Sujet Précédent Sujet Suivant

Warning message

Résolu/Fermé
pcmace Messages postés 8 Date d'inscription samedi 30 août 2008 Statut Membre Dernière intervention 1 septembre 2008 - 30 août 2008 à 23:27
 pcmace - 12 sept. 2008 à 11:59
Bonjour,

J'obtiens depuis aujourd'hui (30.08.2008) en fond d'écran à chaque redémarrage avec un fond tout bleu (ou blanc) et un encadré où est inscrit:

Warning! Spyware dectected on your computer! Install an antivirus or spyware remover to clean your computer.

Pourriez vous m'aider à l'éliminer. merci par avance pour vote aide et votre compétence.

Configuration: Windows XP

41 réponses

Réponse 1 / 41
2406 Messages postés 196 Date d'inscription dimanche 25 novembre 2007 Statut Membre Dernière intervention 4 septembre 2016 7
30 août 2008 à 23:31
Salut !

Surtout ne télécharge pas ce qu'ils te demandent de télécharger !

J'ai eu le même virus, il est extrêmement redoutable !

Est-ce que tu as ces écrans ? :

http://img152.imageshack.us/img152/5826/fondviruspn6.jpg

http://img152.imageshack.us/img152/863/alertetb2.png
0
Réponse 2 / 41
pcmace Messages postés 8 Date d'inscription samedi 30 août 2008 Statut Membre Dernière intervention 1 septembre 2008
31 août 2008 à 17:59
Non pas vraiment, j'obtiens un message comme le lien ci-dessous

https://www.hugedomains.com/domain_profile.cfm?d=removeonline&e=com


merci pour votre aide
0
Utilisateur anonyme
31 août 2008 à 18:24
bonsoir

Commence par poster un rapport HijackThis stp,
>Télécharge HiJackThis : http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
- Lance le programme, puis sélectionne < do a system scan and save a logfile >
- Enregistre le rapport sur ton bureau.
Et envoie, par copier/coller, ton log Hijackthis sur le forum,


A+

Tuto : si problème : http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
0
Réponse 3 / 41
pcmace Messages postés 8 Date d'inscription samedi 30 août 2008 Statut Membre Dernière intervention 1 septembre 2008
31 août 2008 à 18:53
voici mon log


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:53:37, on 31/08/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\TEMP\cep2.tmp
C:\WINDOWS\System32\svchost.exe
C:\Program Files\a-squared Free\a2free.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [lphcl91j0ev57] C:\WINDOWS\System32\lphcl91j0ev57.exe
O20 - Winlogon Notify: hovznfi - C:\WINDOWS\SYSTEM32\hovznfi.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
0
Utilisateur anonyme
31 août 2008 à 19:03
LOG INCOMPLET
recommence....
a+
0
Réponse 4 / 41
pcmace Messages postés 8 Date d'inscription samedi 30 août 2008 Statut Membre Dernière intervention 1 septembre 2008
31 août 2008 à 19:11
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:11:37, on 31/08/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\System32\lphcl91j0ev57.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [lphcl91j0ev57] C:\WINDOWS\System32\lphcl91j0ev57.exe
O20 - Winlogon Notify: hovznfi - C:\WINDOWS\SYSTEM32\hovznfi.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
0
Utilisateur anonyme
31 août 2008 à 19:18
tu m as mal compris
refait 1log hijack et poste le
a+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 41
pcmace Messages postés 8 Date d'inscription samedi 30 août 2008 Statut Membre Dernière intervention 1 septembre 2008
31 août 2008 à 20:04
désolé pour mes faibles compétences mais je crois avoir fait ce qui est montré sur le tutoriel que vous m'avez adressé,
-Lancer le programme Hijackthis téléchargé , puis sélectionner< do a system scan and save a logfile >
- Enregistrer le rapport (par sélectionner tout, copier, coller sur le forum.)

ou est mon erreur svp

cordialement pour votre patience
0
Utilisateur anonyme
31 août 2008 à 20:11
ok cest bon.......j ai le rapport...
on va commencer par ca
Fais un scan avec cet antispyware :

Telecharge malwarebytes + tutoriel :

-> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examun complet".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.
0
Réponse 6 / 41
pcmace Messages postés 8 Date d'inscription samedi 30 août 2008 Statut Membre Dernière intervention 1 septembre 2008
31 août 2008 à 22:03
voici le rapport
Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1101
Windows 5.1.2600 Service Pack 1

22:03:29 31/08/2008
mbam-log-08-31-2008 (22-03-29).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 86825
Temps écoulé: 31 minute(s), 32 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 22
Fichier(s) infecté(s): 26

Processus mémoire infecté(s):
C:\WINDOWS\system32\lphcl91j0ev57.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\hovznfi.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\blphcl91j0ev57.scr (Trojan.FakeAlert) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hovznfi (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcl91j0ev57 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Application Data\rhcg91j0ev57 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Application Data\rhcg91j0ev57\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Application Data\rhcg91j0ev57\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Application Data\rhcg91j0ev57\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Application Data\rhcg91j0ev57\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Application Data\rhcg91j0ev57\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Application Data\rhcg91j0ev57\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Application Data\rhcg91j0ev57\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Application Data\rhcg91j0ev57\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Application Data\rhcg91j0ev57\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Application Data\rhcg91j0ev57\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\hovznfi.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\blphcl91j0ev57.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcl91j0ev57.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcl91j0ev57.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttA.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Local Settings\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Local Settings\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Local Settings\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Local Settings\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Local Settings\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Local Settings\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Local Settings\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Local Settings\Temp\.ttA.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
0
Utilisateur anonyme
31 août 2008 à 22:06
FAIS 1 ESSAI SUR INTERNET ET DIS MOI
A+
0
Réponse 7 / 41
pcmace Messages postés 8 Date d'inscription samedi 30 août 2008 Statut Membre Dernière intervention 1 septembre 2008
31 août 2008 à 22:14
finalement en fermant le log, Malwarebytes' Anti-Malware a redémarré mon pc et le message "Warning! Spyware dectected on your computer! Install an antivirus or spyware remover to clean your computer" a disparu !!!.

J'ai redémarré une seconde fois le pc, plus de trace? est-ce la fin de mes soucis.

Je précise que Malwarebytes' Anti-Malware n'a pas pu suppirmer 149 fichiers qu'il a mis à quarantaine.

Dois-je les supprimer définitivement si possible ?

L'essai sur internet n'a pas posé de problème.
0
Utilisateur anonyme
31 août 2008 à 22:32
tu as 149 infections qui sont passees a la trappe
ce n est pas moi qui les ai installees
soit heureux....
desinstalle malwaresbytes
ton probleme est resolu
merci qui?
CA SERT A QUOI D AIDER.....
A+
0
Réponse 8 / 41
pcmace Messages postés 8 Date d'inscription samedi 30 août 2008 Statut Membre Dernière intervention 1 septembre 2008
1 sept. 2008 à 19:53
merci beaucoup pour votre aide.
Jamais je n'aurais pensé être aidé en un temps record d'une petite soirée.

Je n'ai qu'un mot à dire : C H A P E A U !!!!

Cela ne peut donner que l'envie d'aider les autres.

sincères remerciements.
0
Utilisateur anonyme
1 sept. 2008 à 20:06
mets ton topic eu resolu...
en haut a droite....
a+
0
Réponse 9 / 41
pcmace
2 sept. 2008 à 15:26
désolé archet9,

ce matin en rallumant mon pc, le problème est revenu.
j'ai réeffectuer toutes les opérations, mais cette fois ci rien à faire.

J'ai remarqué tout de même qu'une installation d'antivirus xp réapparait sur mon bureau à chaque fois.

voici à toutes fins utiles le log de malwaresbytes

Malwarebytes' Anti-Malware 1.26
Version de la base de données: 1103
Windows 5.1.2600 Service Pack 1

02/09/2008 15:14:52
mbam-log-2008-09-02 (15-14-52).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 86757
Temps écoulé: 37 minute(s), 3 second(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 4
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 6
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 12
Fichier(s) infecté(s): 20

Processus mémoire infecté(s):
C:\Program Files\rhcg91j0ev57\rhcg91j0ev57.exe (Rogue.Multiple) -> Unloaded process successfully.
C:\WINDOWS\system32\pphcl91j0ev57.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\blphcl91j0ev57.scr (Trojan.FakeAlert) -> Delete on reboot.
C:\Program Files\rhcg91j0ev57\MFC71.dll (Rogue.Multiple) -> Delete on reboot.
C:\Program Files\rhcg91j0ev57\msvcp71.dll (Rogue.Multiple) -> Delete on reboot.
C:\Program Files\rhcg91j0ev57\msvcr71.dll (Rogue.Multiple) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcg91j0ev57 (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhcg91j0ev57 (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhcg91j0ev57 (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcl91j0ev57 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\rhcg91j0ev57 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\blphcl91j0ev57.scr (Trojan.FakeAlert) -> Delete on reboot.
C:\System Volume Information\_restore{4B53BBD4-97B7-4435-8C91-3A90A2DAE3AC}\RP1\A0000003.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\rhcg91j0ev57\database.dat (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcg91j0ev57\license.txt (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcg91j0ev57\MFC71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcg91j0ev57\MFC71ENU.DLL (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcg91j0ev57\msvcp71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcg91j0ev57\msvcr71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcg91j0ev57\rhcg91j0ev57.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcg91j0ev57\rhcg91j0ev57.exe.local (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcg91j0ev57\Uninstall.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcl91j0ev57.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcl91j0ev57.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pphcl91j0ev57.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt15.tmp (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Local Settings\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\jcm\Local Settings\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
0
Utilisateur anonyme
2 sept. 2008 à 15:34
fait ceci
Télécharge Navilog1.exe << ICI

Note : Si, lors du téléchargement, ton Antivirus fais une alerte, ignore-là, un composant de Navilog1 est détecté par certains AntiVirus comme étant un Malware .
Ce n'en est nullement un !

* Choisis Enregistrer sous.... et enregistre-le sur ton bureau.
* Ensuite double clique sur navilog1.exe pour lancer l'installation.
* Une fois l'installation terminée,

Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).


Laisse-toi guider. Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

* Patiente jusqu'au message :
*** Analyse Termine le ..... ***
* Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
* Copie-colle l'intégralité du rapport dans ta réponse.
Referme le blocnote.

* Le rapport est en outre sauvegardé à la racine du disque C:\ (fixnavi.txt)

Copie/colle le ici dans ta prochaine réponse stp.
0
Utilisateur anonyme
2 sept. 2008 à 16:45
je me suis trmpé ds le message precedent..
tu n avais pas le lien
fait ca:(meme chose avec le lien)
Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Clique sur navilog1.exe pour télécharger navilog1
Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Terminée le ..... ***
Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc note.
Le rapport est en outre sauvegardé à la racine du disque (C:\fixnavi.txt)
poste le rapport obtenu
0
Réponse 10 / 41
pcmace
2 sept. 2008 à 16:45
voici le rapport navilog, merci pour votre aide

Search Navipromo version 3.6.5 commencé le 02/09/2008 à 16:42:45,26

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "jcm"

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\jcm\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\jcm\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\jcm\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\jcm\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\jcm\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 02/09/2008 à 16:46:52,45 ***
0
Utilisateur anonyme
2 sept. 2008 à 16:54
je ne suis pas sur que ta version navilog soit a jour
recommence avec ca:
Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Clique sur navilog1.exe pour télécharger navilog1
Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Terminée le ..... ***
Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc note.
Le rapport est en outre sauvegardé à la racine du disque (C:\fixnavi.txt)
poste le rapport obtenu
0
Réponse 11 / 41
pcmace
2 sept. 2008 à 16:51
ok voici le nouveau rapport avec le bon lien

Search Navipromo version 3.6.5 commencé le 02/09/2008 à 16:50:28,99

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "jcm"

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\jcm\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\jcm\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\jcm\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\jcm\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\jcm\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 02/09/2008 à 16:53:26,80 ***
0
Utilisateur anonyme
2 sept. 2008 à 16:57
Tu clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.
(ne fais pas le choix ,3 ou 4 sans notre avis/accord)

Le fix va t'informer qu'il va alors redémarrer ton PC
Fermes toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuies sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le bloc-notes. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.

Poste le rapport
0
Réponse 12 / 41
pcmace
2 sept. 2008 à 18:21
Search Navipromo version 3.6.5 commencé le 02/09/2008 à 18:14:53,00

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "jcm"

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\jcm\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\jcm\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\jcm\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\jcm\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\jcm\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 02/09/2008 à 18:19:05,84 ***
0
Réponse 13 / 41
pcmace
2 sept. 2008 à 18:25
voici le resultat du choix 2 dans navilog, merci

Clean Navipromo version 3.6.5 commencé le 02/09/2008 à 18:24:05,97

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "jcm"

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\jcm\locals~1\applic~1" *



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\jcm\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\jcm\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\jcm\menudm~1\progra~1" ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\jcm\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


* Dans "C:\Documents and Settings\jcm\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 02/09/2008 à 18:26:16,48 ***
0
Utilisateur anonyme
2 sept. 2008 à 18:31
fait ceci maintenant:
>Télécharge HiJackThis : http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
- Lance le programme, puis sélectionne < do a system scan and save a logfile >
- Enregistre le rapport sur ton bureau.
Et envoie, par copier/coller, ton log Hijackthis sur le forum,


A+

Tuto : si problème : http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
0
Réponse 14 / 41
pcmace
2 sept. 2008 à 22:23
voici le log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:25:27, on 02/09/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Cpl32ver.exe
C:\WINDOWS\System32\lphcl91j0ev57.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Cpl32ver.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [Cpl32ver] C:\WINDOWS\System32\Cpl32ver.exe
O4 - HKLM\..\Run: [lphcl91j0ev57] C:\WINDOWS\System32\lphcl91j0ev57.exe
O20 - Winlogon Notify: hovznfi - C:\WINDOWS\SYSTEM32\hovznfi32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
0
Utilisateur anonyme
3 sept. 2008 à 20:26
je vois que tu nas aucun anti viruspour proteger to ordi....
charge celui ci....
https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html

ensuite demarre to ordi en mode san echec IMPORTANT
http://www.commentcamarche.net/faq/sujet 5004 windows xp demarrage en mode sans echec
relance malwarebytes et en suite toujours en mode sans echec relance hijackthis et FIX cette ligne:
O4 - HKLM\..\Run: [lphcl91j0ev57] C:\WINDOWS\System32\lphcl91j0ev57.exe

redemarre ton ordi et dit moi comment ca va.....

a+
0
Utilisateur anonyme
3 sept. 2008 à 20:43
antivir existe en francais depuis peu

http://dl1.avgate.net/down/windows/antivir_workstation_winu_­fr_h.exe

bonne soirée
0
Réponse 15 / 41
pcmace
4 sept. 2008 à 18:21
bonsoir,

les opérations se sont bien passées . (après un redémarrage OK)
Mais rien à faire, en rallumant mon pc ce soir, le message est revenu, et antivirus XP 2008 était en train de s'installer automatiquement et m'a indiqué + de 2000 virus à supprimer dans windows.je l'ai éteint.

Ce problème à l'air coriace.

Que faire?

merci
0
Réponse 16 / 41
pcmace
4 sept. 2008 à 18:36
petite précision,
dans hijackthis la ligne que vous m'avez demandé de fixer est réapparue , impossible de la fixer après 2ème tentative
0
Utilisateur anonyme
4 sept. 2008 à 20:52
as tu chargé antivir ?
si oui desactive le... le temps de faire ceci:
---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt
0
Utilisateur anonyme > Utilisateur anonyme
4 sept. 2008 à 21:13
ensuite reprends hijacke ET FIX CETTE LIGNE..
O20 - Winlogon Notify: hovznfi - C:\WINDOWS\SYSTEM32\hovznfi32.dll
et repasse MAM
0
Réponse 17 / 41
pcmace
4 sept. 2008 à 21:35
voici le rapport combofix

ComboFix 08-09-03.06 - jcm 2008-09-04 21:15:42.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.731 [GMT 2:00]
Endroit: C:\Documents and Settings\jcm\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\License Agreement.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\Uninstall.lnk
C:\Documents and Settings\jcm\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk
C:\Documents and Settings\jcm\Application Data\rhcg91j0ev57
C:\Documents and Settings\LocalService\Application Data\rhcg91j0ev57
C:\WINDOWS\system32\blphcl91j0ev57.scr
C:\WINDOWS\system32\config\systemprofile\Application Data\rhcg91j0ev57
C:\WINDOWS\system32\config\systemprofile\Cookies\system@p.live[1].txt
c:\windows\system32\Drivers\Hnt40.sys
C:\WINDOWS\system32\lphcl91j0ev57.exe
C:\WINDOWS\system32\phcl91j0ev57.bmp
C:\WINDOWS\system32\pphcl91j0ev57.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_HNT40
-------\Legacy_NPF
-------\Legacy_SYSREST.SYS
-------\Legacy_TCPSR
-------\Service_Hnt40
-------\Service_tcpsr


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-08-04 to 2008-09-04 ))))))))))))))))))))))))))))))))))))
.

2008-09-04 15:35 . 2008-09-04 21:12 <REP> d-------- C:\Program Files\Avira
2008-09-04 15:35 . 2008-09-04 15:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-09-02 18:08 . 2008-09-02 18:26 <REP> d-------- C:\Program Files\Navilog1
2008-09-02 10:53 . 2008-09-02 10:53 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-02 10:53 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-02 10:53 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-02 10:47 . 2008-09-04 21:10 21,504 --a------ C:\WINDOWS\system32\hovznfi32.dll
2008-09-01 11:07 . 2008-09-04 21:20 21,504 --a------ C:\WINDOWS\system32\hovznfi.dll
2008-08-31 17:49 . 2008-08-31 17:49 1,152 --a------ C:\WINDOWS\system32\windrv.sys
2008-08-30 22:50 . 2008-08-30 22:50 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-08-30 22:50 . 2005-02-25 05:35 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-08-30 22:47 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2008-08-30 22:47 . 2007-07-30 19:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2008-08-30 22:47 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-08-30 22:47 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-08-30 22:47 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-08-30 22:47 . 2007-07-30 19:18 33,624 --a------ C:\WINDOWS\system32\wups.dll
2008-08-30 22:47 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-08-30 22:47 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-08-30 22:47 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-08-30 22:46 . 2008-08-30 22:46 <REP> d---s---- C:\Documents and Settings\jcm\UserData
2008-08-30 22:13 . 2008-08-30 22:13 <REP> d-------- C:\Program Files\Trend Micro
2008-08-30 21:49 . 2008-08-30 21:50 13,588 --a------ C:\WINDOWS\system32\wpa.dbl
2008-08-30 16:38 . 2008-08-30 16:38 <REP> d-------- C:\Documents and Settings\jcm\Application Data\Malwarebytes
2008-08-30 16:38 . 2008-08-30 16:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-24 12:08 . 2008-08-24 12:08 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-08-24 12:08 . 2008-08-24 12:08 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-08-23 22:38 . 2008-08-23 22:38 <REP> d-------- C:\WINDOWS\system32\Lang
2008-08-23 22:38 . 2008-08-23 22:38 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav
2008-08-23 22:38 . 2008-08-23 22:38 125,690 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2008-08-23 22:38 . 2008-08-23 22:43 60,416 --a------ C:\WINDOWS\ALCFDRTM.VER
2008-08-23 22:38 . 2008-08-23 22:38 60,416 --a------ C:\WINDOWS\ALCFDRTM.EXE
2008-08-23 08:35 . 2008-08-30 16:05 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-23 08:35 . 2008-08-23 08:35 1,409 --a------ C:\WINDOWS\QTFont.for
2008-08-20 21:38 . 2001-08-23 17:47 139,264 --a------ C:\WINDOWS\system32\sndvol32.exe
2008-08-20 21:38 . 2001-08-23 17:47 139,264 --a--c--- C:\WINDOWS\system32\dllcache\sndvol32.exe
2008-08-20 21:12 . 2008-08-20 21:18 <REP> d-------- C:\Documents and Settings\jcm\Application Data\MxBoost
2008-08-15 21:12 . 2008-08-15 21:26 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-08-13 23:27 . 2008-08-13 23:28 1,115,648 --a------ C:\WINDOWS\system32\sysdist.exe
2008-08-13 23:27 . 2008-08-17 21:49 390,949 --a------ C:\WINDOWS\system32\winpcap.exe
2008-08-13 23:26 . 2008-08-17 21:49 1,821,192 --a------ C:\WINDOWS\system32\vcdist.exe
2008-08-13 23:25 . 2008-08-17 21:49 110,811 --a------ C:\WINDOWS\system32\nmap-services
2008-08-13 23:24 . 2008-08-17 21:49 815,753 --a------ C:\WINDOWS\system32\nmap-service-probes
2008-08-13 23:23 . 2008-08-17 21:49 17,922 --a------ C:\WINDOWS\system32\nmap-rpc
2008-08-13 23:20 . 2008-08-17 21:49 188 --a------ C:\WINDOWS\system32\up_speed.reg
2008-08-13 23:18 . 2008-08-13 23:23 188,928 --a------ C:\WINDOWS\system32\ssleay32.dll
2008-08-13 23:13 . 2008-08-13 23:23 998,912 --a------ C:\WINDOWS\system32\libeay32.dll
2008-08-10 22:43 . 2008-08-16 11:07 144 --a------ C:\WINDOWS\cdplayer.ini
2008-08-10 20:50 . 2008-08-10 20:50 <REP> d-------- C:\Documents and Settings\jcm\Application Data\InfraRecorder
2008-08-10 11:19 . 2008-08-10 11:19 <REP> d-------- C:\Documents and Settings\jcm\Application Data\Panasonic
2008-08-10 11:18 . 2008-08-10 11:18 <REP> d-------- C:\Program Files\Panasonic
2008-08-10 10:52 . 2006-07-16 20:07 2,600,960 --a------ C:\Documents and Settings\jcm\Launchpad.exe
2008-08-10 10:52 . 2006-05-23 18:05 1,650,688 --a------ C:\Documents and Settings\jcm\LPSecurityExtension.dll
2008-08-10 10:52 . 2006-05-23 18:06 1,003,520 --a------ C:\Documents and Settings\jcm\u3dapi10.dll
2008-08-10 10:52 . 2006-05-23 18:05 110,592 --a------ C:\Documents and Settings\jcm\cleanup.exe
2008-08-10 10:52 . 2006-05-23 18:06 12 --a------ C:\Documents and Settings\jcm\version.dat
2008-08-05 18:45 . 2008-08-05 18:45 <REP> d-------- C:\Temp
2008-08-04 23:01 . 2008-08-09 13:00 <REP> d-------- C:\Documents and Settings\jcm\iWizz
2008-08-04 22:59 . 2008-09-04 19:34 <REP> d-------- C:\Documents and Settings\jcm\.bitrock

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-04 19:19 32,256 ----a-w C:\WINDOWS\system32\drivers\Gou41.sys
2008-09-04 17:19 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-09-02 20:35 --------- d-----w C:\Program Files\vso
2008-08-31 16:02 --------- d-----w C:\Program Files\eMule
2008-08-30 14:31 --------- d-----w C:\Documents and Settings\jcm\Application Data\U3
2008-08-30 14:10 --------- d-----w C:\Program Files\Unlocker
2008-08-24 11:42 --------- d-----w C:\Documents and Settings\jcm\Application Data\Vso
2008-08-24 10:08 36,624 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-08-16 09:22 --------- d-----w C:\Documents and Settings\jcm\Application Data\VSO_HWE
2008-08-10 21:11 --------- d-----w C:\Program Files\Services en ligne
2008-08-10 20:08 --------- d-----w C:\Program Files\Astonsoft
2008-08-10 09:18 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-18 09:35 --------- d-----w C:\Program Files\Java
2008-07-18 09:33 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-07-15 22:16 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-07-15 22:16 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2008-07-15 22:16 --------- d-----w C:\Program Files\Real
2008-07-15 22:16 --------- d-----w C:\Program Files\Fichiers communs\xing shared
2008-07-15 22:16 --------- d-----w C:\Program Files\Fichiers communs\Real
2008-07-13 21:40 --------- d-----w C:\Program Files\ATI Technologies
2008-07-13 21:26 737,280 ----a-w C:\WINDOWS\iun6002.exe
2008-07-12 22:13 --------- d-----w C:\Documents and Settings\jcm\Application Data\ATI
2008-07-12 22:10 --------- d-----w C:\Program Files\RAM Def
2008-07-12 21:32 --------- d-----w C:\Program Files\Disney Interactive
2008-07-12 21:07 --------- d-----w C:\Program Files\virtualdub
2008-07-12 21:07 --------- d-----w C:\Program Files\alcohol
2008-07-12 21:06 --------- d-----w C:\Program Files\Internet Digital Radio Tuner
2008-07-12 21:06 --------- d-----w C:\Documents and Settings\jcm\Application Data\InstallShield
2008-07-12 21:06 --------- d-----w C:\Documents and Settings\jcm\Application Data\DataCast
2008-06-17 18:57 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SMrhcg91j0ev57"="C:\Program Files\rhcg91j0ev57\rhcg91j0ev57.exe" [2008-09-04 831488]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispBackgroundPage"= 1 (0x1)
"NoDispScrSavPage"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hovznfi]
2008-09-04 21:20 21504 C:\WINDOWS\system32\hovznfi.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Gou41.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hnt40.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Pwd07.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wel53.sys]
@="Driver"

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 22336]
R0 Gou41;Gou41;C:\WINDOWS\System32\Drivers\Gou41.sys [2008-09-04 32256]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-05-09 45376]
R3 tcpsr;tcpsr;C:\WINDOWS\System32\drivers\tcpsr.sys [ ]
S0 Wel53;Wel53;C:\WINDOWS\System32\Drivers\Wel53.sys [ ]
S3 restore;restore;C:\WINDOWS\system32\drivers\restore.sys [ ]

*Newly Created Service* - ALG
*Newly Created Service* - IPNAT
*Newly Created Service* - TCPSR
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-lphcl91j0ev57 - C:\WINDOWS\System32\lphcl91j0ev57.exe
ShellExecuteHooks-{88485281-8b4b-4f8d-9ede-82e29a064277} - (no file)


.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\jcm\Application Data\Mozilla\Firefox\Profiles\1opct8lo.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://lepoint.fr/
FF -: plugin - C:\Program Files\Adobe\Acrobat 5.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-04 21:19:33
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...


C:\WINDOWS\system32\drivers\restore.sys 6656 bytes executable
C:\WINDOWS\system32\PerfStringBackup.TMP 2572 bytes
C:\WINDOWS\system32\pphcl91j0ev57.exe 106496 bytes executable

Scan termin‚ avec succŠs
Les fichiers cach‚s: 3

**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\hovznfi32.dll

PROCESS: C:\WINDOWS\system32\lsass.exe
PROCESS: C:\WINDOWS\system32\lsass.exe
PROCESS: C:\WINDOWS\system32\lsass.exe
PROCESS: C:\WINDOWS\system32\lsass.exe
PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\hovznfi.dll
PROCESS: C:\WINDOWS\system32\lsass.exe
PROCESS: C:\WINDOWS\system32\lsass.exe
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\temp\mvk1.tmp
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\pphcl91j0ev57.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-09-04 21:25:15 - machine was rebooted
ComboFix-quarantined-files.txt 2008-09-04 19:25:10

Pre-Run: 37,060,587,520 octets libres
Post-Run: 37,136,695,296 octets libres

217
0
Réponse 18 / 41
pcmace
4 sept. 2008 à 21:37
impossible de fixer la ligne
O20 - Winlogon Notify: hovznfi - C:\WINDOWS\SYSTEM32\hovznfi32.dll

celle-ci réapparaittoujours après un fix
0
Réponse 19 / 41
Utilisateur anonyme
5 sept. 2008 à 20:02
essayes de fixer les 2 lignes indiquees avec ceci:
télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
Assure toi que la case Unregister Dll's and Ocx's soit bien cochée
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\Windows\system32\drivers\downld

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

a+
0
Réponse 20 / 41
pcmace
5 sept. 2008 à 21:08
voici le rapport trouvé

File/Folder C:\Windows\system32\drivers\downld not found.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09052008_210849


précision : le programme ne m'a pas proposé de redémarrer le pc.

Cordialement
0

Discussions similaires

qu'est-ce que diff message ?
zebulonmarie -
mumu -

18 réponses
Que veut dire le signe "^^" dans les SMS ou sur MSN ?
takataka26 -
Sarah -

12 réponses
mail forwardé, c'est quoi
kiki -
0beron -

9 réponses
Comment reconnaitre si un SMS m'indiquant un message vocal est une arnaque ?
kikidefer -
brucine -

9 réponses
Non envoyé. Appuyez pour réessayer. Problème d'envoi SMS pour un seul contact.
emembi -
amilton -

4 réponses