Tom's Guide > Forum > Sécurité - Virus > [Résolu] Pub intempesive systemdoctor, etc....
[Résolu] Pub intempesive systemdoctor, etc.... - Sécurité - Virus
TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Répondre
Mot :    Pseudo :           
 
metge   08-03-2007 à 23:30:25

Bonjour,
depuis quelques jours je suis envahi de pub intempestive du genre systemdoctor, rencontre...

Ci-dessous les rapports HijackThis et Blacklight effectués, en espérant que quelqu'un pourra m'aider :)



Logfile of HijackThis v1.99.1
Scan saved at 23:10:49, on 08/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Program Files\Arcade\PCMService.exe
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\IObit\Advanced WindowsCare V2 Pro\Awc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Microsoft Office\Office\OSA9.EXE
C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
c:\matlab6p5\bin\win32\matlab.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Metge\Bureau\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CanalPlayer] C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe /iconic
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HelperVer] "C:\WINDOWS\HelperVer.exe "
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Advanced WindowsCare V2 Pro] "C:\Program Files\IObit\Advanced WindowsCare V2 Pro\Awc.exe" /startup
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -masquer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/tec [...] SupCtl.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/tec [...] mAData.cab
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} - http://www.virginmega.fr/DownloadM [...] ownMan.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19A76747-E00D-4EAA-B756-F76B3E330071}: NameServer = 130.240.19.1,192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{19A76747-E00D-4EAA-B756-F76B3E330071}: NameServer = 130.240.19.1,192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{19A76747-E00D-4EAA-B756-F76B3E330071}: NameServer = 130.240.19.1,192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe


Et le scan BlackLight

03/08/07 22:58:37 [Info]: BlackLight Engine 1.0.55 initialized
03/08/07 22:58:37 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/08/07 22:58:37 [Note]: 7019 4
03/08/07 22:58:37 [Note]: 7005 0
03/08/07 22:58:48 [Note]: 7006 0
03/08/07 22:58:48 [Note]: 7011 1340
03/08/07 22:58:48 [Note]: 7026 0
03/08/07 22:58:48 [Note]: 7026 0
03/08/07 22:58:48 [Note]: 7024 3
03/08/07 22:58:48 [Info]: Hidden process: C:\windows\system32\nehfvgqtdr.exe
03/08/07 22:58:55 [Note]: FSRAW library version 1.7.1021
03/08/07 22:59:18 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\NEHFVG~1.EXE
03/08/07 22:59:19 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\NEHFVG~3.DAT
03/08/07 22:59:19 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\NEHFVG~1.DAT
03/08/07 22:59:20 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\NEHFVG~2.DAT
03/08/07 22:59:22 [Note]: 2000 1012
03/08/07 22:59:42 [Note]: 7007 0


Merci !!!


Message édité par metge le 13-03-2007 à 00:13:17
Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
Mykerinos   09-03-2007 à 09:35:27
- 0 +

Salut ...

Avant de commencer, lis la licence de Blacklight (de F-Secure)
En lisant ce document, tu as pris connaissance et accepté les conditions d'utilisation de ce programme inclus dans Navilog1.zip.

Télécharge maintenant Navilog1.zip (de Il-Mafioso).

Enregistre-le sur ton Bureau.

Dézippe le contenu de l'archive en faisant un clic-droit sur Navilog1.zip puis en choisissant "Tout Extraire".

  • Double clique sur Navilog1.bat.
  • Laisse-toi guider par l'utilitaire.
  • Choisis l'option 1 puis valide.
  • N'utilise pas l'option 2, 3 et 4 sans notre accord !
  • Patiente jusqu'à l'apparition de ce message : "*** Analyse Termine le ..... ***"
  • Appuie sur une touche comme demandé : le Bloc-notes va s'ouvrir.
  • Poste-nous son contenu de cette manière :


-> Edition > Sélectionner tout
-> Edition > Copier
-> Clic-droit > Coller dans ta réponse

NOTE : Le rapport se trouve également à C:\fixnavi.txt

Répondre à Mykerinos
metge   09-03-2007 à 09:56:13
- 0 +

merci ! voilà le rapport

Search Navipromo version 1.0.6 commencé le 09/03/2007 à 9:32:32,17

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\Metge\Bureau\navilog1
Mise a jour le 08.03.2007 a 14h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Metge\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight [...] _help.html

Fichier(s) caché(s) dans C:\WINDOWS\system32 :


Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\nehfvgqtdr.exe


*** Recherche fichiers ***


C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche cles registre ***


Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !


*** Module de recherche complémentaire ***
(recherche fichiers spécifiques)

1)Recherche nouveaux fichiers connus:

2)Recherche Heuristique :
*
**
C:\WINDOWS\system32\nehfvgqtdr.dat
***
****
C:\WINDOWS\system32\nehfvgqtdr_navps.dat


*** Analyse Terminé le 09/03/2007 à 9:33:08,15 ***


Répondre à metge
Mykerinos   09-03-2007 à 16:42:18
- 0 +

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur.
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option pour exécuter Windows en mode sans échec, puis appuie sur "[Entrée]".
  • Choisis ton compte.
  • Une autre manière en images.


  • Double-clique sur Navilog1.bat.
  • Suis les instructions.
  • Choisis ensuite l'option 2 puis valide.
  • Laisse toi guider et réponds aux questions éventuelles.
  • Ton bureau va disparaître, c'est normal !
  • Patiente jusqu'à l'apparition de ce message : "*** Nettoyage Termine le ..... ***"
  • Appuie sur une touche comme demandé : le Bloc-notes va s'ouvrir.
  • Sauvegarde le rapport de manière à pouvoir le retrouver en mode normal.
  • Referme le Bloc-notes. Ton bureau va maintenant réapparaître.


Redémarre normalement puis poste le rapport sauvegardé auparavant (C:\cleannavi.txt)

  • Ferme Internet Explorer puis Démarrer/Panneau de Configuration/Options Internet.
  • Choisis l'onglet Contenu puis onglet Certificats.
  • Si tu trouves les programmes suivants (en particulier dans "Editeurs approuvés" ), supprime-les :


electronic-group
egroup
Montorgueil
VIP
Sunny Day Design Ltd

Répondre à Mykerinos
metge   10-03-2007 à 10:59:56
- 0 +

rapport navilog :

Clean Navipromo version 1.0.6 commencé le 10/03/2007 à 10:52:24,28

Fix lancé depuis C:\Documents and Settings\Metge\Bureau\navilog1
Mise a jour le 08.03.2007 a 14h00 by IL-MAFIOSO

Executé en mode sans echec

Mode suppression automatique avec prise en charge résultats Blacklight


** 2ème passage **

C:\WINDOWS\system32\nehfvgqtdr_navup.dat absent !
C:\WINDOWS\system32\nehfvgqtdr_navtmp.dat absent !
C:\WINDOWS\system32\nehfvgqtdr_m2s.xml absent !


C:\WINDOWS\system32\nehfvgqtdr.dat trouvé !
Copie C:\WINDOWS\system32\nehfvgqtdr.dat réalisé avec succès !
C:\WINDOWS\system32\nehfvgqtdr.dat supprimé !

C:\WINDOWS\system32\nehfvgqtdr_nav.dat trouvé !
Copie C:\WINDOWS\system32\nehfvgqtdr_nav.dat réalisé avec succès !
C:\WINDOWS\system32\nehfvgqtdr_nav.dat supprimé !

C:\WINDOWS\system32\nehfvgqtdr_navps.dat trouvé !
Copie C:\WINDOWS\system32\nehfvgqtdr_navps.dat réalisé avec succès !
C:\WINDOWS\system32\nehfvgqtdr_navps.dat supprimé !

C:\WINDOWS\system32\nehfvgqtdr.exe trouvé !
Copie C:\WINDOWS\system32\nehfvgqtdr.exe réalisé avec succès !
C:\WINDOWS\system32\nehfvgqtdr.exe supprimé !

*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Metge\Application Data ***



*** Suppression fichiers ***

C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Metge\Local Settings\Temp effectué !


*** Sauvegarde du registre vers dossier Backupnavi***


sauvegarde du registre réalisée avec succès !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***

1)Recherche/Suppressions nouveaux fichiers connus:

2)Recherche Heuristique (Fichiers à supprimer si nécéssaire):
*
**
***
****

*** Nettoyage termine le 10/03/2007 à 10:52:39,06 ***

Répondre à metge
Mykerinos   10-03-2007 à 18:22:40
- 0 +

Re ...

Normalement, les pubs devraient avoir disparu ...

Avertissement

Tu n'auras pas accès à Internet pendant une partie de la procédure. Enregistre cette page pour pouvoir la consulter hors-connexion : Fichier > Enregistrer sous ...
Dans "Type", choisis "Page Web, complète" et donne-lui un nom.

Télécharge AVG antispyware 7.5 (version d'évaluation)

  • Lance AVG et clique sur "Mise à jour" dans la barre d'outils.
  • Sous "Mise à jour manuelle" clique sur "Commencer la mise à jour".
  • Une fois la mise à jour terminée, ferme AVG. Ne le lance pas tout de suite.


Télécharge et installe CCleaner Basic.


Redémarre ton ordinateur en mode sans échec.

Lance CCleaner et fais le nettoyage comme sur le tutoriel ...

Relance AVG Antispyware 7.5

  • Clique sur "Analyse" dans la barre d'outils puis sur "Paramètres".
  • Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine".
  • Reclique sur "Analyse" puis sur "Analyse complète du système". Le scan peut durer, sois patient.
  • AVG affichera une liste des fichiers détectés, sur la gauche.
  • Si un fichier infecté est détecté en fin d'analyse, clique sur le bouton "Appliquer toutes les actions".
  • AVG affichera "Toutes les actions ont été appliquées", à droite.
  • Clique sur "Enregistrer le rapport", puis "Enregistrer le rapport sous". Ceci génère un rapport en fichier texte.
  • Sauvegarde ce rapport dans un endroit sûr (sur ton Bureau, par exemple).


Redémarre en mode normal.

Poste une réponse dans le même sujet.

Dans cette réponse, j'aimerais :

  • un nouveau rapport HijackThis.
  • le rapport AVG Antispyware.


Message édité par Mykerinos le 10-03-2007 à 18:23:13
------------------------------ Si tu ne sais pas, demande. Si tu sais, partage.
LISEZ CECI !
 Répondre à Mykerinos
metge   12-03-2007 à 13:27:53
- 0 +

Salut,

effectivement je suis débarassé des pubs, merci !!


Logfile of HijackThis v1.99.1
Scan saved at 13:16:30, on 12/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\IObit\Advanced WindowsCare V2 Pro\Awc.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
c:\matlab6p5\bin\win32\matlab.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\Metge\Bureau\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HelperVer] "C:\WINDOWS\HelperVer.exe "
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Advanced WindowsCare V2 Pro] "C:\Program Files\IObit\Advanced WindowsCare V2 Pro\Awc.exe" /startup
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -masquer
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/tec [...] SupCtl.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/tec [...] mAData.cab
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} - http://www.virginmega.fr/DownloadM [...] ownMan.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19A76747-E00D-4EAA-B756-F76B3E330071}: NameServer = 130.240.19.1,192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{19A76747-E00D-4EAA-B756-F76B3E330071}: NameServer = 130.240.19.1,192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{19A76747-E00D-4EAA-B756-F76B3E330071}: NameServer = 130.240.19.1,192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe




---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 13:08:26 12/03/2007

+ Résultat de l'analyse:



Rien à signaler.



Fin du rapport

Répondre à metge
Mykerinos   12-03-2007 à 17:43:38
- 0 +

Télécharge Clean.zip (de Malekal),

  • Décompresse-le sur ton bureau (Clic-droit > Extraire tout)
  • Tu dois obtenir un dossier nommé Clean.
  • Ouvre ce dossier Clean et double-clique sur clean.cmd.
  • Choisis l'option 1 puis patiente.
  • Poste ensuite le contenu du rapport ici.


Message édité par Mykerinos le 12-03-2007 à 17:45:33
Répondre à Mykerinos
metge   12-03-2007 à 17:55:20
- 0 +

Rapport clean par Malekal_morte - http://www.malekal.com
Option 1, executee le 12/03/2007 a 17:53:54,23

*** Recherche de fichiers sur C:
C:\unwise.exe FOUND

*** Recherche des fichiers dans C:\WINDOWS\
C:\WINDOWS\HelperVer.exe FOUND

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\mgsb.exe FOUND
C:\WINDOWS\system32\aswboot.exe FOUND

*** Fin du rapport !

Répondre à metge
Mykerinos   12-03-2007 à 20:42:33
- 0 +

Re ...

  • Ouvre le dossier Clean et double-clique sur clean.cmd.
  • Choisis l'option 2 puis patiente.
  • Poste ensuite le contenu du rapport ici.

Répondre à Mykerinos
metge   12-03-2007 à 22:07:07
- 0 +


Voilà...

Script execute en mode normal
Rapport clean par Malekal_morte - http://www.malekal.com
Option 2, executee le 12/03/2007 a 21:48:25,84

Microsoft Windows XP [version 5.1.2600]

*** Suppression de fichiers sur C:
tentative de suppression de C:\unwise.exe

*** Suppression des fichiers dans C:\WINDOWS\
tentative de suppression de C:\WINDOWS\HelperVer.exe

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\mgsb.exe
tentative de suppression de C:\WINDOWS\system32\aswboot.exe


*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

Répondre à metge
Mykerinos   12-03-2007 à 22:13:21
- 0 +

Re ...

On touche au but ...

Si ton PC semble tourner correctement, désactive puis réactive la restauration système comme expliqué ici ...

Enfin, je ne vois pas de pare-feu installé ... Il est fortement recommandé d'en installer un.

Celui proposé par le centre de sécurité de Windows XP est insuffisant car il ne surveille pas les connexions sortantes. Désactive-le avant d'installer celui que tu as choisi dans la liste qui suit :


Tu peux aussi consulter cette page pour un choix encore plus vaste ...

Tu peux tester ton firewall ici ...

Mesures préventives

Pour augmenter les chances de garder ton PC sain, voici quelques conseils préventifs ...

1/ Généralités

  • Windows Update parfaitement à jour.
  • Un pare-feu bien paramétré.
  • Un antivirus bien paramétré avec un scan complet régulier.
  • Une navigation prudente (pas de sites douteux : cracks, warez, sexe, ...).
  • Se méfier du courrier électronique (fichiers joints aux messages doivent être scannés avant d'être ouverts).
  • Etre à l'affût d'un fonctionnement inhabituel de son système.
  • Nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, défragmentation)
  • Scan antispyware hebdomadaire.
  • Contôle régulier de la Console Java pour s'assurer qu'elle est à jour.


2/ Navigateurs

Firefox

  • Navigateur Internet open source, de la fondation Mozilla. Strictement conforme aux standards du Web, moderne, extrêmement convivial, innovant, sécurisé et rapide. Ouvert à d'innombrables extensions. Très réactif et multi-plateformes.
  • Sécuriser un peu plus Firefox par Megataupe.


Opera

  • Excellent navigateur d'origine norvégienne, multi-plateformes, considéré régulièrement comme le plus rapide du monde.
  • Fonctionnalités et astuces par Lordtoniok.]


IE-SPYAD

  • Si tu veux toujours utiliser IE, cet utilitaire ajoute plus de 5000 sites douteux à la zone de restriction pour t'en interdire l'accès.
  • Pour Internet Explorer uniquement !
  • Une fois l'utilitaire dézippé dans son dossier, clique sur le fichier ie-ads.reg : les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit.



3/ Sécurisation des ports

ZebProtect

  • Très simple à utiliser.
  • Tutoriel par Tesgaz.


Scanner les ports

  • Pour tester ton firewall.


4/ Sécurisation de la navigation

SpywareBlaster

  • SpywareBlaster empêche les contrôles activeX hostiles de s'installer et bloque également les cookies à spywares. Fonctionne de manière préventive, avec Internet Explorer et Firefox.
  • Tutoriel.


Le fichier Hosts


5/ Mise à jour de la Console Java

  • Télécharge la dernière version de Java Runtime Environment.
  • Descend dans la page jusque "Java Runtime Environment (JRE) 6" et clique sur "Download".
  • Accepte le contrat de licence.
  • Clique sur le lien "Windows Offline Installation, Multi-language".
  • Ferme toutes les applications en cours, spécialement ton navigateur Internet.
  • Désinstalle les anciennes versions de Java via Panneau de configuration > Ajout/Suppression de programmes.
  • Redémarre le PC.
  • Double-clique sur jre-1_5_0_10-windowsi586-p.exe et suis les instructions pour installer la nouvelle version.



6/ Outils de détection et de désinfection non résidents

Ad-Aware SE


Spybot S&D

  • Tutoriel par Tesgaz.
  • A noter la présence de 2 outils résidents optionnels, le "Teatimer" et le "SDhelper" (voir tutoriel).


AVG Antispyware

  • Tutoriel par Malekal_morte.
  • AVG Antispyware est un antimalware très efficace et gratuit. Cependant, la protection résidente et la mise à jour automatique ne sont disponibles que 30 jours, mais il est très performant en analyse en mode sans échec.


7/ Contrôleurs d'intégrité (pour utilisateurs avancés)

WinPatrol


Process Guard


Icesword


8/ Utilitaires de nettoyage

Easy Cleaner


ATF Cleaner


JV16 Powertools


CCleaner Basic


9/ Pour aller plus loin dans l'optimisation et la sécurisation : quelques pistes par Tesgaz

Les services Windows

Optimiser la protection

Autorisation et restriction des dossiers et fichiers avec NTFS

Améliorer votre sécurité grâce aux restrictions

Les mots de passe

10/ Dénonce ton infection pour faire condamner les auteurs

Malware Complaints

  • Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.


Tu peux éditer le titre de ton premier message et ajouter [Résolu] devant ...


Message édité par Mykerinos le 12-03-2007 à 22:59:33
Répondre à Mykerinos
metge   13-03-2007 à 00:14:28
- 0 +


Plus aucun problème, merci pour ton aide !!

Répondre à metge
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > [Résolu] Pub intempesive systemdoctor, etc....
Aller à :

Il y a 2394 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,286 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens