Tom's Guide > Forum > Sécurité - Virus > Besoin d'aide pour infection svp

Besoin d'aide pour infection svp

Forum Sécurité - Virus : Besoin d'aide pour infection svp

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
flocks   17-04-2007 à 03:46:28

Bonsoir, il est assez tard donc je pense que j'aurai des reponses demain :)
Voila depuis qq jours j'ai un processus IEXPLORE.EXE présent dans le gestionnaires des tâches alors qu'aucune fenêtre IE n'est ouverte .. je n'arrive pas à le tuer, j'ai cherché dans le HLKM\...\Run il n'est pas présent alors j'ai décide de poster un tit rapport hijackthis en espérant que qq'un me dise s'il y a quelquechose de louche :

Logfile of HijackThis v1.99.1
Scan saved at 03:47:17, on 17/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Messager Wanadoo\Demon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\RepertoireFred\Divers\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\regedit.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\RepertoireFred\hijackthis\scanner.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {28a4a815-21d5-462d-af46-802fb8946a15} - C:\WINDOWS\system32\c_9nui.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\Messager Wanadoo\Demon.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
O4 - HKLM\..\Run: [BootService] rundll32.exe "C:\WINDOWS\awwxyw.dll",realset
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Uniblue Registry Booster] C:\RepertoireFred\Divers\Registry Booster\RegistryBooster.exe /S
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\RepertoireFred\Poker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\RepertoireFred\Poker\PartyPoker\RunApp.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CA4FAC4-7E8F-4537-8DBA-527C75E630F4}: NameServer = 80.10.246.130,80.10.246.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSN Messenger\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: c_9nui - C:\WINDOWS\SYSTEM32\c_9nui.dll
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documents\Settings\partnership.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\RepertoireFred\Divers\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe


Merci d'avance


Message édité par flocks le 17-04-2007 à 03:47:44
Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
bob_   17-04-2007 à 09:43:18
- 0 +

Bonjour,

Avant de commencer la désinfection va sur ce site : http://virusscan.jotti.org/ afin d'analyser ce fichier :

C:\WINDOWS\SYSTEM32\c_9nui.dll

Poste le rapport qui sera généré en fin d'analyse.

Consulte cette page pour savoir comment utiliser Virusscan.jotti :

http://www.malekal.com/scan_Av_en_ [...] ocId491108

Répondre à bob_
flocks   17-04-2007 à 12:09:01
- 0 +

Merci de m'avoir répondu. Voici le scanner result du site :

Scanner results
Scan taken on 17 Apr 2007 10:03:30 (GMT)
AntiVir
Found TR/Dldr.ConHook.Gen
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found Trojan.Downloader.ConHook.AI
ClamAV
Found nothing
Dr.Web
Found Adware.Duncan
F-Prot Antivirus
Found nothing
F-Secure Anti-Virus
Found Trojan-Downloader.Win32.ConHook.an
Fortinet
Found W32/Agent.PRX!tr
Kaspersky Anti-Virus
Found Trojan-Downloader.Win32.ConHook.an
NOD32
Found nothing
Norman Virus Control
Found nothing
Panda Antivirus
Found nothing
Rising Antivirus
Found nothing
VirusBuster
Found Packed/Upack
VBA32
Found nothing

Répondre à flocks
bob_   17-04-2007 à 14:32:19
- 0 +

Re,

Télécharge combofix.exe (par sUBs) sur ton Bureau

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

Répondre à bob_
flocks   17-04-2007 à 15:01:10
- 0 +

Voici le rapport ... je tiens à préciser que j'ai du recopier le fichier dll nommé rsvp32_2.dll.vir dans system32 (il vait été mis en quarantaine par combo..) sans quoi je n'avais plus de DNS plus rien ... donc impossible de se connecter à internet

"Fred" - 07-04-17 14:42:28 Service Pack 2
ComboFix 07-04-17.V - Running from: C:\Documents and Settings\Fred\Bureau\


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\0_exception.nls
C:\DOCUME~1\Fred\Application Data\Microsoft\20509.dat
C:\WINDOWS\system32\tmp11F.tmp.dll
C:\WINDOWS\system32\tmp194.tmp.dll
C:\WINDOWS\system32\tmp2.tmp.dll
C:\Documents and Settings\All Users.\documents\settings\desktop.ini
C:\WINDOWS\system32\main.sys
C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\system32\rsvp32_2.dll
C:\WINDOWS\dialerexe.ini
C:\WINDOWS\system32\lzx32.sys

[color=blue]Infected copy of C:\WINDOWS\system32\winlogon.exe was found & disinfected
Restored copy from - "C:\WINDOWS\system32\dllcache\winlogon.exe"[/color]
ws2_32.dll: Accès refusé.


((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\EXAMPLE
-------\kprof
-------\poof
-------\Runtime
-------\LEGACY_EXAMPLE
-------\LEGACY_POOF
-------\LEGACY_RUNTIME


((((((((((((((((((((((((((((((( Files Created from 2007-03-17 to 2007-04-17 ))))))))))))))))))))))))))))))))))


2007-04-17 04:09 0 --a------ C:\WINDOWS\nsreg.dat
2007-04-17 03:03 <REP> d--h----- C:\Program Files\Fichiers communs\delsim
2007-04-17 03:02 50,688 --a------ C:\WINDOWS\dapsolfeb.exe
2007-04-14 23:22 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2007-04-14 09:46 <REP> d-------- C:\WINDOWS\system32\AdCache
2007-04-14 09:34 106,767 --a------ C:\WINDOWS\iiifed.dll
2007-04-12 23:35 19,216 --a------ C:\WINDOWS\system32\c_9nui.dll
2007-04-11 14:04 288 --a------ C:\jpicedt.bat
2007-03-21 18:25 78 --a------ C:\WINDOWS\system32\netwbix32.dll
2007-03-20 00:57 <REP> d-------- C:\NAK SCAN


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

[color=red] Rootkit driver pe386 is present. ... attempting disinfection [/color]
[color=blue] pe386 ...... driver unloaded successfully.[/color]
ADS removed - system32: deleted 69064 bytes in 1 streams.

2007-04-17 14:48 -------- d-------- C:\DOCUME~1\Fred\Application Data\openoffice.org2
2007-04-17 14:45 -------- d-------- C:\DOCUME~1\Fred\Application Data\utorrent
2007-04-17 04:27 82944 --a------ C:\WINDOWS\system32\ws2_32.dll
2007-04-17 02:57 -------- d-------- C:\Program Files\flashget
2007-04-16 05:32 -------- d-------- C:\Program Files\wanadoo
2007-04-16 05:25 -------- d-------- C:\DOCUME~1\Fred\Application Data\registry booster
2007-04-15 14:14 -------- d-------- C:\Program Files\messager wanadoo
2007-04-14 23:28 -------- d-------- C:\Program Files\messengerplus! 3
2007-04-14 23:27 -------- d-------- C:\Program Files\quicktime
2007-04-14 23:27 -------- d-------- C:\Program Files\msn messenger
2007-04-14 23:27 -------- d-------- C:\Program Files\itunes
2007-03-27 14:20 -------- d-------- C:\DOCUME~1\Fred\Application Data\u3
2007-03-27 13:58 -------- d-------- C:\Program Files\microsoft works
2007-03-25 09:23 63614 --a------ C:\WINDOWS\system32\perfc00c.dat
2007-03-25 09:23 445016 --a------ C:\WINDOWS\system32\perfh00c.dat
2007-03-24 17:30 -------- d-------- C:\DOCUME~1\Fred\Application Data\miktex
2007-03-24 13:17 -------- d-------- C:\Program Files\java
2007-03-12 13:04 -------- d-------- C:\Program Files\ipod
2007-03-03 15:56 -------- d--h----- C:\Program Files\installshield installation information
2007-03-03 15:56 -------- d-------- C:\DOCUME~1\Fred\Application Data\stoik
2007-02-28 13:36 58952 --a------ C:\WINDOWS\system32\msgplusloader.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
{28a4a815-21d5-462d-af46-802fb8946a15} C:\WINDOWS\system32\c_9nui.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
{A5366673-E8CA-11D3-9CD9-0090271D075B} C:\PROGRA~1\FlashGet\jccatch.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Demon"="C:\\PROGRA~1\\Messager Wanadoo\\Demon.exe"
"HydraVisionDesktopManager"="C:\\Program Files\\ATI Technologies\\ATI HYDRAVISION\\HydraDM.exe"
"SoundMan"="SOUNDMAN.EXE"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_10\\bin\\jusched.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Steam"=""
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"
"Uniblue Registry Booster"="C:\\RepertoireFred\\Divers\\Registry Booster\\RegistryBooster.exe /S"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"
"{1230649B-B980-44A5-B259-9B09EBEA6331}"="WinAntiSpyware Shell Hook"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\c_9nui
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\partnershipreg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="MsgPlusLoader.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0a788c1b-6e71-11db-a33d-001485e14541}]
Shell\AutoRun\command F:\LaunchU3.exe


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-04-17 14:50:20 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 07-04-17 14:50


Message édité par flocks le 17-04-2007 à 15:04:45
Répondre à flocks
bob_   17-04-2007 à 15:15:53
- 0 +

Re,

On attaque le Rootkit pe386 ;)

Télécharge Rustbfix (par ejvindh)

http://www.uploads.ejvindh.net/rustbfix.exe

Sauvegarde-le sur ton Bureau.

Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer le PC. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (C:\avenger.txt & C:\rustbfix\pelog.txt).
Copie/Colle le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse.

Répondre à bob_
flocks   17-04-2007 à 15:32:40
- 0 +

voila .. il n'y a pas eu de redémarrage vu qu'apparemment je ne suis pas infecté par rsutock.b
Voici le pelog.txt :

************************* Rustock.b-fix -- By ejvindh *************************
17/04/2007 15:30:43,82

No Rustock.b-rootkits found

******************************* End of Logfile ********************************

et un rapport hijack :

Logfile of HijackThis v1.99.1
Scan saved at 15:34, on 17/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\RepertoireFred\Divers\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Messager Wanadoo\Demon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\NOTEPAD.EXE
C:\RepertoireFred\hijackthis\scanner.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {28a4a815-21d5-462d-af46-802fb8946a15} - C:\WINDOWS\system32\c_9nui.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\Messager Wanadoo\Demon.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Uniblue Registry Booster] C:\RepertoireFred\Divers\Registry Booster\RegistryBooster.exe /S
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\RepertoireFred\Poker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\RepertoireFred\Poker\PartyPoker\RunApp.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CA4FAC4-7E8F-4537-8DBA-527C75E630F4}: NameServer = 80.10.246.130,80.10.246.3
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O20 - Winlogon Notify: c_9nui - C:\WINDOWS\SYSTEM32\c_9nui.dll
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documents\Settings\partnership.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\RepertoireFred\Divers\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

Répondre à flocks
bob_   17-04-2007 à 15:46:56
- 0 +

Re,

1/ Télécharge LSPFix sur ton bureau.

http://www.cexx.org/lspfix.htm

Lance LSPFix.

Déconnecte-toi d'internet, et ferme toutes les fenêtres ouvertes.
Dans la fenêtre LSP-Fix, coche la case I Know what I'm doing

Dans la liste "Keep", tu as quelques DLL, ne touche surtout pas à ces dll si on ne t'a pas dit d'y toucher.

Dans cette liste, sélectionne toutes les dll suivantes uniquement celle-ci et appuie sur le bouton >> pour les faire passer du côté "Remove" :

rsvp32_2.dll

Ensuite, pour finir, clique sur le bouton "Finish".

Il ce peut que tu perdes ta connection internet si c'est le cas tu relance LSFPfix et tu cliques sur la case I Know what I'm doing.

2/ Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

  • Double-clique VundoFix.exe afin de le lancer
  • Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse


Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

Répondre à bob_
flocks   17-04-2007 à 16:08:57
- 0 +


VundoFix V6.3.19

Checking Java version...

Java version is 1.4.2.5
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Scan started at 16:06:57 17/04/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...


et le hijack :

Logfile of HijackThis v1.99.1
Scan saved at 16:10, on 17/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\RepertoireFred\Divers\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Messager Wanadoo\Demon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\RepertoireFred\hijackthis\scanner.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {28a4a815-21d5-462d-af46-802fb8946a15} - C:\WINDOWS\system32\c_9nui.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\Messager Wanadoo\Demon.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Uniblue Registry Booster] C:\RepertoireFred\Divers\Registry Booster\RegistryBooster.exe /S
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\RepertoireFred\Poker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\RepertoireFred\Poker\PartyPoker\RunApp.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CA4FAC4-7E8F-4537-8DBA-527C75E630F4}: NameServer = 80.10.246.130,80.10.246.3
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O20 - Winlogon Notify: c_9nui - C:\WINDOWS\SYSTEM32\c_9nui.dll
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documents\Settings\partnership.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\RepertoireFred\Divers\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe


Répondre à flocks
bob_   17-04-2007 à 16:30:45
- 0 +

Re,

La procédure est longue et en partie en mode sans échec. Attention, tu n'as pas accès à Internet dans ce mode, enregistre cette page Web (clique sur fichier/enregistrer sous/choisis « Bureau ») ou imprime ce que tu as à faire.

1/ Télécharge la version d'évaluation d'AVG Anti-Spyware 7.5

Installe-le sur ton bureau

- Démarre AVG Anti-Spyware 7.5 avec l'icône qui se trouve sur ton Bureau.
Clique sur Mise à jour.
Sous Mise à jour manuelle clique sur Commencer la mise à jour et attend la fin de cette mise à jour puis ferme le programme.

2/ Télécharge Ccleaner

Installe le dans un répertoire dédié (attention à l'installation pense à décocher l'installation de Yahoo toolbar).

3/ Redémarre en mode Sans Échec
(au démarrage, tapote immédiatement la touche F8), puis tu verras un écran avec choix de démarrages :
choisis Mode sans échec avec les flèches du clavier, puis valide avec Entrée.
Choisis ton compte usuel (et non Administrateur).

Si tu n’arrives vraiment pas à redémarrer en mode sans échec je te propose ce lien :

Redémarrer en mode sans échec

4/ Lance HijackThis
puis --> Do a system scan only
coche les lignes indiquées ci-dessous

O2 - BHO: (no name) - {28a4a815-21d5-462d-af46-802fb8946a15} - C:\WINDOWS\system32\c_9nui.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - Winlogon Notify: c_9nui - C:\WINDOWS\SYSTEM32\c_9nui.dll
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documents\Settings\partnership.dll

puis --> Fix checked
puis oui à la question de confirmation

5/ Assure-toi que tu as accès aux fichiers cachés

Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
"Afficher les fichiers et dossiers cachés" ->clique dessus
"Masquer les extensions des fichiers dont le type est connu" ->décoché
"Masquer les fichiers protégés du système d'exploitation" ->décoché
Valide les changements.

6/ Ensuite supprime les fichiers et/ou dossiers suivants si présents :

C:\WINDOWS\SYSTEM32\c_9nui.dll
C:\Documents and Settings\All Users\Documents\Settings\partnership.dll

7/ Lance Ccleaner

Puis clique sur le bouton « Analyse » ensuite bouton « Lancer le Nettoyage ». Ensuite fait de même sur le bouton « Erreurs » puis « chercher des erreurs » et « réparer les erreurs sélectionnées ».

8/ Lance AVG Anti-Spyware 7.5 et clique sur Analyse et ensuite clique sur Analyse complète du système.
A la fin du scan il affichera une liste des fichiers détectés.
Clique sur le bouton Appliquer toutes les actions.
Clique sur Enregistrer le rapport, puis Enregistrer le rapport sous, je te conseille de le mettre sur ton bureau.

9/ Redémarre en mode normal.
Poste le rapport AVG Anti-Spyware 7.5 dans ta prochaine réponse et poste un nouveau rapport HijackThis.

Répondre à bob_
flocks   17-04-2007 à 18:41:36
- 0 +

Bon et bien impossible de supprimer le dll c_9nui.dll en mode sans échec ... et l'autre partner n'existe pas ... j'ai qd même pu supprimer c_9nui.dll avec AVG apparemment il n'est plus dans System32

Voici le rapport AVG : (j'ai mis tout le reste en quarantaine)

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 18:15 17/04/2007

+ Résultat de l'analyse:



C:\WINDOWS\system32\AdCache -> Adware.Cydoor : Ignoré.
HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ExplorerUWAS -> Adware.WinAntiSpyware : Ignoré.
HKLM\SOFTWARE\Classes\Drive\shellex\ContextMenuHandlers\ExplorerUWAS -> Adware.WinAntiSpyware : Ignoré.
HKLM\SOFTWARE\Classes\Interface\{4567AB12-A884-4CA6-B739-CEDB12FEF096} -> Adware.WinAntiSpyware : Ignoré.
HKLM\SOFTWARE\Classes\Interface\{ABCD4567-4D73-43E9-85E5-53A2DBD95411} -> Adware.WinAntiSpyware : Ignoré.
HKLM\SOFTWARE\Classes\Interface\{ABCD4567-D8E8-4DF1-A3EA-D0AA72F42611} -> Adware.WinAntiSpyware : Ignoré.
HKLM\SOFTWARE\Classes\TypeLib\{12398A44-7DFC-4C46-BD8F-41259D169A0D} -> Adware.WinAntiSpyware : Ignoré.
HKLM\SOFTWARE\Classes\TypeLib\{4567AB12-AE24-4FD6-B479-E2B464F32DA6} -> Adware.WinAntiSpyware : Ignoré.
HKLM\SOFTWARE\Classes\TypeLib\{ABCD4567-7437-43EF-AB74-4AB1D3A37411} -> Adware.WinAntiSpyware : Ignoré.
HKLM\SOFTWARE\Classes\UWAS6.UWAS6 -> Adware.WinAntiSpyware : Ignoré.
HKLM\SOFTWARE\Classes\UWAS6.UWAS6\CLSID -> Adware.WinAntiSpyware : Ignoré.
HKLM\SOFTWARE\WinAntiSpyware 2006 Scanner -> Adware.WinAntiSpyware : Ignoré.
HKLM\SYSTEM\ControlSet001\Services\uwasfsd -> Adware.WinAntiSpyware : Ignoré.
HKLM\SYSTEM\ControlSet001\Services\uwasfsd\Enum -> Adware.WinAntiSpyware : Ignoré.
HKLM\SYSTEM\ControlSet001\Services\uwasfsd\Security -> Adware.WinAntiSpyware : Ignoré.
HKLM\SYSTEM\CurrentControlSet\Services\uwasfsd -> Adware.WinAntiSpyware : Ignoré.
HKLM\SYSTEM\CurrentControlSet\Services\uwasfsd\Enum -> Adware.WinAntiSpyware : Ignoré.
HKLM\SYSTEM\CurrentControlSet\Services\uwasfsd\Security -> Adware.WinAntiSpyware : Ignoré.
HKU\S-1-5-21-73586283-630328440-725345543-1004\Software\WinAntiSpyware 2006 Scanner -> Adware.WinAntiSpyware : Ignoré.
HKU\S-1-5-21-73586283-630328440-725345543-1004\Software\WinAntiSpyware 2006 Scanner\Settings -> Adware.WinAntiSpyware : Ignoré.
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe1172093336 -> Downloader.Agent.awf : Ignoré.
C:\Program Files\QuickTime\qttask.exe1172412449 -> Downloader.Agent.awf : Ignoré.
C:\WINDOWS\system32\NeroCheck.exe1173782271 -> Downloader.Agent.awf : Ignoré.
C:\WINDOWS\system32\bak\lsasss.exe -> Downloader.Agent.awf : Ignoré.
C:\RepertoireFred\backups\backup-20070415-200444-601.dll -> Downloader.ConHook : Ignoré.
C:\RepertoireFred\hijackthis\backups\backup-20070417-033239-731.dll -> Downloader.ConHook : Ignoré.
C:\RepertoireFred\hijackthis\backups\backup-20070417-173247-698.dll -> Downloader.ConHook : Ignoré.
C:\WINDOWS\system32\c_9nui.dll -> Downloader.ConHook : Ignoré.
C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe -> Hijacker.Agent.jh : Ignoré.
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe -> Hijacker.Agent.jh : Ignoré.
C:\Program Files\Messager Wanadoo\Demon.exe -> Hijacker.Agent.jh : Ignoré.
C:\WINDOWS\system32\NeroCheck.exe1176157270 -> Hijacker.Agent.jh : Ignoré.
C:\QooBox\Quarantine\C\WINDOWS\system32\lzx32.sys.vir -> Hijacker.Costrat.ah : Ignoré.
C:\Documents and Settings\Jean-Denis\Local Settings\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\Cache\6F4BFF4Ad01 -> Not-A-Virus.Downloader.Win32.WinFixer.m : Ignoré.
C:\QooBox\Quarantine\C\WINDOWS\system32\rsvp32_2.dll.vir -> Proxy.Horst : Ignoré.
C:\WINDOWS\system32\rsvp32_2.dll -> Proxy.Horst : Ignoré.
C:\QooBox\Quarantine\C\Documents and Settings\All Users\Documents\Settings\partnership.dll.vir -> Proxy.Xorpix.bc : Ignoré.
C:\QooBox\Quarantine\C\WINDOWS\system32\main.sys.vir -> Rootkit.Agent.el : Ignoré.
C:\Documents and Settings\Administrateur\Cookies\administrateur@connextra[2].txt -> TrackingCookie.Connextra : Ignoré.
C:\Documents and Settings\Administrateur\Cookies\administrateur@stat.dealtime[2].txt -> TrackingCookie.Dealtime : Ignoré.
C:\Documents and Settings\Administrateur\Cookies\administrateur@searchportal.information[1].txt -> TrackingCookie.Information : Ignoré.
C:\Documents and Settings\Administrateur\Cookies\administrateur@search.msn[2].txt -> TrackingCookie.Msn : Ignoré.
C:\Documents and Settings\Administrateur\Cookies\administrateur@www.paypal[1].txt -> TrackingCookie.Paypal : Ignoré.
C:\Documents and Settings\Administrateur\Cookies\administrateur@m.webtrends[2].txt -> TrackingCookie.Webtrends : Ignoré.
C:\WINDOWS\iiifed.dll -> Trojan.Agent.agv : Ignoré.
C:\QooBox\Quarantine\C\WINDOWS\system32\tmp11F.tmp.dll.vir -> Trojan.BHO.o : Ignoré.
C:\QooBox\Quarantine\C\WINDOWS\system32\tmp194.tmp.dll.vir -> Trojan.BHO.o : Ignoré.
C:\QooBox\Quarantine\C\WINDOWS\system32\tmp2.tmp.dll.vir -> Trojan.BHO.o : Ignoré.
C:\Repertoire J.D\backups\backup-20070415-200444-829.dll -> Trojan.BHO.o : Ignoré.
C:\Program Files\Fichiers communs\delsim\del.exe -> Trojan.Dialer.fn : Ignoré.
C:\WINDOWS\dapsolfeb.exe -> Trojan.Dialer.fn : Ignoré.
C:\WINDOWS\system32\ws2_32.dll:fork2 -> Trojan.Pakes : Ignoré.

et un rapport hijack :

Logfile of HijackThis v1.99.1
Scan saved at 18:42, on 17/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\RepertoireFred\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\RepertoireFred\Divers\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\RepertoireFred\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\RepertoireFred\hijackthis\scanner.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\Messager Wanadoo\Demon.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\RepertoireFred\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Uniblue Registry Booster] C:\RepertoireFred\Divers\Registry Booster\RegistryBooster.exe /S
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\RepertoireFred\Poker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\RepertoireFred\Poker\PartyPoker\RunApp.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CA4FAC4-7E8F-4537-8DBA-527C75E630F4}: NameServer = 80.10.246.130,80.10.246.3
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\RepertoireFred\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\RepertoireFred\Divers\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe


Message édité par flocks le 17-04-2007 à 18:45:05
Répondre à flocks
bob_   17-04-2007 à 20:37:54
- 0 +

Re,

Télécharge sur ton bureau :

http://www.malekal.com/download/clean.zip

Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extrait tout ou extraire ici.
Cela va créer un dossier clean.
Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
Clean va travailler.
Un rapport va etre généré, colle le contenu entier ici.

Répondre à bob_
flocks   18-04-2007 à 03:45:12
- 0 +

Voici le rapport de clean

18/04/2007 a 3:47:10,31

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\drivers\uwasfsd.sys FOUND

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\Everest Poker\" FOUND
*** Fin du rapport !

Répondre à flocks
bob_   18-04-2007 à 09:38:30
- 0 +

Bonjour,

Redémarre en mode Sans Échec
(au démarrage, tapote immédiatement la touche F8), puis tu verras un écran avec choix de démarrages :
choisis Mode sans échec avec les flèches du clavier, puis valide avec Entrée.
Choisis ton compte usuel (et non Administrateur).

Si tu n’arrives vraiment pas à redémarrer en mode sans échec je te propose ce lien :

Redémarrer en mode sans échec

Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.
Clean va travailler.
Un rapport va etre généré, colle le contenu entier ici.

&

  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur http://pictures.kaspersky.fr/bouton-scann1.jpg
  • Clique maintenant sur J'accepte.
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.


AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Répondre à bob_
flocks   19-04-2007 à 01:22:24
- 0 +

Le rapport clean :

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 18/04/2007 a 19:59:35,98

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\drivers\uwasfsd.sys

*** Suppression des fichiers dans C:\Program Files
tentative de suppression de "C:\Program Files\Everest Poker\"

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !


Voici le rapport Kaspersky

------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, April 19, 2007 1:11:22 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 18/04/2007
Enregistrements dans la base antivirus Kaspersky : 281722
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
C:\
D:\
E:\

Statistiques de l'analyse:
Total d'objets analysés: 96699
Nombre de virus trouvés: 2
Nombre d'objets infectés: 4 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 00:56:17

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cert8.db L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\formhistory.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\history.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\key3.db L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\parent.lock L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\search.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Application Data\Identities\{C328C79E-B6C5-4EE1-8886-BF74BEB5E3E3}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From "SunTrust Bank'06" <support_reference88028id@suntrust.com>][Date Wed, 6 Sep 2006 09:55:32 +0200 (CEST)]/UNNAMED/contemplate.gif Infecté : Trojan-Spy.HTML.Bankfraud.qb ignoré
C:\Documents and Settings\Fred\Local Settings\Application Data\Identities\{C328C79E-B6C5-4EE1-8886-BF74BEB5E3E3}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From "SunTrust Bank'06" <support_reference88028id@suntrust.com>][Date Wed, 6 Sep 2006 09:55:32 +0200 (CEST)]/UNNAMED Infecté : Trojan-Spy.HTML.Bankfraud.qb ignoré
C:\Documents and Settings\Fred\Local Settings\Application Data\Identities\{C328C79E-B6C5-4EE1-8886-BF74BEB5E3E3}\Microsoft\Outlook Express\Éléments supprimés.dbx Mail MS Outlook 5: infecté - 2 ignoré
C:\Documents and Settings\Fred\Local Settings\Application Data\Microsoft\Media Player\CurrentDatabase_59R.wmdb L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Application Data\Microsoft\Messenger\jdblekiss@msn.com\SharingMetadata\Logs\Dfsr00005.log L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Application Data\Microsoft\Messenger\jdblekiss@msn.com\SharingMetadata\pending.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Application Data\Microsoft\Messenger\jdblekiss@msn.com\SharingMetadata\Working\database_1C6_2EED_ADC_B0C0\dfsr.db L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Application Data\Microsoft\Messenger\jdblekiss@msn.com\SharingMetadata\Working\database_1C6_2EED_ADC_B0C0\fsr.log L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Application Data\Microsoft\Messenger\jdblekiss@msn.com\SharingMetadata\Working\database_1C6_2EED_ADC_B0C0\fsrtmp.log L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Application Data\Microsoft\Messenger\jdblekiss@msn.com\SharingMetadata\Working\database_1C6_2EED_ADC_B0C0\tmp.edb L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Application Data\Microsoft\Windows Live Contacts\jdblekiss@msn.com\real\members.stg L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Application Data\Microsoft\Windows Live Contacts\jdblekiss@msn.com\shadow\members.stg L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Temp\Perflib_Perfdata_7c0.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Temp\~DF2CA4.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Temp\~DF2CEA.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Temp\~DF4447.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Temp\~DF44DD.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Fred\NtUser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Wanadoo\Utilisateur1\Mes archives de conversations\avril 2007\Historique des Évènements.xml L'objet est verrouillé ignoré
C:\QooBox\Quarantine\C\WINDOWS\system32\winlogon.exe.vir Infecté : Trojan.Win32.Patched.m ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{41A61E21-2A50-4A2B-BB72-7814598B2190}\RP473\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\dtscsi.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd4749.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.

Répondre à flocks
bob_   19-04-2007 à 22:18:39
- 0 +

Bonsoir,

1/ Supprilme ce dossier :

C:\QooBox\

2/ Supprime ce mail :

C:\Documents and Settings\Fred\Local Settings\Application Data\Identities\{C328C79E-B6C5-4EE1-8886-BF74BEB5E3E3}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From "SunTrust Bank'06" <support_reference88028id@suntrust.com>][Date Wed, 6 Sep 2006 09:55:32 +0200 (CEST)]/UNNAMED/contemplate.gif Infecté : Trojan-Spy.HTML.Bankfraud.qb ignoré

La procédure est longue et en partie en mode sans échec. Attention, tu n'as pas accès à Internet dans ce mode, enregistre cette page Web (clique sur fichier/enregistrer sous/choisis « Bureau ») ou imprime ce que tu as à faire.

3/ Recommence le scan AVG Anti-Spyware en suivant ce tuto :

- Démarre AVG Anti-Spyware 7.5 avec l'icône qui se trouve sur ton Bureau.
Clique sur Mise à jour.
Sous Mise à jour manuelle clique sur Commencer la mise à jour et attend la fin de cette mise à jour puis ferme le programme.

- Redémarre en mode Sans Échec
(au démarrage, tapote immédiatement la touche F8), puis tu verras un écran avec choix de démarrages :
choisis Mode sans échec avec les flèches du clavier, puis valide avec Entrée.
Choisis ton compte usuel (et non Administrateur).

Si tu n’arrives vraiment pas à redémarrer en mode sans échec je te propose ce lien :

Redémarrer en mode sans échec

- Relance AVG Anti-Spyware 7.5 et clique sur l’onglet Analyse et ensuite clique sur Paramètres.

A la question Comment réagir ?, tu cliques sur Actions recommandées et choisis Quarantaine

Retourne sur l’onglet Analyse puis sélectionne Analyse complète du système.

En fin d’analyse si un fichier est infecté, clique sur le bouton Appliquer toutes les actions.

Clique sur Enregistrer le rapport, puis Enregistrer le rapport sous, je te conseille de le mettre sur ton bureau.

- Redémarre en mode normal.
Poste le rapport AVG Anti-Spyware 7.5 dans ta prochaine réponse et poste un nouveau rapport HijackThis.

Répondre à bob_
flocks   20-04-2007 à 04:17:01
- 0 +

C'est très gentil de m'aider :)
J'viens seulement de rentrer chez moi il est 4h du mat et comme l'analyse prend un peu temps j'la ferais demain et je te poste tout ca demain :) dans l'aprem !
Je sens déja que mon pc va bcp mieux :) ca fait plaisir

Répondre à flocks
flocks   20-04-2007 à 16:13:46
- 0 +

Comme planifié, voici le rapport AVG :

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 15:58 20/04/2007

+ Résultat de l'analyse:



C:\Documents and Settings\Fred\Cookies\fred@2o7[2].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Fred\Cookies\fred@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Fred\Cookies\fred@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.126:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.127:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.104:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Adviva : Nettoyé.
:mozilla.85:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Fred\Cookies\fred@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.129:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Fred\Cookies\fred@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
:mozilla.66:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Cpvfeed : Nettoyé.
:mozilla.67:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Cpvfeed : Nettoyé.
:mozilla.68:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Cpvfeed : Nettoyé.
:mozilla.70:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Cpvfeed : Nettoyé.
:mozilla.35:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Fred\Cookies\fred@doubleclick[2].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Fred\Cookies\fred@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
:mozilla.128:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
C:\Documents and Settings\Fred\Cookies\fred@ehg-telecomitalia.hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Fred\Cookies\fred@hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
:mozilla.83:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Imrworldwide : Nettoyé.
:mozilla.84:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Imrworldwide : Nettoyé.
:mozilla.8:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\Fred\Cookies\fred@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
:mozilla.117:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Paypal : Nettoyé.
:mozilla.89:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Questionmarket : Nettoyé.
:mozilla.90:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Questionmarket : Nettoyé.
:mozilla.91:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Questionmarket : Nettoyé.
:mozilla.92:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Questionmarket : Nettoyé.
:mozilla.93:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Questionmarket : Nettoyé.
:mozilla.94:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Questionmarket : Nettoyé.
:mozilla.86:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Revsci : Nettoyé.
:mozilla.118:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.119:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.120:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.121:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.122:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.123:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Fred\Cookies\fred@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Fred\Cookies\fred@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.10:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.11:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.9:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Fred\Cookies\fred@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.87:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Tacoda : Nettoyé.
:mozilla.88:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Tacoda : Nettoyé.
:mozilla.39:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.40:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.41:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Fred\Cookies\fred@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.42:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.43:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.44:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.45:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.46:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.47:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.48:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.49:C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\b1lchz2j.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.


Et le hijack

Logfile of HijackThis v1.99.1
Scan saved at 16:13, on 20/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\RepertoireFred\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\RepertoireFred\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\RepertoireFred\Divers\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\RepertoireFred\hijackthis\scanner.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\Messager Wanadoo\Demon.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\RepertoireFred\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Uniblue Registry Booster] C:\RepertoireFred\Divers\Registry Booster\RegistryBooster.exe /S
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\RepertoireFred\Poker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\RepertoireFred\Poker\PartyPoker\RunApp.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CA4FAC4-7E8F-4537-8DBA-527C75E630F4}: NameServer = 80.10.246.130,80.10.246.3
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\RepertoireFred\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\RepertoireFred\Divers\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

Répondre à flocks
bob_   20-04-2007 à 21:49:53
- 0 +

Bonsoir,

- Lance HijackThis
puis --> Do a system scan only
coche les lignes indiquées ci-dessous

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\RepertoireFred\Poker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\RepertoireFred\Poker\PartyPoker\RunApp.exe

puis --> Fix checked
puis oui à la question de confirmation

- As-tu encore des dysfonctionnements ?

Répondre à bob_
flocks   20-04-2007 à 22:15:55
- 0 +

Franchement, mon PC tourne très bien maintenant, plus aucun processus suspect, tout est fluide. Je ne peux que te remercier, tu ne vois plus rien de suspect dans les rapports je suppose?
Il y a juste un petit truc mais je titille.. au démarrage le temps qui s'écoule avant que le PC ne commence les test de vérification de RAM et de périphérique est bien plus long qu'avant, ca doit bien prendre 5 bonnes secondes! alors qu'avant ca devait etre de l'ordre de la seconde ... si tu penses savoir pourquoi, j'suis preneur sinon c'est pas bien grave je pense :)
En tout cas MERCI !!!

Répondre à flocks
bob_   20-04-2007 à 22:44:17
- 0 +

Re,

Desinstalle tous les programmes que je t'ai fait installer, supprime tous les rapports d'analyse.

Desactive puis réactive la restauration systeme si tu ne sais pas comment on fait consulte cette page :

http://service1.symantec.com/SUPPO [...] 0101856924

Ensuite il serrait interessant que tu puisses refaire un nouveau scan en ligne chez Kaspersky si tu n'as pas le courrage / patience je pense que c'est OK ;)

Bonne continuation :)

PS : Pense à lire cette page pour éviter de te faire réinfecter trop rapidement :

http://www.malekal.com/securiser_ordinateur.html

Répondre à bob_
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > Besoin d'aide pour infection svp
Aller à :

Il y a 1450 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,464 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens