spam et redémarrage intempestif ! à l'aide

Bonsoir,

Bien infecté !

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.

Redémarre en mode sans échec

Ouvre le dossier SDFix qui vient d'être créé à la racine de ton dique dur (C:) et double clique sur RunThis.bat pour lancer le script.

Appuie sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.

&

Télécharge combofix.exe (par sUBs) sur ton Bureau

Double clique combofix.exe.

Tape sur la touche Y (Yes) pour démarrer le scan.

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

&

Installe le firewall Kerio :
http://www.malekal.com/kerio_firewall.php

[/b]

combefix veut pas s'executer, voici déjà le rapport de SDFix, et merci de ton aide :


SDFix: Version 1.58

15/01/2007 - 21:49:12,68

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:

Checking Services:

Name:

hwclock
MicroSoft Media Tools
MSDisk
MSWindows
Remote Reader Machine

Path:

C:\WINDOWS\System32\hwclock.exe
"C:\WINDOWS\MSmedia.exe"
"C:\WINDOWS\System32\irdvxc.exe" /service
"C:\WINDOWS\System32\urdvxc.exe" /service
"C:\WINDOWS\system32\ssmc.exe"

hwclock Deleted
MicroSoft Media Tools Deleted
MSDisk Deleted
MSWindows Deleted
Remote Reader Machine Deleted

Restoring Windows Registry Entries
Restoring Default Hosts File

Rebooting

Normal Mode:

Checking Files:


Files will be copied to Backups folder then removed:

C:\WINDOWS\drsmartload2.dat - Deleted
C:\WINDOWS\system32\eraseme_81725.exe - Deleted
C:\WINDOWS\system32\rdriv.sys - Deleted
C:\WINDOWS\MSmedia.exe - Deleted
C:\WINDOWS\system32\.exe - Deleted
C:\WINDOWS\system32\csrs.exe - Deleted
C:\WINDOWS\system32\hwclock.exe - Deleted
C:\WINDOWS\system32\i - Deleted
C:\WINDOWS\system32\irdvxc.exe - Deleted
C:\WINDOWS\system32\mysvcc.exe - Deleted
C:\WINDOWS\system32\o - Deleted
C:\WINDOWS\system32\recsl.exe - Deleted
C:\WINDOWS\system32\salvage.exe - Deleted
C:\WINDOWS\system32\spoolsvc.exe - Deleted
C:\WINDOWS\system32\ssmc.exe - Deleted
C:\WINDOWS\system32\svcchost.exe - Deleted
C:\WINDOWS\system32\TFTP3656 - Deleted
C:\WINDOWS\system32\urdvxc.exe - Deleted



Alternate Stream Check:

C:\WINDOWS\system32
No streams found.
Final Check:

Remaining Services:
------------------



Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Listing Files with hidden attributes:

C:\NTDETECT.COM
C:\WINDOWS\S2FyaW5l\asappsrv.dll
C:\WINDOWS\system32\cdplayer.exe.manifest
C:\WINDOWS\system32\logonui.exe.manifest
C:\WINDOWS\system32\ijkdn.exe
C:\WINDOWS\system32\Windowsupfixer.exe
C:\WINDOWS\system32\Windowsfixsystem.exe
C:\WINDOWS\system32\qnace.exe
C:\WINDOWS\system32\msfile.exe
C:\WINDOWS\system32\kfxpju.exe
C:\WINDOWS\S2FyaW5l\command.exe
C:\IO.SYS
C:\MSDOS.SYS
C:\pagefile.sys
C:\hiberfil.sys

Finished

dis moi si je dois redémarrer en mode sans échec pour executerr comofix, merci

Voici le rapport Combofix :

"Karine" - 07-01-15 22:45:22 Service Pack 1
ComboFix 07-01-15 - Running from: "C:\Documents and Settings\Karine\Bureau"

((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\cqyptsvc.dll
C:\WINDOWS\system32\irmui.dll


Granting SeDebugPrivilege to Administrateurs ... successful


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\2.exe
C:\WINDOWS\system32\e.exe
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\uninstall_nmon.vbs
C:\WINDOWS\system32\2.exe
C:\WINDOWS\system32\bk.exe
C:\WINDOWS\system32\repair~1.dll
C:\WINDOWS\system32\tsuninst.exe
C:\DOCUME~1\LOCALS~1\Application Data\NetMon
C:\Program Files\Deskbar
C:\Program Files\network monitor
C:\Program Files\Deskbar\Cache
C:\Program Files\Network Monitor


((((((((((((((((((((((((((((((( Files Created from 2006-12-15 to 2007-01-15 ))))))))))))))))))))))))))))))))))


2007-01-15 22:45 <REP> d-------- C:\WINDOWS\erdnt
2007-01-15 22:02 <REP> d-------- C:\Program Files\Sunbelt Software
2007-01-15 21:54 92,672 -r-hs---- C:\WINDOWS\system32\WinICS.exe
2007-01-15 21:54 31,744 --a------ C:\WINDOWS\nircmd.exe
2007-01-15 21:47 <REP> d--hs---- C:\WINDOWS\CSC
2007-01-15 21:42 <REP> d-------- C:\SDFix
2007-01-15 06:53 <REP> d-------- C:\Program Files\IZArc
2007-01-15 00:19 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2007-01-15 00:16 <REP> d-------- C:\WINDOWS\AU_Temp
2007-01-15 00:15 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2007-01-15 00:15 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2007-01-15 00:15 294,912 --a------ C:\WINDOWS\PATCH.EXE
2007-01-15 00:15 <REP> d-------- C:\WINDOWS\AU_Log
2007-01-14 23:32 <REP> d--hs---- C:\FOUND.003
2007-01-14 23:18 <REP> d-------- C:\Program Files\AIDA32 - Personal System Information
2007-01-14 23:08 103 --a------ C:\WINDOWS\system32\appmr.dll
2007-01-14 22:47 <REP> d-------- C:\Program Files\Dusco
2007-01-14 21:56 <REP> d-------- C:\Program Files\Mozilla Firefox
2007-01-14 21:52 <REP> d-------- C:\DOCUME~1\ALLUSE~1\Application Data\Windows Genuine Advantage
2007-01-14 21:22 159,744 --a------ C:\WINDOWS\system32\randomfile.exe
2007-01-14 20:36 <REP> d-------- C:\Program Files\Winamp
2007-01-14 20:29 94,005 -ra------ C:\WINDOWS\system32\msnnsg.exe
2007-01-14 20:15 <REP> d-------- C:\DOCUME~1\Karine\Application Data\vlc
2007-01-14 20:08 <REP> d-------- C:\Program Files\VideoLAN
2007-01-14 20:04 64,020 --a------ C:\WINDOWS\system32\kage.exe
2007-01-14 18:31 <REP> d--hs---- C:\FOUND.002
2007-01-14 18:27 <REP> d-------- C:\Program Files\MSN Messenger
2007-01-14 18:21 <REP> d-------- C:\Program Files\Webroot
2007-01-14 18:21 <REP> d-------- C:\DOCUME~1\Karine\Application Data\Webroot
2007-01-14 18:15 215,040 --a------ C:\WINDOWS\system32\winrvc.exe
2007-01-14 18:00 <REP> d-------- C:\Program Files\CCleaner
2007-01-14 17:41 99,840 -ra------ C:\WINDOWS\system32\msinnt.exe
2007-01-14 17:41 99,840 -r-hs---- C:\WINDOWS\system32\kfxpju.exe
2007-01-14 17:40 <REP> d--hs---- C:\FOUND.001
2007-01-14 17:31 140,288 -r-hs---- C:\WINDOWS\system32\msfile.exe
2007-01-14 17:16 <REP> d---s---- C:\DOCUME~1\Karine\UserData
2007-01-14 17:02 450,560 --a------ C:\dfndrff_162.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-14 21:56 -------- d-------- C:\Documents and Settings\Karine\Application Data\mozilla


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"Internet"="msfile.exe"
"MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"
"Intec Services Driverrs"="winrvc.exe"
"Windows Firewall Internet Connection Sharing (ICS)"="WinICS.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
"Intec Services Driverrs"="winrvc.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Internet"="msfile.exe"
"Intec Services Driverrs"="winrvc.exe"
"WinampAgent"="C:\\Program Files\\Winamp\\winampa.exe"
"Windows Firewall Internet Connection Sharing (ICS)"="WinICS.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Internet"="msfile.exe"
"Intec Services Driverrs"="winrvc.exe"
"Windows Firewall Internet Connection Sharing (ICS)"="WinICS.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
"Intec Services Driverrs"="winrvc.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\runservices]
"Intec Services Driverrs"="winrvc.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"fiuo"="c:\\stub_113_4_0_4_0newer.exe"
"Internet"="msfile.exe"
"Intec Services Driverrs"="winrvc.exe"
"Windows Firewall Internet Connection Sharing (ICS)"="WinICS.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"fiuo"="c:\\stub_113_4_0_4_0newer.exe"
"Internet"="msfile.exe"
"Intec Services Driverrs"="winrvc.exe"
"Windows Firewall Internet Connection Sharing (ICS)"="WinICS.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0


Completion time: 07-01-15 22:48:40

merci de me donner le reste de la marche à suivre, j'ai installé le pare feu.

@+

Re,

Une vérification avant de continuer.

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de débuter.

Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.

Ferme toutes les fenêtres actives avant de passer à l'étape suivante.

Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.

Coche Run this program as a task

Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK

Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.

Lorsque le scan termine, clique sur le bouton Remove L2M

Un message Done Scanning apparaîtra, clique OK.

Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.

Ton PC va maintenant s'éteindre.

Démarre ton PC normalement.

Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

** Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

Comme démandé voici les deux rapports hijackthis et Look2Me :

Logfile of HijackThis v1.99.1
Scan saved at 23:01:11, on 16/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\msfile.exe
C:\WINDOWS\System32\winrvc.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\WinICS.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\msfile.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\winrvc.exe
C:\WINDOWS\System32\WinICS.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Documents and Settings\Karine\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Internet] msfile.exe
O4 - HKLM\..\Run: [Intec Services Driverrs] winrvc.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Windows Firewall Internet Connection Sharing (ICS)] WinICS.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\RunServices: [Internet] msfile.exe
O4 - HKLM\..\RunServices: [Intec Services Driverrs] winrvc.exe
O4 - HKLM\..\RunServices: [Windows Firewall Internet Connection Sharing (ICS)] WinICS.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Internet] msfile.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Intec Services Driverrs] winrvc.exe
O4 - HKCU\..\Run: [Windows Firewall Internet Connection Sharing (ICS)] WinICS.exe
O4 - HKCU\..\RunServices: [Intec Services Driverrs] winrvc.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe



Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 16/01/2007 22:57:05

Infected! C:\System Volume Information\_restore{7EF8DADC-8BB6-458E-8332-2A7E7803CEF6}\RP11\A0018818.dll
Infected! C:\System Volume Information\_restore{7EF8DADC-8BB6-458E-8332-2A7E7803CEF6}\RP11\A0018819.dll

Attempting to delete infected files...

Attempting to delete: C:\System Volume Information\_restore{7EF8DADC-8BB6-458E-8332-2A7E7803CEF6}\RP11\A0018818.dll
C:\System Volume Information\_restore{7EF8DADC-8BB6-458E-8332-2A7E7803CEF6}\RP11\A0018818.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{7EF8DADC-8BB6-458E-8332-2A7E7803CEF6}\RP11\A0018819.dll
C:\System Volume Information\_restore{7EF8DADC-8BB6-458E-8332-2A7E7803CEF6}\RP11\A0018819.dll Deleted successfully!

Making registry repairs.


Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administrateurs - Succeeded


Pour la config du firewall on verra plus tard ;p

Merci de ton aide AngelDark !

Re,

C'est encore pas terrible terrible.

Installe Antivir, fais un scan complet puis poste le rapport :
http://www.malekal.com/tutorial_antivir.php

C'est pas de la mauvaise volonté mais j'ai tenté d'installer successivement :
- antivir
- clam win ( trouvé sur framasoft)
- norton internet securité

Il a laissé un seul s'installer !
Tu me diras : laisse tomber : format et basta
Suis pas contre mais avais déjà tenté et je retrouvais tjrs les mêmes emmerdes
Franchement jcommence à désespérer...

Il n'a pas laissé un seul s'installer pardon

On formate pas.
Essaie avec Avast!.

Bonjour AngelDark !

Avast ! a finalement pu s'installer. Malheureusement il a découvert un certain Win32:Mytob-U (saleté) qui s'était remarquablement bien installé, lui aussi, dans tout le système.
Impossible de faire autrement que de formater, ce que j'ai fait.
Mais cette fois-ci je me suis bardée côté sécurité, en espèrant que ça suffise...
Merci encore beaucoup de ton aide et de tes "tuyaux" côté logiciels.

Kériane

Bonjour,

Il serrait interessant que tu nous repostes un nouveau rapport HijackThis car le formatage ne resoud pas tout.

Pas de problème, voici le dernier rapport HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 10:50:53, on 19/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
S:\LOGICIELS\WXPR1286133279.exe
C:\WINDOWS\system32\ntvdm.exe
S:\LOGICIELS\FreeRAM XP Lite 1.03.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Winamp\winamp.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
S:\LOGICIELS\Sécurité\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\RunOnce: [WMC_RebootCheck] C:\WINDOWS\inf\unregmp2.exe /FixUps
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{75EE6864-6A93-4B8B-91C8-DD2A12F4A626}: NameServer = 84.103.237.141 86.64.145.141
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

En espérant que vous ne trouviez rien de suspect...

Re,



Va sur le site de VirusTotal
Clique sur Parcourir... puis ouvre:

C:\WINDOWS\inf\unregmp2.exe

Clique ensuite sur Send
Poste le rapport en fin d'analyse.

Si tu vois ce message:
" Your file " ***.*** " is queued in position: ***. Estimated start time is between *** and *** minutes. "
Il te faudra patienter.

Désolée pour le temps de réponse, voici le résultat :

Complete scanning result of "unregmp2.exe", received in VirusTotal at 01.22.2007, 06:28:35 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.26 01.21.2007 no virus found
Authentium 4.93.8 01.21.2007 no virus found
Avast 4.7.936.0 01.18.2007 no virus found
AVG 386 01.21.2007 no virus found
BitDefender 7.2 01.22.2007 no virus found
CAT-QuickHeal 9.00 01.20.2007 no virus found
ClamAV devel-20060426 01.21.2007 no virus found
DrWeb 4.33 01.21.2007 no virus found
eSafe 7.0.14.0 01.21.2007 no virus found
eTrust-InoculateIT 23.73.119 01.22.2007 no virus found
eTrust-Vet 30.3.3343 01.22.2007 no virus found
Ewido 4.0 01.21.2007 no virus found
Fortinet 2.82.0.0 01.22.2007 no virus found
F-Prot 3.16f 01.21.2007 no virus found
F-Prot4 4.2.1.29 01.21.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.22.2007 no virus found
McAfee 4943 01.19.2007 no virus found
Microsoft 1.1904 01.22.2007 no virus found
NOD32v2 1995 01.21.2007 no virus found
Norman 5.80.02 01.21.2007 no virus found
Panda 9.0.0.4 01.21.2007 no virus found
Prevx1 V2 01.22.2007 no virus found
Sophos 4.13.0 01.20.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.153 01.21.2007 no virus found
UNA 1.83 01.19.2007 no virus found
VBA32 3.11.2 01.22.2007 no virus found
VirusBuster 4.3.19:9 01.21.2007 no virus found

Aditional Information
File size: 208896 bytes
MD5: 1b73c9da6dd7b244e1ad7358609bb92c
SHA1: e3074910037ae119f2a6daceeefa901c957e2383

Problème enfin résolu, j'espère ...
Merci AngelDark !

Tu n'as plus de problème ?

Plus aucun, pour l'instant, en espèrant que ça dure  
Il est juste un peu lent mais c l'âge... et le manke de ram (512 c juste)
Merci pour tout !
@+

Il te manque surement de la RAM  

PS : Ton infection se nomme Look2me/Botnet

Je t'invite à jeter un coup d'oeil à ces liens dans la mesure du possible, essaie de rapporter ton infection :



Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection :
- Voir les règles de Malware-Complaints
- Enregistre sur le forum à partir du bouton register en haut :
Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age
Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age

Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10
Pour poster un message, clique sur le bouton "Post Reply" et remplir les informations - NE PAS CREER UN SUJET avec le bouton New Topic.
Si tu ne connais pas le nom de ton infection, pose-moi la question  

AIDE : Consulter ce lien : http://www.malekal.com/malwarecomplaints.html.
Si tu as des questions ou des problèmes, n'hésites pas à me demander ici ou à contacter un des modérateurs du forum : Kimberly, AgnesD ou ipl_001.

Tout ceci est résumé sur cette page : [#ff0000]Sécuriser son ordinateur et connaître les menaces.[/#f]

Je t'invite aussi à mettre à jour tous les composants de ton système. Garde l'habitude de les maintenir à jour, un ordinateur avec des logiciels non à jour = infection ! Tu peux scanner ton ordinateur pour vérifier quels sont les progammes non à jour en suivant les directives de cette page : http://www.malekal.com/scan_vulnerabilite.php

Bonne continuation