rapport)

Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4

Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.

Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.

___________________


Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
___________________



télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :


C:\WINDOWS\system32\hRssCcfe.ini2


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

________

puis recoller un hijackthis en le renommant

bises
0
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008 > Utilisateur anonyme
16 avril 2008 à 23:55
J'ai fait aller vundo, il y a rien d'infecté d'appres lui.

Je passe au suivant.
0
Utilisateur anonyme > Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
16 avril 2008 à 23:57
ok!
0
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008 > Utilisateur anonyme
17 avril 2008 à 00:09
Je n'ai pas trop compris comment faire pour changer Combofix en un autre nom avant de le télécharger.
0
Réponse 10 / 63
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
16 avril 2008 à 23:57
Voici le rapport Vundo :

VundoFix V7.0.3

Scan started at 23:45:09 16/04/2008

Listing files found while scanning....

No infected files were found.


VundoFix V7.0.3

Scan started at 23:49:57 16/04/2008

Listing files found while scanning....

No infected files were found.
0
Réponse 11 / 63
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
17 avril 2008 à 00:18
Voici le rapport de OTMoveIT :

C:\WINDOWS\system32\hRssCcfe.ini2 moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04172008_001249
0
Utilisateur anonyme
17 avril 2008 à 00:22
super ^^

maintenant désinstalle hijack et réinstalle le en l'apellant abcde par exemple

puis poste le rapport du scan

bises
0
Réponse 12 / 63
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
17 avril 2008 à 00:34
Rapport hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:32:44, on 17/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Belgacom\bin\sprtcmd.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\abcde\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [EPSON Stylus D78 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\WINDOWS\TEMP\E_S1B4.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [basicsmssmenu] "C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Basics Service - Seagate Technology LLC - C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
0
Réponse 13 / 63
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
17 avril 2008 à 16:57
Rapport OTMoveIt :

File/Folder C:\WINDOWS\system32\mcrh.tmp not found.
File/Folder C:\WINDOWS\system32\winsys.exe not found.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04172008_164757
0
Réponse 14 / 63
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
17 avril 2008 à 17:02
Rapport Virtumondebegone :

[04/17/2008, 17:01:03] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Mic\Local Settings\Temporary Internet Files\Content.IE5\4HYZWT2B\VirtumundoBeGone[1].exe" )
[04/17/2008, 17:01:13] - Detected System Information:
[04/17/2008, 17:01:13] - Windows Version: 5.1.2600, Service Pack 2
[04/17/2008, 17:01:13] - Current Username: Mic (Admin)
[04/17/2008, 17:01:13] - Windows is in NORMAL mode.
[04/17/2008, 17:01:13] - Searching for Browser Helper Objects:
[04/17/2008, 17:01:13] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/17/2008, 17:01:13] - BHO 2: {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} (SWEETIE Class)
[04/17/2008, 17:01:13] - BHO 3: {1E8A6170-7264-4D0F-BEAE-D42A53123C75} ()
[04/17/2008, 17:01:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/17/2008, 17:01:13] - Checking for HKLM\...\Winlogon\Notify\NppBho
[04/17/2008, 17:01:13] - Key not found: HKLM\...\Winlogon\Notify\NppBho, continuing.
[04/17/2008, 17:01:13] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[04/17/2008, 17:01:13] - BHO 5: {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} (EpsonToolBandKicker Class)
[04/17/2008, 17:01:13] - Finished Searching Browser Helper Objects
[04/17/2008, 17:01:13] - Finishing up...
[04/17/2008, 17:01:13] - Nothing found! Exiting...
0
Réponse 15 / 63
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
17 avril 2008 à 17:11
Rapport Combo Scan :

Deckard's System Scanner v20071014.68
Run by Mic on 2008-04-17 17:05:38
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
22: 2008-04-17 15:05:40 UTC - RP107 - Deckard's System Scanner Restore Point
21: 2008-04-16 21:21:55 UTC - RP106 - Point de vérification système
20: 2008-04-15 18:09:32 UTC - RP105 - Last known good configuration
19: 2008-04-15 18:09:21 UTC - RP104 - Installé Ad-Aware 2007
18: 2008-04-15 18:09:20 UTC - RP103 - Opération de restauration


-- First Restore Point --
1: 2008-04-15 18:09:17 UTC - RP86 - Point de vérification système


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as Mic.exe) -------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:06:06, on 17/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Belgacom\bin\sprtcmd.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Documents and Settings\Mic\Local Settings\Temporary Internet Files\Content.IE5\CL6B05QF\dss[1].exe
C:\PROGRA~1\TRENDM~1\abcde\Mic.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [EPSON Stylus D78 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\WINDOWS\TEMP\E_S1B4.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [basicsmssmenu] "C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Basics Service - Seagate Technology LLC - C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
0
Réponse 16 / 63
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
17 avril 2008 à 17:15
En recevant le Rapport ComboScan j'ai eu aussi 1 autre bloc note qui sais ouvert avec écrit :

Event Description:
The Messenger Sharing USN Journal Reader service started successfully.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type23109 / Error
Event Submitted/Written: 04/16/2008 07:34:55 PM
Event ID/Source: 7023 / Service Control Manager
Event Description:
Le service Explorateur d'ordinateur s'est arrêté avec l'erreur :
%%1460

Event Record #/Type23086 / Error
Event Submitted/Written: 04/16/2008 07:29:24 PM / 04/16/2008 07:29:48 PM
Event ID/Source: 1 / sr
Event Description:
Le filtre de restauration du système à rencontré l'erreur inattendue '0xC0000243' pendant le traitement du fichier 'SrtETmp' sur le volume 'HarddiskVolume1'. Ceci a entraîné l'arrêt de la surveillance du volume.

Event Record #/Type23071 / Error
Event Submitted/Written: 04/16/2008 04:25:55 PM
Event ID/Source: 7023 / Service Control Manager
Event Description:
Le service Explorateur d'ordinateur s'est arrêté avec l'erreur :
%%1460

Event Record #/Type23049 / Error
Event Submitted/Written: 04/16/2008 04:22:20 PM
Event ID/Source: 7022 / Service Control Manager
Event Description:
Le service ForceWare Intelligent Application Manager (IAM) est en attente de démarrage.

Event Record #/Type23042 / Error
Event Submitted/Written: 04/16/2008 04:20:00 PM
Event ID/Source: 10005 / DCOM
Event Description:
DCOM a reçu l'erreur "%%1084" lors de la mise en route du service EventSystem avec les arguments ""
pour démarrer le serveur :
{1BE1F766-5536-11D1-B726-00C04FB926AF}



-- End of Deckard's System Scanner: finished at 2008-04-17 17:06:59 ------------
0
Réponse 17 / 63
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
17 avril 2008 à 17:52
Appres avoir mis Internet Explorer à jour, l'ordi sais éteind et rallumé (normal) et puis j'ai eu des questions aux quelle je savais pas quoi répondre.

Question 1 :
Norton Internet Security n'est pas actuellement votre filtre antiphishing par défaut, voulez-vous le définir comme filtre antiphishing par défaut ?

oui/non


Question 2 :
Activer le filtre anti-hameçonnage automatique (recommandé)
Désactiver le filtre anti-hameçonnage automatique

Je dois coché l'un ou l'autre et vu que je s'avais pas j'ai mis : Le redemander ultérieurement.
0
Réponse 18 / 63
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
17 avril 2008 à 18:20
Je reçois comme message de Norton :

Le Pare-feu Windows a été activé. Symantec recommande d'utilisé le par-feu Norton Internet Security pour bénéficier d'une protection optimale.

Voulez-vous utiliser le pare-feu Norton Internet Security à la place du Pare-feu Windows ?

oui/non

Je dois répondre quoi ?
0
Réponse 19 / 63
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
17 avril 2008 à 20:28
Je n'ai pas réussi à faire 1 scan bitdefender en ligne.

Et pour Panda, j'ai du donner mon adresse mail, je sais pas si je recevrai le rapport par mail...
0
Utilisateur anonyme
17 avril 2008 à 20:56
re

tu le paie norton?
0
Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008 > Utilisateur anonyme
17 avril 2008 à 21:04
Mon père à acheter 1 Norton assez cher pour 1 an , l'entivirus est bon jusque aout 2008.
0
Utilisateur anonyme > Michael07 Messages postés 77 Date d'inscription lundi 14 avril 2008 Statut Membre Dernière intervention 22 avril 2008
17 avril 2008 à 21:06
ok!!! c'était pour savoir
0
Réponse 20 / 63
Utilisateur anonyme
17 avril 2008 à 21:57
1/ relance otmoveit et met ces deux lignes en citation

double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,

citation :
C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll

et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
[quote]liste chemin des fichiers/et ou dossiers à supprimer
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.



2/rends toi sur virustotal et ici :

https://www.virustotal.com/gui/

clic sur parcourir et analyse 1 par 1 ces fichiers, clic sur envoyer fichier , patiente et poste le rapport donné de chacun stp
C:\WINDOWS\system32\iodahljx.dll
C:\WINDOWS\system32\byXPIbbY.dll
C:\WINDOWS\system32\efcCssRh.dll
C:\Documents and Settings\All Users\Application Data\wryvozst
C:\WINDOWS\system32\qoMEvwxv.dll


pour les questions : METTRE OUI A TOUT!!!!


Question 1 :
Norton Internet Security n'est pas actuellement votre filtre antiphishing par défaut, voulez-vous le définir comme filtre antiphishing par défaut ?

oui/non


Question 2 :
Activer le filtre anti-hameçonnage automatique (recommandé)
Désactiver le filtre anti-hameçonnage automatique


Le Pare-feu Windows a été activé. Symantec recommande d'utilisé le par-feu Norton Internet Security pour bénéficier d'une protection optimale.

Voulez-vous utiliser le pare-feu Norton Internet Security à la place du Pare-feu Windows ?

oui/non

bises
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Trojan alerte
Titou43 -
gen-hackman -

23 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Windows defender: avertissement de sécurité
surfinia -
Tchoumi -

20 réponses
PC infecté par virus, trojan, spyware...
warningvirus -
moment de grace -

5 réponses