Bibou Le Forum
Portail sur la sécurité
 
PortailAccueilRechercherS'enregistrerMembresGroupesConnexion

Partagez | 
 

 problème virus (résolu)

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
sophie
Bibou
Bibou


Féminin
Nombre de messages : 33
Age : 45
Localisation : tarn
Date d'inscription : 13/06/2008

MessageSujet: problème virus (résolu)   Jeu 29 Jan 2009 - 11:40

Smile bonjour,
une amie m'a prété une clé usb, mais elle était infectée.
J'ai fait un scan avec mon anti virus (antivir) et il a détecté 25 virus je crois.
Je les ai mis en quarantaine comme il était préconisé, mais depuis mon pc est très lent au démarage et pour afficher les pages. J'ai aussi des fenetres publicitaires qui s'ouvrent.
Je crois que certains virus ont réussi à passer.
Si quelqu'un peut m'aider, ça serait sympa
merci.
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 14:08

Salut!!

Télécharge d'abord cet outil qui va permettre de cibler l'infection:

>>> Hijackthis <<<

Installe-le dans son dossier par défaut (soit "C:\Program Files\Trend Micro...) et lance-le.

Choisis l'option "Do a system scan and save a Logfile".

Copie/colle alors le rapport généré dans ta prochaine réponse.



>>> Tuto si besoin <<<

A++ Wink
Revenir en haut Aller en bas
sophie
Bibou
Bibou


Féminin
Nombre de messages : 33
Age : 45
Localisation : tarn
Date d'inscription : 13/06/2008

MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 14:34

merci pour ton aide

voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:34:07, on 29/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\documents and settings\sophie caraven\local settings\application data\sqmkpnyw.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\notepad.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Windows Live\Mail\wlmail.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Waiting1690] C:\Windows\stid1690.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
O4 - HKCU\..\Run: [sqmkpnyw] "c:\documents and settings\sophie caraven\local settings\application data\sqmkpnyw.exe" sqmkpnyw
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKLM\..\Policies\Explorer\Run: [sys] C:\WINDOWS\Fonts\Fonts.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Recherche sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://ipgweb.cce.hp.com/rdqemea/downloads/msxml4.cab
O16 - DPF: {CE8267C2-D41A-4A50-A69D-F32B5C289F14} (FileOpenInstaller) - http://plugin.fileopen.com/current/FileOpen.CAB
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Planificateur LiveUpdate automatique (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Unknown owner - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PLFlash DeviceIoControl Service - Unknown owner - C:\WINDOWS\system32\IoctlSvc.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9815 bytes
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 14:51

Bien! On va commencer par l'infection Navipromo. C'est celle qui t'envoie les pubs bidons sur ta machine.

(c est le numéro 1 en bas de la page) :


  • Télécharge sur le bureau Navilog1

  • Si ton antivirus s'affole , le désactiver

  • sous XP : double-clic dessus pour l'installer et le lancer

  • taper F

  • Appuyer sur une touche jusqu' arriver aux options

  • Choisir Recherche ( = taper 1 )

    ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

  • un rapport : fixnavi.txt dans ==> C :

  • le copier et le coller dans la réponse
Revenir en haut Aller en bas
sophie
Bibou
Bibou


Féminin
Nombre de messages : 33
Age : 45
Localisation : tarn
Date d'inscription : 13/06/2008

MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 15:00

Search Navipromo version 3.7.1 commencé le 29/01/2009 à 12:22:14,53

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.66GHz )
BIOS : Award Modular BIOS v6.00PG
USER : Sophie CARAVEN ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Not Activated)
Firewall : Norton AntiVirus 15.5.0.23 (Activated)

A:\ (USB)
C:\ (Local Disk) - FAT32 - Total:74 Go (Free:11 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)
K:\ (Local Disk) - FAT32 - Total:111 Go (Free:25 Go)


Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit

*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudÉ~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudÉ~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Sophie CARAVEN\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Sophie CARAVEN\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Sophie CARAVEN\menud+~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Sophie CARAVEN\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sqmkpnyw"="\"c:\\documents and settings\\sophie caraven\\local settings\\application data\\sqmkpnyw.exe\" sqmkpnyw"


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Sophie CARAVEN\locals~1\applic~1" :

sqmkpnyw.exe trouvé !
sqmkpnyw.dat trouvé !
sqmkpnyw_navps.dat trouvé !
sqmkpnyw_nav.dat trouvé !

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 29/01/2009 à 12:24:21,62 ***
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 15:07

Bien!



  • Relance navilog1

  • Choisis cette fois option 2

    * note : le bureau disparaît

  • redémarrage du pc

  • mettre le rapport dans ta prochaine réponse
Revenir en haut Aller en bas
sophie
Bibou
Bibou


Féminin
Nombre de messages : 33
Age : 45
Localisation : tarn
Date d'inscription : 13/06/2008

MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 16:26

Clean Navipromo version 3.7.1 commencé le 29/01/2009 à 14:30:17,04

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.66GHz )
BIOS : Award Modular BIOS v6.00PG
USER : Sophie CARAVEN ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)
Firewall : Norton AntiVirus 15.5.0.23 (Activated)

A:\ (USB)
C:\ (Local Disk) - FAT32 - Total:74 Go (Free:11 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)
K:\ (Local Disk) - FAT32 - Total:111 Go (Free:25 Go)


Mode suppression automatique
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\Sophie CARAVEN\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudÉ~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudÉ~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Sophie CARAVEN\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Sophie CARAVEN\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Sophie CARAVEN\menud+~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menud+~1\progra~1" ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Sophie CARAVEN\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *



* Dans "C:\Documents and Settings\Sophie CARAVEN\locals~1\applic~1" *


sqmkpnyw.exe trouvé !
Copie sqmkpnyw.exe réalisée avec succès !
sqmkpnyw.exe supprimé !

sqmkpnyw.dat trouvé !
Copie sqmkpnyw.dat réalisée avec succès !
sqmkpnyw.dat supprimé !

sqmkpnyw_navps.dat trouvé !
Copie sqmkpnyw_navps.dat réalisée avec succès !
sqmkpnyw_navps.dat supprimé !

sqmkpnyw_nav.dat trouvé !
Copie sqmkpnyw_nav.dat réalisée avec succès !
sqmkpnyw_nav.dat supprimé !


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *



*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***



*** Nettoyage terminé le 29/01/2009 à 14:40:55,75 ***
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 16:31

Parfait!

On va voir quelque chose:


  • Télécharge RAV antivirus (d'Evosla)

    (c est le numéro 16 en bas de la page)

  • Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX

  • Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau

  • Doucle-clique sur >> RAV.exe << afin de lancer l'outil.

  • Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)

  • Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .

  • Retire tes disques amovibles et redémarre le PC.

  • Poste le rapport, si infection!
Revenir en haut Aller en bas
sophie
Bibou
Bibou


Féminin
Nombre de messages : 33
Age : 45
Localisation : tarn
Date d'inscription : 13/06/2008

MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 17:01

bon alors j'ai lançé le scan
au début il a indiqué que mon pc était infecté
puis il a dit que les virus (2) ont été supprimé
et la il marque que mon pc est sain
mais il continue a balayer sans qu'il n'y ai rien de plus qui se passe
c'est bon ou pas?
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 17:06

Tu as eu un rapport généré?
Revenir en haut Aller en bas
sophie
Bibou
Bibou


Féminin
Nombre de messages : 33
Age : 45
Localisation : tarn
Date d'inscription : 13/06/2008

MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 17:11

non je n'ai rien eu
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 17:36

Ok! Pas grave!

Tu peux supprimer Rav.

On va vérifier la bonne désinfection de tes disques amovibles:


  • Télécharge l'outil Flash_Disinfector (de sUBs) et enregistre le sur ton bureau :

    (c est le numéro 12 en bas de la page) :

  • Double clique sur Flash_Disinfector.exe pour l'exécuter.

  • Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra :

  • Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés.

  • Puis clic sur Ok

  • Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!]

  • Appuie ensuite sur OK, pour faire réapparaître le bureau.


================

Ensuite, passe ceci:
Télécharge Malwarebytes Anti-Malware (MBAM):

>> MBAM <<

Installe-le en vérifiant que la case de mise à jour soit bien cochée en fin d'installation.

Après la mise à jour, lance-le et coche "Examen Rapide". Puis "Rechercher".

Si MBAM trouve quelque chose: fais "Voir les résultats" puis "Supprimer la sélection".

Poste le rapport généré.

A++ Wink
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 17:40

Attention, j'ai édité mon précédent message concernant MBAM. Merci.

A++
Revenir en haut Aller en bas
sophie
Bibou
Bibou


Féminin
Nombre de messages : 33
Age : 45
Localisation : tarn
Date d'inscription : 13/06/2008

MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 17:45

quand j'essaie de télécharger Flash_Disinfector j'ai un message de mon anti virus me disant qu'il y a 2 virus il me dit : deny acess. Je fais ok et donc je ne peux pas télécharger Flash_Disinfector
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 17:47

Oui! Désactive Avira le temps du téléchargement et du scan. Wink
Revenir en haut Aller en bas
sophie
Bibou
Bibou


Féminin
Nombre de messages : 33
Age : 45
Localisation : tarn
Date d'inscription : 13/06/2008

MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 18:11

j'ai lançé MBAM, il atrouvé 2 infectés, j'ai supprimé la sélection il y a eu un rapport que j'ai copié puis l'ordi a redémarré donc je n'ai plus le rapport
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 18:14

Rends-toi dans l'onglet "Rapports/logs" de MBAM. Tu devrais y retrouver le rapport. Poste-le moi s'il te plaît.
Revenir en haut Aller en bas
sophie
Bibou
Bibou


Féminin
Nombre de messages : 33
Age : 45
Localisation : tarn
Date d'inscription : 13/06/2008

MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 18:22

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1705
Windows 5.1.2600 Service Pack 3

29/01/2009 17:04:58
mbam-log-2009-01-29 (17-04-58).txt

Type de recherche: Examen rapide
Eléments examinés: 59407
Temps écoulé: 4 minute(s), 48 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f1e96edc-e0c8-be98-1f15-c29dbed83b53} (Adware.PlayMP3Z-biz) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRun.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe (Security.Hijack) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: (C:\WINDOWS\pchealth\Global.exe) Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E} (Trojan.Agent) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\TDSSdxgp.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSakod.log (Trojan.TDSS) -> Quarantined and deleted successfully.
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 18:26

Ok! Bien!

Retourne dans MBAM, va cette fois dans l'onglet "Quarantaine" et supprime tout.

Dans Antivir, as-tu supprimé la quarantaine?

Fais ceci pour voir où en sont les infections:


Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.



Double-clique sur RSIT.exe.

Clique sur Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches) dans deux messages différents s'il te plaît.


A noter: Les rapports se trouvent également ici: C:\rsit.

A noter: Si les rapports sont trop longs, mieux vaut les uploader selon ->->CE TUTO<-<-
Revenir en haut Aller en bas
sophie
Bibou
Bibou


Féminin
Nombre de messages : 33
Age : 45
Localisation : tarn
Date d'inscription : 13/06/2008

MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 18:34

Revenir en haut Aller en bas
sophie
Bibou
Bibou


Féminin
Nombre de messages : 33
Age : 45
Localisation : tarn
Date d'inscription : 13/06/2008

MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 18:35

Revenir en haut Aller en bas
sophie
Bibou
Bibou


Féminin
Nombre de messages : 33
Age : 45
Localisation : tarn
Date d'inscription : 13/06/2008

MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 18:36

j'ai supprimé la quarantaine de MBAM et de antivir
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 18:57

Ok!

Ça m'a l'air mieux, mais j'ai besoin de voir quelque chose:


  • Telecharge Findykill sur ton bureau

    * (c'est le numéro 18 en bas de la page)

  • Lance l installation avec les parametres par default

  • Double clic sur le raccourci FindyKill sur ton bureau

  • Au menu principal,choisi l option 1 (Recherche)

  • Post le rapport FindyKill.txt

* Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
Revenir en haut Aller en bas
sophie
Bibou
Bibou


Féminin
Nombre de messages : 33
Age : 45
Localisation : tarn
Date d'inscription : 13/06/2008

MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 19:05

donc j'ai fait recherche
ça a bien commençé puis j'ai un message d'erreur :
windows - pas de disque
exception processing message c0000013 parameters 75afbf7c 4 75afbf7c 75afbf7c
annuler recommencer continuer
Revenir en haut Aller en bas
sophie
Bibou
Bibou


Féminin
Nombre de messages : 33
Age : 45
Localisation : tarn
Date d'inscription : 13/06/2008

MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 19:07

j'ai quand meme un rapport qui vient de sortir


###################### [ FindyKill V4.715 ]

# User : Sophie CARAVEN - SOPHIEGIL
# Emplacement : C:\Program Files\FindyKill
# Outils Mis a jours 29/01/09 par Chiquitine29
# Recherche effectuée à 18:02:29 le 29/01/2009
# Windows XP - Internet Explorer 7.0.5730.11

# [ FindyKill V4.715 - Scan ] ##############

\\\\\\\\\\\\\\\\\\\\ [ Processus actifs ] ///////////////////


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Windows Live\Mail\wlmail.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe

\\\\\\\\\\\\\\\\\\ [ Fichiers/Dossiers infectieux ] ///////////////////


################## [ C:\ ]


################## [ C:\WINDOWS ]


################## [ C:\WINDOWS\Prefetch ]


################## [ C:\WINDOWS\system32 ]


################## [ C:\WINDOWS\system32\drivers ]


################## [ C:\Documents and Settings\Sophie CARAVEN\Application Data ]


################## [ C:\DOCUME~1\SOPHIE~1\LOCALS~1\Temp ]


\\\\\\\\\\\\\\\\\\ [ Registre / Startup ] ///////////////////

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
updateMgr="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\BtcMaestro=
ModelName=MI-5219URF(February)
Version=1.8A (2.0.W-127AU MUL)
Language=1 (0x1)
KeyboardID=0 (0x0)
MouseID=0 (0x0)
KeyboardSID=0 (0x0)
MouseSID=0 (0x0)
RxSecret=0 (0x0)
RMenuSel=0 (0x0)
AddMouse=1 (0x1)
JumpPickLevel=0 (0x0)
KeyboardBat=0 (0x0)
MouseBat=0 (0x0)
KeyboardCh=0 (0x0)
MouseCh=0 (0x0)
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\BtcMaestro\Config=
DisplayLabel=1 (0x1)
TaskbarIcon=0 (0x0)
Autoplay=0 (0x0)
F091=0Q;my music
L091=Ma musique
F090=0P;my pictures
L090=Mes images
F089=0J;joystick on
L089=Joy Stick ON
F088=0J;joystick off
L088=Joy Stick OFF
F087=F;next track
L087=Piste suivante
F086=G;previous track
L086=Piste précédente
F085=E;stop
L085=Arrêt
F084=0H;mouse fifth button
L084=5ème Bouton de la souris
F083=C;volume down
L083=Volume Bas
F082=B;volume up
L082=Volume Haut
F081=D;play
L081=Lecture /Pause
F080=0G;mouse fourth button
L080=4ème Bouton de la souris
F079=0F;scroll right
L079=Milieu + Défilement vers le bas
F078=0E;scroll left
L078=Milieu + Défilement vers le haut
F077=J;www(AC)
L077=www
F076=0I;quick jump
L076=Bouton du milieu de la souris
F075=0F;scroll right
L075=Milieu + Droite
F074=0E;scroll left
L074=Milieu + Gauche
F073=m;scroll down
L073=Défiler vers le bas
F072=l;scroll up
L072=Défiler vers le haut
F071=0I;quick jump
L071=Sauter
F070=0F;scroll right
L070=Faire défiler vers la droite
F069=0E;scroll left
L069=Faire défiler vers la gauche
F068=0D:set SID final
L068=Paramétrer le SID Final
F067=0C:paint
L067=Paint
F066=0B;mouse middle button
L066=Bouton central de la souris
F065=0A;europe dollar(OF)
L065=Monnaie Euro
F064=0-;reply all(OF)
L064=Répondre à tous
F063=09;eject 2
L063=Ejecter/Fermer 2
F062=08:help(OF)
L062=Aide
F061=07;redo(OF)
L061=Répéter l’action
F060=06;undo(OF)
L060=Annuler l’action
F059=05;task pane(OF)
L059=Gestionnaire des tâches
F058=04;send(OF)
L058=Envoyer
F057=03;f'ward(OF)
L057=Transférer
F056=02;reply(OF)
L056=Répondre
F055=01;bullets(OF)
L055=Puces
F054=00;spell(OF)
L054=Orthographe
F053=z;bold(OF)
L053=Gras
F052=y;replace(OF)
L052=Remplacer
F051=x;save(OF)
L051=Enregistrer
F050=w;open(OF)
L050=Ouvrir
F049=v;new(OF)
L049=Nouveau
F048=u;copy(OF)
L048=Copier
F047=t;cut(OF)
L047=Couper
F046=s;mark(OF)
L046=Marquer
F045=r;paste(OF)
L045=Coller
F044=q;calendar(OF)
L044=Calendrier
F043=p;power point(OF)
L043=Power Point
F042=o;excel(OF)
L042=Excel
F041=n;word(OF)
L041=Word
F040=m;scroll down
L040=Défiler vers le bas
F039=l;scroll up
L039=Défiler vers le haut
F038=k;Configure
L038=Configurer
F037=j;keyboard and mouse battery low
L037=Piles du clavier et de la souris faibles
F036=i;mouse battery low
L036=Piles de la souris faibles
F035=h;keyboard battery low
L035=Piles du clavier faibles
F034=g;keyboard and mouse battery OK
L034=
F033=f:wake up
L033=Réveiller
F032=e:sleep
L032=Veille
F031=d;power off
L031=Arrêt
F030=c;mf
L030=Verrou F
F029=b;app. close
L029=Fermeture App.
F028=a;app. switch
L028=Bascule App.
F027=Z;log off
L027=Se déconnecter
F026=Y;my computer
L026=Poste de travail
F025=X;refresh(AC)
L025=www Actualiser
F024=W;print(OF)
L024=Imprimer
F023=V;notepad
L023=Bloc-notes
F022=U;explorer
L022=Explorer
F021=T;mediaplayer
L021=Lecteur de Média
F020=S;my documents
L020=Mes Documents
F019=R;calculator
L019=Calculatrice
F018=Q;help(manual)
L018=Aide HP Wireless Keyboard
F017=P;help(OS)
L017=Aide du système d’exploitation
F016=O;favorite(AC)
L016=www Favoris
F015=N;search(AC)
L015=www Rechercher
F014=M;forward(AC)
L014=www Suivante
F013=L;back(AC)
L013=www Retour
F012=K;stop(AC)
L012=www Arrêt
F011=J;www(AC)
L011=www
F010=I;email(AL)
L010=Email
F009=H;eject
L009=Ejecter/Fermer
F008=G;previous track
L008=Piste précédente
F007=F;next track
L007=Piste suivante
F006=E;stop
L006=Arrêt
F005=D;play
L005=Lecture /Pause
F004=C;volume down
L004=Volume Bas
F003=B;volume up
L003=Volume Haut
F002=A;mute
L002=Arrêt son
F001=-;none
L001=Aucun

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
RemoteControl="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
UnlockerAssistant="C:\Program Files\Unlocker\UnlockerAssistant.exe" -H
avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
Waiting1690=C:\Windows\stid1690.exe
Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
NBKeyScan="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
=

[HKEY_CURRENT_USER\software\local appwizard-generated applications\DestComp]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\hpqptc08]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\RtlRack]

\\\\\\\\\\\\\\\\\\ [ Registre / Clés infectieuses ] ///////////////////




\\\\\\\\\\\\\\\\\\ [ Etat / Services ] ///////////////////


# Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

Ndisuio - # Type de démarrage = 3

EapHost - # Type de démarrage = 3

Ip6Fw - # Type de démarrage = 3

SharedAccess - # Type de démarrage = 2

wuauserv - # Type de démarrage = 2

wscsvc - # Type de démarrage = 2


\\\\\\\\\\\\\\\\\\ [ Recherche dans supports amovibles] ///////////////////


# Informations :

C: - Lecteur fixe

J: - Lecteur amovible

K: - Lecteur fixe


# Contenu de l'autorun : C:\autorun.inf



# Contenu de l'autorun : J:\autorun.inf



# Contenu de l'autorun : K:\autorun.inf



# presence des fichiers :

Found ! [29/01/2009 16:56][drahs----] - C:\autorun.inf
C:\autorun.inf - This folder was created by flash disinfector !
Found ! [29/01/2009 16:56][drahs----] - J:\autorun.inf
J:\autorun.inf - This folder was created by flash disinfector !
Found ! [29/01/2009 16:56][drahs----] - K:\autorun.inf
K:\autorun.inf - This folder was created by flash disinfector !


\\\\\\\\\\\\\\\\\\ [ Registre / Mountpoint2 ] ///////////////////


-> Not found !


################## [ ! Fin du rapport # FindyKill V4.715 ! ]
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 19:09

Ok! C'est cool.


  • Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

  • Double clic sur le raccourci FindyKill sur ton bureau

  • Au menu principal,choisi l option 2 (Suppression)

    /!\ il y aura 2 redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage effectué"

    /!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !

  • ensuite post le rapport FindyKill.txt

* Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
* Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
Revenir en haut Aller en bas
sophie
Bibou
Bibou


Féminin
Nombre de messages : 33
Age : 45
Localisation : tarn
Date d'inscription : 13/06/2008

MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 19:36

###################### [ FindyKill V4.715 ]

# User : Sophie CARAVEN - SOPHIEGIL
# Executed from : C:\Program Files\FindyKill
# Update on 29/01/09Nby Chiquitine29
# Start at 18:18:41 the 29/01/2009
# Windows XP - Internet Explorer 7.0.5730.11

# [ FindyKill V4.715 - Deleting ] ###############

\\\\\\\\\\\\\\\\\\ [ Active Processes ] ///////////////////


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe

\\\\\\\\\\\\\\\\\\ [ Infected Files / Folders ] ///////////////////


################## [ C:\ ]


################## [ C:\WINDOWS ]


################## [ C:\WINDOWS\Prefetch ]

Deleted ! - C:\WINDOWS\prefetch\MDELK.EXE-238AA5EF.pf

################## [ C:\WINDOWS\system32 ]


################## [ C:\WINDOWS\system32\drivers ]


################## [ C:\Documents and Settings\Sophie CARAVEN\Application Data ]


################## [ C:\DOCUME~1\SOPHIE~1\LOCALS~1\Temp ]


################## [ C:\Documents and Settings\Sophie CARAVEN\Local Settings\Temporary Internet Files\Content.IE5 ]


\\\\\\\\\\\\\\\\\\ [ Registry / Infected keys ] ///////////////////


\\\\\\\\\\\\\\\\\\ [ States / Restarting of services ] ///////////////////


# Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - # Type of startup = 3

EapHost - # Type of startup = 2

Ip6Fw - # Type of startup = 2

SharedAccess - # Type of startup = 2

wuauserv - # Type of startup = 2

wscsvc - # Type of startup = 2


\\\\\\\\\\\\\\\\\\ [ Cleaning Removable drives ] ///////////////////

# Informations :

C: - Lecteur fixe

J: - Lecteur amovible

K: - Lecteur fixe


# deleting files :

Not deleted !! - C:\autorun.inf
Not deleted !! - J:\autorun.inf
Not deleted !! - K:\autorun.inf

\\\\\\\\\\\\\\\\\\ [ Registry / Mountpoint2 ] ///////////////////


-> Not found !


\\\\\\\\\\\\\\\\\\ [ Searching Other Infections ] ///////////////////

Suspect ! - 43b4df25b8f90d34e5a1e9f0d8d7c36e C:\System Volume Information\_restore{200B839B-7228-4296-9FB2-2DC6FDE86375}\RP349\A0061731.exe
Suspect ! - 17edef0b1b14d618ccbd9a8f89f02a36 C:\System Volume Information\_restore{200B839B-7228-4296-9FB2-2DC6FDE86375}\RP349\A0061782.exe
Suspect ! - 64c74290f9fd99d83c0d81dd14433c29 C:\System Volume Information\_restore{200B839B-7228-4296-9FB2-2DC6FDE86375}\RP349\A0061786.exe
Suspect ! - fce5ece3ecdcbc2f4ba7412702885d9d C:\System Volume Information\_restore{200B839B-7228-4296-9FB2-2DC6FDE86375}\RP349\A0061787.exe
Suspect ! - 87236473e668929d6174d6b4b2d0f279 C:\System Volume Information\_restore{200B839B-7228-4296-9FB2-2DC6FDE86375}\RP349\A0061791.exe
Suspect ! - 6fe82357d5773bfa3334edcc95556726 C:\System Volume Information\_restore{200B839B-7228-4296-9FB2-2DC6FDE86375}\RP349\A0061822.exe
Suspect ! - 6e76fa00231b93290364c5fc4afd261c C:\System Volume Information\_restore{200B839B-7228-4296-9FB2-2DC6FDE86375}\RP349\A0061843.exe
Suspect ! - 70be50d0d083cb6926a5dcb4ee40b87f C:\System Volume Information\_restore{200B839B-7228-4296-9FB2-2DC6FDE86375}\RP349\A0061844.exe

\\\\\\\\\\\\\\\\\\ [ Searching Cracks / Keygen ] ///////////////////

C:\Program Files\NewTech Infosystems\NTI CD-Maker\CdlbBkgd\057_cracks1.jpg
C:\Program Files\NewTech Infosystems\NTI CD-Maker\CdlbBkgd\058_cracks2.jpg
C:\Program Files\NewTech Infosystems\NTI CD-Maker\CdlbBkgd\059_cracks3.jpg
C:\Program Files\NewTech Infosystems\NTI CD-Maker\CdlbBkgd\060_cracks4.jpg

################## [ ! End of report # ! ]
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 19:42

Ok!

\\\\\\\\\\\\\\\\\\ [ Searching Other Infections ] ///////////////////

Suspect ! - 43b4df25b8f90d34e5a1e9f0d8d7c36e C:\System Volume Information\_restore{200B839B-7228-4296-9FB2-2DC6FDE86375}\RP349\A0061731.exe


--> Ces "autres infections" sont dans la restauration système, donc on s'en occupera après.
Antivir risque de les retrouver.

\\\\\\\\\\\\\\\\\\ [ Searching Cracks / Keygen ] ///////////////////

C:\Program Files\NewTech Infosystems\NTI CD-Maker\CdlbBkgd\057_cracks1.jpg
C:\Program Files\NewTech Infosystems\NTI CD-Maker\CdlbBkgd\058_cracks2.jpg
C:\Program Files\NewTech Infosystems\NTI CD-Maker\CdlbBkgd\059_cracks3.jpg
C:\Program Files\NewTech Infosystems\NTI CD-Maker\CdlbBkgd\060_cracks4.jpg


Évidemment, je ne vais pas te dire que les cracks nuisent à la santé du pc, tu le sais déjà! Wink

Pour déjà désinstaller FindyKill, tu le relances et tu fais l'option 3.

Tu peux relancer un scan d'Antivir et me poster le rapport.? Merci.

A++
Revenir en haut Aller en bas
sophie
Bibou
Bibou


Féminin
Nombre de messages : 33
Age : 45
Localisation : tarn
Date d'inscription : 13/06/2008

MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 20:17

Avira AntiVir Personal
Report file date: jeudi 29 janvier 2009 18:46

Scanning for 1300871 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 3) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: SOPHIEGIL

Version information:
BUILD.DAT : 8.2.0.337 16934 Bytes 18/11/2008 13:05:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25/11/2008 09:58:34
AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 08:56:42
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 13:44:20
LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 08:58:54
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 12:09:54
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14/01/2009 10:42:18
ANTIVIR2.VDF : 7.1.1.172 958464 Bytes 23/01/2009 16:56:48
ANTIVIR3.VDF : 7.1.1.203 406528 Bytes 29/01/2009 16:57:00
Engineversion : 8.2.0.60
AEVDF.DLL : 8.1.0.6 102772 Bytes 15/10/2008 17:03:14
AEscript.DLL : 8.1.1.32 340347 Bytes 23/01/2009 15:20:38
AESCN.DLL : 8.1.1.5 123251 Bytes 08/11/2008 08:53:00
AERDL.DLL : 8.1.1.3 438645 Bytes 05/11/2008 20:57:48
AEPACK.DLL : 8.1.3.5 393588 Bytes 10/01/2009 10:38:46
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 12/12/2008 13:01:08
AEHEUR.DLL : 8.1.0.86 1552759 Bytes 23/01/2009 15:20:32
AEHELP.DLL : 8.1.2.0 119159 Bytes 19/11/2008 09:56:58
AEGEN.DLL : 8.1.1.10 323957 Bytes 18/01/2009 09:59:50
AEEMU.DLL : 8.1.0.9 393588 Bytes 15/10/2008 17:03:08
AECORE.DLL : 8.1.5.2 172405 Bytes 29/11/2008 09:57:58
AEBB.DLL : 8.1.0.3 53618 Bytes 15/10/2008 17:03:04
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 09:40:06
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 10:28:02
AVREP.DLL : 8.0.0.2 98344 Bytes 12/08/2008 08:28:36
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 12:26:42
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 09:29:24
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 13:27:50
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 18:28:04
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 13:49:42
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 13:05:12
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 14:48:08
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 14:34:38

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, K:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: medium
Deviating risk categories........: +GAME,+JOKE,+SPR,

Start of the scan: jeudi 29 janvier 2009 18:46

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wltuser.exe' - '1' Module(s) have been scanned
Scan process 'CTFMON.EXE' - '1' Module(s) have been scanned
Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'EXPLORER.EXE' - '1' Module(s) have been scanned
Scan process 'wmiapsrv.exe' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'ULCDRSvr.exe' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'SeaPort.exe' - '1' Module(s) have been scanned
Scan process 'NMSAccessU.exe' - '1' Module(s) have been scanned
Scan process 'JQS.EXE' - '1' Module(s) have been scanned
Scan process 'AluSchedulerSvc.exe' - '1' Module(s) have been scanned
Scan process 'AVGUARD.EXE' - '1' Module(s) have been scanned
Scan process 'SCHED.EXE' - '1' Module(s) have been scanned
Scan process 'SPOOLSV.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'ATI2EVXX.EXE' - '1' Module(s) have been scanned
Scan process 'LSASS.EXE' - '1' Module(s) have been scanned
Scan process 'SERVICES.EXE' - '1' Module(s) have been scanned
Scan process 'WINLOGON.EXE' - '1' Module(s) have been scanned
Scan process 'CSRSS.EXE' - '1' Module(s) have been scanned
Scan process 'SMSS.EXE' - '1' Module(s) have been scanned
31 processes with 31 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!
[WARNING] System error [21]: Le périphérique n'est pas prêt.
Master boot sector HD2
[INFO] No virus was found!
[WARNING] System error [21]: Le périphérique n'est pas prêt.
Master boot sector HD3
[INFO] No virus was found!
[WARNING] System error [21]: Le périphérique n'est pas prêt.
Master boot sector HD4
[INFO] No virus was found!
[WARNING] System error [21]: Le périphérique n'est pas prêt.
Master boot sector HD5
[INFO] No virus was found!
Master boot sector HD6
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'K:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '57' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\hiberfil.sys
[WARNING] The file could not be opened!
Begin scan in 'K:\'


End of the scan: jeudi 29 janvier 2009 19:15
Used time: 29:38 Minute(s)

The scan has been done completely.

4642 Scanning directories
180304 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
180302 Files not concerned
7346 Archives were scanned
6 Warnings
0 Notes
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 20:31

Nickel.

On va commencer à nettoyer.

D'abord CCleaner:

Télécharge CCleaner, version Slim, sans toolbar:




  • Va dans "Options">>"Avancé". Décoche la première ligne.

  • Va dans la section "Nettoyeur". Lance l'analyse. La liste créée, lance le nettoyage deux fois de suite afin d'obtenir 0bytes supprimé!

  • Ensuite dans "Registre", lance une recherche des erreurs. La liste créée, fais-les réparer.



/!\ A ce moment CCleaner te demande normalement de sauvegarder le registre, fais-le. /!\


Recommence ensuite le cycle Recherche/Réparation des erreurs jusqu'à n'en trouver aucune lors de la recherche.



=====================

Puis toolcleaner, qui va nettoyer les outils utilsés.

Nettoyage des outils:

Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau:

>>> Toolscleaner <<<

Clique sur Recherche et laisse le scan se terminer.

Clique, sur Suppression pour finaliser.

Tu peux, si tu le souhaites, te servir des Options facultatives.

Clique sur Quitter, pour que le rapport puisse se créer.

Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

=====================

Ici, tu n'auras plus hijackthis. Redémarre ton pc pour assurer le nettoyage de CClenaer en particulier.
Puis télécharge à nouveau Hijackthis et poste le rapport afin de fixer d'éventuelles lignes et de clore la désinfection.

Rappel hijackthis:

  • Télécharge hijackthis

  • Tout est expliqué pour bien l installer et savoir l'utiliser.


Comment copier/coller le rapport :


Quand tu as le rapport à l écran, tu fais ctrl A pour "sélectionner tout" puis ctrl C pour "copier".

Ensuite tu viens sur le forum pour me répondre et tu fais ctrl V pour "coller" le rapport.


Une explication des raccourcis clavier sont illustrés sur ce site web :

http://forum-aide-contre-virus.be/divers.html

/!\ Attention à bien placer hijackthis dans son dossier soit "C:\Program Files\Trend Micro...."
Revenir en haut Aller en bas
sophie
Bibou
Bibou


Féminin
Nombre de messages : 33
Age : 45
Localisation : tarn
Date d'inscription : 13/06/2008

MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 20:52

[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\fixnavi.txt: trouvé !
C:\cleannavi.txt: trouvé !
C:\SDFIX: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Documents and Settings\Sophie CARAVEN\Local Settings\Temporary Internet Files\Content.IE5\7CHO22CF\Navilog1[1]\Navilog1.exe: trouvé !
C:\Documents and Settings\Sophie CARAVEN\Bureau\résolution problème\HijackThis.lnk: trouvé !
C:\Documents and Settings\Sophie CARAVEN\Bureau\résolution problème\HJTInstall.exe: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\FindyKill: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Documents and Settings\Sophie CARAVEN\Local Settings\Temporary Internet Files\Content.IE5\7CHO22CF\Navilog1[1]\Navilog1.exe: supprimé !
C:\Documents and Settings\Sophie CARAVEN\Bureau\résolution problème\HijackThis.lnk: supprimé !
C:\Documents and Settings\Sophie CARAVEN\Bureau\résolution problème\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\fixnavi.txt: supprimé !
C:\cleannavi.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\SDFIX: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\FindyKill: ERREUR DE SUPPRESSION !!
C:\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 20:58

C:\Program Files\FindyKill: ERREUR DE SUPPRESSION !!

--> Tu pourras supprimer manuellement le fichier en gras: C:\Program Files\Findykill
Revenir en haut Aller en bas
sophie
Bibou
Bibou


Féminin
Nombre de messages : 33
Age : 45
Localisation : tarn
Date d'inscription : 13/06/2008

MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 21:03

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:01:19, on 29/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [sys] C:\WINDOWS\Fonts\Fonts.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Recherche sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://ipgweb.cce.hp.com/rdqemea/downloads/msxml4.cab
O16 - DPF: {CE8267C2-D41A-4A50-A69D-F32B5C289F14} (FileOpenInstaller) - http://plugin.fileopen.com/current/FileOpen.CAB
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Planificateur LiveUpdate automatique (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Unknown owner - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PLFlash DeviceIoControl Service - Unknown owner - C:\WINDOWS\system32\IoctlSvc.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 8936 bytes
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 21:26

Supprime les traces de Norton encore présentes en suivant cette procédure: http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

================

Ensuite, relance hijackthis en choisissant cette fois l'option "Do a system scan only".

La liste créée, coche les lignes suivantes:

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')


Puis clique sur "Fix Checked"

====================

Ici, repasse un coup rapide de ccleaner. Puis redémarre le pc. Si et seulement si tout va bien pas de ralentissement, démarrage normal, connexion internet ok, pas de message d'erreur...):

Supprimer les anciens points de restauration:

* Cliquer "démarrer", "panneau de configuration", performance et maintenance" puis système".
* Cliquer sur l'onglet "Restauration du système".
* Cocher la case "Désactiver la restauration...", puis "Appliquer" et valider par "OK".
* Redémarrer le pc.

* Cliquer "démarrer", "panneau de configuration", "performance et maintenance" puis "système".
* Cliquer sur l'onglet "Restauration du système".
* Redécocher la case "Désactiver la restauration...", puis "Appliquer" et valider par "OK".

Les points sont supprimés.

Création d'un nouveau point:

* Cliquer "démarrer", "panneau de configuration", "performance et maintenance" puis "restauration du système" (en haut à gauche).
* Dans la nouvelle fenêtre, cocher la case "Créer un point de restauration".
* Cliquer sur "Suivant".
* Entrer un nom pour le point de restauration : ce nom doit être assez évocateur (comme: "Après désinfection...")
* Cliquer sur "Créer" et le point de restauration se créé automatiquement.

Reviens me dire si tout est ok! Je pourrais te donner quelques conseils de sécurité.A++
Revenir en haut Aller en bas
sophie
Bibou
Bibou


Féminin
Nombre de messages : 33
Age : 45
Localisation : tarn
Date d'inscription : 13/06/2008

MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 22:25

tout à l'air nickel, il est beaucoup moins lent et plus de pub.

juste une chose, quand j'ai fait c cleaner j'ai fait analyse mais j'ai aussi fait chercher les erreurs et il a trouvé ça :

Référence d'Installation Invalide C:\Documents and Settings\All Users\Application Data\Symantec HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders
Référence d'Installation Invalide C:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders
Référence d'Installation Invalide C:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders
Référence d'Installation Invalide C:\Program Files\Symantec\LiveUpdate HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders
Référence d'Installation Invalide C:\Program Files\Symantec HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders
Référence d'Installation Invalide C:\Program Files\Symantec\LiveUpdate\Lang\0c HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders
Référence d'Installation Invalide C:\Program Files\Symantec\LiveUpdate\Lang HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders
Référence d'Installation Invalide C:\Program Files\Symantec\LiveUpdate\Lang\0c\01 HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders
Référence d'Installation Invalide C:\Program Files\Fichiers communs\Symantec Shared\Help\LuMuiHelp\0c HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders
Référence d'Installation Invalide C:\Program Files\Fichiers communs\Symantec Shared\Help\LuMuiHelp HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders
Référence d'Installation Invalide C:\Program Files\Fichiers communs\Symantec Shared\Help HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders
Référence d'Installation Invalide C:\Program Files\Fichiers communs\Symantec Shared\Help\LuMuiHelp\0c\01 HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders
Référence d'Installation Invalide C:\WINDOWS\Installer\{E80F62FF-5D3C-4A19-8409-9721F2928206} HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders
Référence de Désinstallation Invalide Navilog1_is1 HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Navilog1_is1
Référence de Désinstallation Invalide PsuedoLiveUpdate HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\PsuedoLiveUpdate
Référence MUI Manquante @C:\Program Files\Symantec\LiveUpdate\Lang\0c\01\S32LUCP1RES.LOC,-1 HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI Manquante C:\Documents and Settings\Sophie CARAVEN\Local Settings\Temporary Internet Files\Content.IE5\7CHO22CF\Navilog1[1]\Navilog1.exe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI Manquante C:\Program Files\Navilog1\navilog1.bat HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI Manquante C:\Program Files\Navilog1\Navreb.bat HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI Manquante C:\Program Files\Trend Micro\HijackThis\Sophie CARAVEN.exe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI Manquante C:\Documents and Settings\Sophie CARAVEN\Local Settings\Temporary Internet Files\Content.IE5\7CHO22CF\ccsetup216_slim[1].exe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI Manquante C:\DOCUME~1\SOPHIE~1\LOCALS~1\Temp\WZSE0.TMP\symnrt.exe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache

je n'ai pas fait réparer les erreurs
est ce que je dois le faire ?
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 22:29

Oui, tu peux faire réparer les erreurs sans problème. C'est au moment de cliquer sur "réparer les erreurs" qu'il te demandera de sauvegarder le registre. Tu sauvegardes sur le bureau et tu corriges. Puis tu recherches et tu corriges jusqu'à ce que tu trouves 0 erreurs.
Revenir en haut Aller en bas
sophie
Bibou
Bibou


Féminin
Nombre de messages : 33
Age : 45
Localisation : tarn
Date d'inscription : 13/06/2008

MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 22:33

je crois que c'est bon

il ne me reste plus qu'à te remercier infiniment pour ton aide et ton efficacité
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: problème virus (résolu)   Jeu 29 Jan 2009 - 23:09

Vraiment pas de quoi. Ce fut fait avec plaisir. Quelques liens utiles à la lecture, pour les jours où on ne sait pas quoi faire! Wink

=> Rappel sur les principales causes d'infection :


* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :

Les dangers des cracks : http://forum.malekal.com/ftopic893.php

->Le crack dans toute sa splendeur, journal d'une infection attendue :
http://forum.zebulon.fr/index.php?showtopic=93281

->autre exemple en image , où comment s'infiltre une infection par un pseudo crack :
http://secuboxlabs.fr/archives/computertoday.html


* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent):

Les conséquences du P2P : http://forum.zebulon.fr/index.php?showtopic=85544

Pourquoi éviter le P2P :
> http://www.libellules.ch/...
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793
> http://www.lexpansion.com/economie/actuali...ise_134122.html


* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment :
http://assiste.com.free.fr/p/abc/c/anti_activex.html


* Prévention sur deux autres types d'infection d'actualité :

MSN prévention :
http://forum.zebulon.fr/index.php?showtopic=130590
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte


Infection par supports amovibles (clefs usb, flash, DD externes ..) :
http://forum.zebulon.fr/index.php?showtopic=131959
http://forum.malekal.com/viewtopic.php?f=45&t=5544

((Merci à Chimay8 pour ce copié/collé!))

=================

Autre chose: http://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf

Important: http://www.commentcamarche.net/faq/sujet-13362-prevention-mettre-a-jour-son-pc-contre-les-failles-de-securite


Installe ceci avec firefox, le risque d'infections est nettement diminué! ((je sais de quoi je parle, j'ai testé personnellement. J'ai tenté de m'infecter, impossible! lol)

--->>> http://www.mywot.com/fr/demo http://www.mywot.com/fr/download/ff

Explications/Demo ici : http://www.mywot.com/fr/demo

((Un grand merci à Jalobservateur!!!!!!))

Bon surf, bonne soirée.

A++ Wink
Revenir en haut Aller en bas
Contenu sponsorisé




MessageSujet: Re: problème virus (résolu)   

Revenir en haut Aller en bas
 
problème virus (résolu)
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» problème virus (résolu)
» PANORAMIC Problème Virus...
» TR/Drop.Small.apl Trojan - W32/Perlovga.A.1 [virus](résolu)
» Tutorial The Avenger ( Anti-Rootkit )
» Impossible de télécharger quoi que ce soit pour supprimer mes virus [résolu]

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Bibou le forum :: 
La sécurité
 :: Aide à la désinfection :: Sujets résolus ou anciens
-
Sauter vers: