effacer répertoire (profil) sous windows xp [résolu]

Salut,

Passe ces fichiers sur VirusTotal et donne moi le résultat :

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe

Une idée de ce que c'est ?

O4 - Global Startup: LE COMPAGNON CLUB.lnk = C:\Program Files\Club-Internet\Le Compagnon Club\bin\matcli.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll


Tu peux fixer ces deux lignes :


Encore des problèmes? Si oui, décris-les.

Voici le rapport de Genpoc :
Rapport GenProc 2.110 [4] effectué le 08/10/2008 à 12:37:20,38 - Windows XP

# Etape 1/ Télécharge :

- MSNFix (!aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau.


***** Copie la suite de la procédure dans un fichier texte et redémarre en mode sans échec comme indiqué ici http://www.pcloisirs.eu/mode_sans_echec.htm (choisis ta session courante "vhurel") *****


# Etape 2/

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste, dans la même réponse :
- Le contenu du rapport MSNfix situé sur le Bureau ;
- Un nouveau rapport HijackThis http://tinyurl.com/GenProc-HijackThis ;


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

Met la procédure GenProc en application.

Bonjour Master G

Est ce que je passe tout ces fichiers sur VirusTotal ?
hpztsb05.exe
matcli.exe
WriterBrowserExtension.dll


C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - Global Startup: LE COMPAGNON CLUB.lnk = C:\Program Files\Club-Internet\Le Compagnon Club\bin\matcli.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a
2.D'après toi y a t.il encore 1 gros vilain virus ?
Merci de me répondre

Grisonnant28

Salut,

Fais le juste pour ces deux là :

matcli.exe
WriterBrowserExtension.dll

Edit : Décris tes problèmes.

Bonsoir,

Avant de lancer quoi que ce soit je voudrais connaitre la différence entre genproc et msnfix ?

D'après tous les rapports que j'ai effectué sur la machine ya-til encore des points d'infections ?

merci de ta péponse Master G et au plaisir de te lire

Salut,

GenProc effectue un diagnostic après le scan du PC.
MSNFix résoud les problèmes de virus liés à MSN, notamment.

Pour le moment je ne vois pas d'infections. Est-ce que tu lances tes scans sur la session infectée?

re-bonsoir

Je voudrais aussi supprimer le répertoire c:\documents and settings\viviane.

J'ai accès refusé et ca me gonfle !

Est ce qu'il n'y a pas d'outils pour supprimer ce fichu répertoire (ancien profil qui doit être plein de virus.

Merci de me répondre

Salut,

Pourquoi veux-tu supprimer ce compte? A cause des virus dessus? Ou pour faire du ménage?
Regarde mon post du dessus.

Fais les manips' du dessus si c'est pas fait.

Bonsoir javascript:putsmilie(':jap:')

Non je ne lance pas les procédures sur la session infectée car je suis allé dans le poste de travail/propriété/avancé/paramètres de profil utilisateur/suppression pour le profil viviane

ceci étant fait je me croyais tranquille point de vue virus mais oh surprise le répertoire du profil existe encore dans c:\documment and settings\viviane.

Maintenant j'ai même en admin accès refusé pour ce répertoire et je voudrais bien le supprimer pour ne plus avoir de virus et pour faire propre.

Au plaisir de te lire.

grisonnant28

Salut,

J'ai bien un outil à te proposer, mais je pense pas que cela soit très propre.
Si tu arrives sur le panneau de changement de session, tu ne vois que ta session ou également la session "viviane" ?

bonsoir,

Non je ne vois plus la session viviane quand je dois ouvrir une session !

c'est quoi l'outil en question ?

merci de tes réponses master G

Salut,

Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe


# Redémarre le PC en mode sans échec :
Tu n' auras pas accès à Internet pendant le "mode sans échec". Aussi, copie/colle toute cette procédure dans un fichier texte et mets-la sur le "bureau" pour l'avoir à ta disposition.
Ferme toutes les fenêtres et applications.
Redémarre ton ordinateur, puis tapote sur la touche F8 (F5 sur certains PC) avant l’apparition du logo Windows, un menu va apparaître, tu devra choisir de démarrer en mode sans échec.

# Double-clique sur OTMoveIt.exe pour le lancer.
Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!
Ecris les différents chemins vers les fichiers/dossiers à supprimer dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.

Dans ton cas il s'agit de "c:\documents and settings\viviane\".

Clique sur MoveIt! pour lancer la suppression.
Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

Copie-colle le rapport dans ta réponse sur le forum : il est situé sur --> C:\_OTMoveIt\MovedFiles.

Lance ton antivirus et supprime tout ce que tu trouves. Sauvegarde le rapport puis redémarre le PC.

Poste tous les rapports et tes impressions/difficultés.


J'en ai pas fini, il faudrait que je vois avec toi quelques dossiers dans ProgramFiles.

voici le rapport1:bonsoir

Fichier WriterBrowserExtension.dll reçu le 2008.10.09 20:30:01 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/36 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 42 et 60 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.10.0 2008.10.09 -
AntiVir 7.8.1.34 2008.10.09 -
Authentium 5.1.0.4 2008.10.09 -
Avast 4.8.1248.0 2008.10.09 -
AVG 8.0.0.161 2008.10.09 -
BitDefender 7.2 2008.10.09 -
CAT-QuickHeal 9.50 2008.10.08 -
ClamAV 0.93.1 2008.10.09 -
DrWeb 4.44.0.09170 2008.10.09 -
eSafe 7.0.17.0 2008.10.08 -
eTrust-Vet 31.6.6137 2008.10.09 -
Ewido 4.0 2008.10.09 -
F-Prot 4.4.4.56 2008.10.07 -
F-Secure 8.0.14332.0 2008.10.09 -
Fortinet 3.113.0.0 2008.10.09 -
GData 19 2008.10.09 -
Ikarus T3.1.1.34.0 2008.10.09 -
K7AntiVirus 7.10.489 2008.10.09 -
Kaspersky 7.0.0.125 2008.10.09 -
McAfee 5402 2008.10.09 -
Microsoft 1.4005 2008.10.09 -
NOD32 3507 2008.10.09 -
Norman 5.80.02 2008.10.09 -
Panda 9.0.0.4 2008.10.09 -
PCTools 4.4.2.0 2008.10.09 -
Prevx1 V2 2008.10.09 -
Rising 20.65.32.00 2008.10.09 -
SecureWeb-Gateway 6.7.6 2008.10.09 -
Sophos 4.34.0 2008.10.09 -
Sunbelt 3.1.1708.1 2008.10.09 -
Symantec 10 2008.10.09 -
TheHacker 6.3.1.0.103 2008.10.07 -
TrendMicro 8.700.0.1004 2008.10.09 -
VBA32 3.12.8.6 2008.10.09 -
ViRobot 2008.10.9.1414 2008.10.09 -
VirusBuster 4.5.11.0 2008.10.09 -
Information additionnelle
File size: 154640 bytes
MD5...: e0444668bba2ddf1cc43466997d8dbf0
SHA1..: 7365919b5022cc7a580a2bcf0515ca08853d15f9
SHA256: 4e8dbaa30f3201c0baa7f41b16385cb6082229d2b2ec37f12c8aa7c2273ab767
SHA512: 65477af1a32e596d0298030bef68ee44f61b777b2d75b38348c8395cfc77b4b8
f9e3cb1da0020d40575026287d5e45f0f2ceb10be88ecc7762537a32985dc0a6
PEiD..: -
TrID..: File type identification
DirectShow filter (52.6%)
Windows OCX File (32.2%)
Win32 Executable MS Visual C++ (generic) (9.8%)
Win32 Executable Generic (2.2%)
Win32 Dynamic Link Library (generic) (1.9%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x794aa296
timedatestamp.....: 0x47228e35 (Sat Oct 27 01:02:45 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x17f23 0x18000 6.56 91e544dbf03333650e101cf40ee3388c
.data 0x19000 0x343c 0x1800 3.66 17f34b3ecb9ea8b77502df04f4c97ee8
.rsrc 0x1d000 0x7b30 0x7c00 5.91 db66469ce0d22adf53592597a9bb4335
.reloc 0x25000 0x1fa4 0x2000 4.87 a17b379de4c2c8f1f7897e386c97c8f8

( 6 imports )
> SHELL32.dll: SHGetFolderPathAndSubDirW
> KERNEL32.dll: FindResourceW, FindResourceExW, GetLastError, InterlockedIncrement, InterlockedDecrement, CloseHandle, lstrcmpiW, CreateFileW, WriteFile, SetFilePointer, FlushFileBuffers, WideCharToMultiByte, EnterCriticalSection, LeaveCriticalSection, GetModuleFileNameW, FreeLibrary, MultiByteToWideChar, LoadLibraryExW, GetModuleHandleW, Sleep, GetCurrentProcessId, GetSystemTime, SetThreadLocale, GetThreadLocale, InterlockedExchange, GetACP, GetLocaleInfoA, GetVersionExA, HeapDestroy, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetProcessHeap, GetCurrentThreadId, GetCommandLineA, RtlUnwind, GetProcAddress, GetModuleHandleA, ExitProcess, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, LoadResource, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, HeapCreate, LockResource, UnhandledExceptionFilter, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, SetUnhandledExceptionFilter, IsDebuggerPresent, VirtualAlloc, GetCPInfo, GetOEMCP, LCMapStringA, LCMapStringW, LoadLibraryA, GetStringTypeA, GetStringTypeW, GetConsoleCP, GetConsoleMode, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, SizeofResource, DeleteCriticalSection, InitializeCriticalSection, RaiseException, lstrlenW, VirtualFree
> USER32.dll: UnregisterClassA, CharNextW
> ADVAPI32.dll: RegEnumKeyExW, RegDeleteValueW, RegDeleteKeyW, RegCreateKeyExW, RegOpenKeyExW, RegSetValueExW, RegQueryInfoKeyW, RegCloseKey
> ole32.dll: CoTaskMemRealloc, CoTaskMemFree, CoTaskMemAlloc, CoCreateInstance, StringFromGUID2
> OLEAUT32.dll: -, -, -, -, -, -, -, -

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

2. Pas de traces de fichier pour le fichier matcli.exe ?????

Bonsoir,

Pas de suppression du répertoire profil:

Folder move failed. C:\Documents and Settings\viviane scheduled to be moved on reboot.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 10092008_204352

Files moved on Reboot...
Folder move failed. C:\Documents and Settings\viviane scheduled to be moved on reboot.

Bonsoir,

J'ai eu comme tu peux le voir plein de problèmes pour faire les procédures.
je continue ce week-end car ma petite famille veut pouvoir dormir le soir.

a bientôt

grisonnant28

Bonsoir,

Ca tombe bien je vais pouvoir vérifier qu'on a tout éradiqué.

Pour la supression du profil :



Pour l'infection :

A venir...

Bonjour,

Il me semble (voir plus haut) que j'ai déja supprimé les profils inutiles la ou tu me dis .

J'ai lancé genproc hier au soir mais j'ai pas trouvé le rapport.
Ou peut-il bien être ?

A++

PS :Kaspersky m'a trouvé deux virus hier et les a supprimé !

Grisonnant28

Bonjour,

Pour le rapport je vais me renseigner. Il n'est pas à la racine de C: par hasard?

kaspersky a supprimé quels virus? J'aurai besoin de leurs noms, si tu pouvais me poster le rapport...

Bonjour Master G

Ou est le problème dans ce répertoire C:\Program Files\Club-Internet\Le Compagnon Club\". ?

A la limite je le désinstalle par le panneau de configuration => ajout suppression de programmes.

J'ai pas eu le temps de passer l'utilitaire msnfix et je le passe dans la journée par mon fils en mode sans echec.

Hier j'ai passé ccleaner et il a nettoyé tout (cookies etc)

Je demande à mon fils de faire copier/coller pour les virus.

Que fait-on pour ce répertoire/profil à la noix ?

Merci de tes réponses

Grisonnant28

Oui tu peux passer par le panneau de Config', si tu le vois, c'est beaucoup plus propre.

Oublie pas le rapport pour MSNFix.

Sinon pour le repertoire profil, as-tu le cd d'XP?

Bonjour Master G

Voici le rapport de MSNFix

disk not found D:\DOCUME~1\ohurel\LOCALS~1\Temp\winlogon.exe
disk not found D:\DOCUME~1\ohurel\LOCALS~1\Temp\services.exe
read file error: C:\WINDOWS\system32\cftmon.exe, Le fichier spécifié est introuvable.
read file error: C:\DOCUME~1\admin\LOCALS~1\Temp\winlogon.exe, Le fichier spécifié est introuvable.
read file error: C:\DOCUME~1\admin\LOCALS~1\Temp\services.exe, Le fichier spécifié est introuvable.
read file error: C:\WINDOWS\system32\cftmon.exe, Le fichier spécifié est introuvable.
read file error: C:\DOCUME~1\admin\LOCALS~1\Temp\winlogon.exe, Le fichier spécifié est introuvable.
read file error: C:\DOCUME~1\admin\LOCALS~1\Temp\services.exe, Le fichier spécifié est introuvable.
read file error: C:\WINDOWS\system32\cftmon.exe, Le fichier spécifié est introuvable.
read file error: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlogon.exe, Le fichier spécifié est introuvable.
read file error: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe, Le fichier spécifié est introuvable.
read file error: C:\WINDOWS\system32\cftmon.exe, Le fichier spécifié est introuvable.

Et j'ai le CD de windows XP aussi

Grisonnant28

Bonjour voilà le rapport d'hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:49:58, on 10/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.powerarchiver.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-839522115-1993962763-854245398-1005\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'vhurel')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: LE COMPAGNON CLUB.lnk = C:\Program Files\Club-Internet\Le Compagnon Club\bin\matcli.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} - http://ownbloog.com/phpmyvisites/libs/smarty/internals/core.process_tracking_(...)
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

--
End of file - 6161 bytes

PS : voilà les virus découvert

supprimé : programme malicieux VirTool.DOS.VirusSim.b Le fichier: C:\Documents and Settings\vhurel\Mes documents\Ma musique\VSIM_A.COM//LzExe
supprimé : programme malicieux VirTool.DOS.VirusSim.a Le fichier: C:\Documents and Settings\vhurel\Mes documents\Ma musique\VIRSIM.COM//LzExe

bonjour Master G (tu es sur le Forum ?)

j'ai désinstallé le compagnon club-internet via le panneau de configuration => ajout suppression de programmes (LE COMPAGNON CLUB.lnk = C:\Program Files\Club-Internet\Le Compagnon Club\bin\matcli.exe)

Je pense que matcli.exe doit avoir été supprimé (on le verra dans un prochain hijacthis)

Pour msnfix j'ai fais cela en mode sans echec, et je cois que je n'aurais pas du le faire en ce mode non ?

Je voudrais bien savoir ce que tu veux me faire faire avec le cd de windows xp


A tout de suite j'éspère

Grisonnant28

Salut,

Vide les dossiers temp, downloaded program files et vérifie tous les autres pour t'assurer qu'il n'y a rien de bizarre qui traîne (à faire pour tous les comptes dans "docs and settings").

As-tu essayé de désinstaller "O4 - Global Startup: LE COMPAGNON CLUB.lnk = C:\Program Files\Club-Internet\Le Compagnon Club\ " ?

Je te refilerai une manipulation, ce soir, pour virer le profil avec le cd d'XP.

Peux-tu vérifier sur Google cet executable ? "msiexec.exe"

Bonjour voici le rapport d'HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:31:15, on 10/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lo.st/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} - http://ownbloog.com/phpmyvisites/libs/smarty/internals/core.process_tracking_(...)
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

--
End of file - 6068 bytes

Grisonnant28

Le processus msiexec.exe (msiexec signifiant Windows Installer Component) est un processus générique de Windows NT/2000/XP servant à installer, réparer et supprimer des programmes fournis en packages Windows Installer (dont l'extension est .msi).

Le processus msiexec n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare.

Le processus msiexec est un processus pouvant être arrêté.

Salut,

Ton ordinateur a l'air ok. Je voudrais en être sur. Fais un rapport ComboFix en mode sans échec.
Et si possible un MSNFix (cf la suite de mon message).

" Pour msnfix j'ai fais cela en mode sans echec, et je cois que je n'aurais pas du le faire en ce mode non ? "
Normalement, il devrait marcher en mode sans échec. Tu l'a enregistré où? Il faut l'enregistrer sur le bureau (obligatoire).

"Je voudrais bien savoir ce que tu veux me faire faire avec le cd de windows xp"
C'est une manipulation a effectuer avec la console de récupération, présente sur le cd.
Je ne l'ai pas sous la main, je te la donne dès que je rentre chez moi.

bonjour

Voici le rapport de ce mation de combofix:

ComboFix 08-10-04.07 - admin 2008-10-11 10:46:32.2 - NTFSx86 MINIMAL
Lancé depuis: C:\Documents and Settings\admin\Bureau\ComboFix.exe

[B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B]
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-11 au 2008-10-11 ))))))))))))))))))))))))))))))))))))
.

2008-10-10 11:27 . 2008-10-10 11:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-10-10 10:49 . 2008-10-10 10:49 268 --ah----- C:\sqmdata07.sqm
2008-10-10 10:49 . 2008-10-10 10:49 244 --ah----- C:\sqmnoopt07.sqm
2008-10-09 21:25 . 2008-10-09 21:25 <REP> d-------- C:\Program Files\Yahoo!
2008-10-09 21:24 . 2008-10-09 21:26 <REP> d-------- C:\Program Files\CCleaner
2008-10-09 20:43 . 2008-10-09 20:43 <REP> d-------- C:\_OTMoveIt
2008-10-08 20:24 . 2008-04-17 13:12 107,368 --a------ C:\WINDOWS\system32\GEARAspi.dll
2008-10-08 20:24 . 2008-04-17 13:12 15,464 --a------ C:\WINDOWS\system32\drivers\GEARAspiWDM.sys
2008-10-08 20:23 . 2008-10-08 20:24 <REP> d-------- C:\Program Files\iTunes
2008-10-08 20:23 . 2008-10-08 20:23 <REP> d-------- C:\Program Files\iPod
2008-10-08 20:23 . 2008-10-08 20:24 <REP> d-------- C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-08 20:22 . 2008-10-08 20:22 <REP> d-------- C:\Program Files\Bonjour
2008-10-08 20:17 . 2008-10-08 20:21 <REP> d-------- C:\Program Files\QuickTime
2008-10-08 20:17 . 2008-10-08 20:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-10-08 20:15 . 2008-10-08 20:16 <REP> d-------- C:\Program Files\Apple Software Update
2008-10-08 20:15 . 2008-10-01 13:01 32,000 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys
2008-10-08 20:13 . 2008-10-08 20:18 <REP> d-------- C:\Program Files\Fichiers communs\Apple
2008-10-08 20:13 . 2008-10-08 20:13 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-10-07 20:29 . 2008-10-07 20:29 1,674 --a------ C:\WINDOWS\system32\tmp.reg
2008-10-07 20:29 . 2008-10-07 20:29 0 --a------ C:\WINDOWS\system32\tmp.MSNFix
2008-10-07 18:22 . 2008-10-10 19:13 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-10-06 20:15 . 2008-10-06 20:27 <REP> d-------- C:\Program Files\Navilog1
2008-10-05 12:10 . 2008-10-05 12:10 <REP> d-------- C:\Documents and Settings\admin\Contacts
2008-10-05 10:53 . 2008-10-05 10:53 <REP> d-------- C:\Program Files\Trend Micro
2008-10-05 10:53 . 2008-10-05 10:53 268 --ah----- C:\sqmdata06.sqm
2008-10-05 10:53 . 2008-10-05 10:53 244 --ah----- C:\sqmnoopt06.sqm
2008-10-04 18:36 . 2008-10-05 16:31 <REP> d-------- C:\nettoyage
2008-10-04 16:06 . 2008-10-04 16:06 268 --ah----- C:\sqmdata05.sqm
2008-10-04 16:06 . 2008-10-04 16:06 244 --ah----- C:\sqmnoopt05.sqm
2008-09-28 16:51 . 2008-10-05 14:28 <REP> d--h----- C:\Documents and Settings\admin\Voisinage réseau
2008-09-28 16:51 . 2007-12-28 16:35 <REP> d--h----- C:\Documents and Settings\admin\Voisinage d'impression
2008-09-28 16:51 . 2007-12-28 15:47 <REP> d--h----- C:\Documents and Settings\admin\Modèles
2008-09-28 16:51 . 2008-10-05 12:13 <REP> dr------- C:\Documents and Settings\admin\Mes documents
2008-09-28 16:51 . 2007-12-28 16:35 <REP> dr------- C:\Documents and Settings\admin\Menu Démarrer
2008-09-28 16:51 . 2008-09-28 16:52 <REP> dr------- C:\Documents and Settings\admin\Favoris
2008-09-28 16:51 . 2008-10-09 21:24 <REP> d-------- C:\Documents and Settings\admin\Bureau
2008-09-28 16:51 . 2008-10-09 21:27 <REP> d-------- C:\Documents and Settings\admin
2008-09-27 22:19 . 2008-09-27 22:19 268 --ah----- C:\sqmdata04.sqm
2008-09-27 22:19 . 2008-09-27 22:19 244 --ah----- C:\sqmnoopt04.sqm
2008-09-27 20:14 . 2008-09-27 20:14 268 --ah----- C:\sqmdata03.sqm
2008-09-27 20:14 . 2008-09-27 20:14 244 --ah----- C:\sqmnoopt03.sqm
2008-09-27 20:03 . 2008-09-27 20:03 268 --ah----- C:\sqmdata02.sqm
2008-09-27 20:03 . 2008-09-27 20:03 244 --ah----- C:\sqmnoopt02.sqm
2008-09-27 19:39 . 2008-09-27 19:39 268 --ah----- C:\sqmdata01.sqm
2008-09-27 19:39 . 2008-09-27 19:39 244 --ah----- C:\sqmnoopt01.sqm
2008-09-27 19:10 . 2008-10-10 10:45 <REP> d-------- C:\Documents and Settings\vhurel
2008-09-27 19:06 . 2008-09-27 19:08 <REP> d-------- C:\Documents and Settings\Administrateur\amsn
2008-09-27 14:55 . 2008-09-27 14:55 268 --ah----- C:\sqmdata00.sqm
2008-09-27 14:55 . 2008-09-27 14:55 244 --ah----- C:\sqmnoopt00.sqm
2008-09-27 13:29 . 2008-09-27 13:29 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-09-27 13:27 . 2007-12-28 16:35 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-09-27 13:27 . 2007-12-28 16:35 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-09-27 13:27 . 2007-12-28 15:47 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-09-27 13:27 . 2008-10-10 10:47 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
2008-09-27 13:27 . 2007-12-28 16:35 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-09-27 13:27 . 2008-10-10 10:47 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
2008-09-27 13:27 . 2008-10-11 10:50 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-09-27 13:27 . 2008-09-27 19:06 <REP> d-------- C:\Documents and Settings\Administrateur
2008-09-27 12:09 . 2008-09-27 12:30 16 --a------ C:\WINDOWS\system32\drivers\ksdevice.sys
2008-09-27 12:09 . 2008-09-27 12:30 16 --a------ C:\WINDOWS\system32\drivers\KeenSense.sys
2008-09-18 19:13 . 2008-09-19 12:45 <REP> d-------- C:\WINDOWS\system32\fr
2008-09-18 19:13 . 2008-09-19 12:45 <REP> d-------- C:\WINDOWS\system32\bits
2008-09-18 19:13 . 2008-09-19 12:42 <REP> d-------- C:\WINDOWS\l2schemas
2008-09-18 18:38 . 2004-08-19 16:09 4,290,048 --a------ C:\WINDOWS\system32\dllcache\wmm2res.dll
2008-09-18 18:37 . 2004-08-19 16:11 4,190,352 --a------ C:\WINDOWS\system32\dllcache\luna.mst
2008-09-18 18:36 . 2005-09-10 03:55 2,067,968 --a------ C:\WINDOWS\system32\dllcache\cdosys.dll
2008-09-18 18:35 . 2007-04-18 18:14 2,854,400 --a------ C:\WINDOWS\system32\dllcache\msi.dll
2008-09-18 18:34 . 2007-10-25 18:43 8,516,608 --a------ C:\WINDOWS\system32\dllcache\shell32.dll
2008-09-18 18:33 . 2007-02-28 18:02 2,182,400 --a------ C:\WINDOWS\system32\ntoskrnl.exe
2008-09-13 16:04 . 2008-09-13 16:04 121 --a------ C:\WINDOWS\Winchat.ini

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-11 08:39 839,712 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-10-11 08:39 79,184 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-10-11 08:39 199,952 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-11 08:39 14,810,912 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-11 08:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-09-13 09:42 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-09-09 22:04 38,528 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-09 22:03 17,200 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-09-06 20:19 --------- d-----w C:\Program Files\aMSN
2008-09-06 11:22 --------- d-----w C:\Documents and Settings\All Users\Application Data\TEMP
2008-09-06 10:57 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-09-06 08:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-08-16 17:34 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-07-20 17:52 10,050 ----a-w C:\WINDOWS\system32\shutdown.zip
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2006-12-09 19:11 71,357 ----a-w C:\Program Files\Love-Test(www.MsnTrucAstuce.fr).plsc
2006-11-17 17:22 284,139 ----a-w C:\Program Files\Ultimate(biensur)www.MsnTrucAstuce.fr).plsc
2006-10-12 15:46 2,201 ----a-w C:\Program Files\Huhu Leet 1.0(www.MsnTrucAstuce.free.fr).plsc
.

((((((((((((((((((((((((((((( snapshot@2008-10-05_15.59.56.28 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-10-08 18:16:21 27,136 ----a-r C:\WINDOWS\Installer\{6956856F-B6B3-4BE0-BA0B-8F495BE32033}\AppleSoftwareUpdateIco.exe
+ 2008-10-08 18:22:19 86,016 ----a-r C:\WINDOWS\Installer\{8A25392D-C5D2-4E79-A2BD-C15DDC5B0959}\PrntWzrdIco.exe
+ 2008-10-08 18:26:06 102,400 ----a-r C:\WINDOWS\Installer\{DDDE0BE3-0CBE-4BF6-B75A-E3F69C947843}\iTunesIco.exe
- 2008-10-03 08:16:30 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-10-10 07:18:37 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-10-03 08:16:30 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-10-10 07:18:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-10-03 08:16:30 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-10-10 07:18:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-10-10 20:05:59 2,512 ----a-w C:\WINDOWS\system32\d3d9caps.dat
+ 2008-04-17 11:12:54 107,368 -c--a-w C:\WINDOWS\system32\DRVSTORE\GEARAspiWD_D213663B6381F01E45A131159A9DEFE018321CB3\x86\GEARAspi.dll
+ 2008-04-17 11:12:54 15,464 -c--a-w C:\WINDOWS\system32\DRVSTORE\GEARAspiWD_D213663B6381F01E45A131159A9DEFE018321CB3\x86\GEARAspiWDM.sys
+ 2008-10-01 11:01:28 32,000 -c--a-w C:\WINDOWS\system32\DRVSTORE\usbaapl_246F92BBD6449C86FC3F3F28C40D59AC1F69C558\usbaapl.sys
+ 2006-12-01 20:54:32 479,232 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcm80.dll
+ 2006-12-01 20:54:34 548,864 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcp80.dll
+ 2006-12-01 20:54:32 626,688 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcr80.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15360]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-09-08 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-03-18 188416]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-10-01 289576]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.exe.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-28 110592]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"\\\\C000273\\Diablo\\Diablo.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 7.0.1.325\\French\\setup.exe"=
"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"=
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\Program Files\\aMSN\\bin\\wish.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

S3 G200;G200;C:\WINDOWS\system32\DRIVERS\G200m.sys [2001-08-23 320512]
S3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 24592]
.
Contenu du dossier 'Tâches planifiées'

2008-07-16 C:\WINDOWS\Tasks\!cid_605.job
- C:\Documents and Settings\viviane\Mes documents\Mes images\!cid_605.jpg []
.
.
------- Examen supplémentaire -------
.

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-11 10:50:23
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-10-11 10:54:19
ComboFix-quarantined-files.txt 2008-10-11 08:53:49
ComboFix2.txt 2008-10-05 14:06:13

Avant-CF: 2 033 836 032 octets libres
Après-CF: 2,024,787,968 octets libres

195 --- E O F --- 2008-10-10 16:51:13


Va suivre le rapport de msnfix.

Je voulais te dire aussi que dans le raport c'est indiqué que la console de récupération n'est pas installée... comment faire pour la manip avec le cd XP ?

Je pense qu'il faudrait un utilitaire encore plus puissant que otmove non ?

Comment faire pour installer la console de récupération ?


A plus grisonnant 28

Salut,

Télécharge MalwareByte's Anti-Malware sur ton Bureau : http://www.malwarebytes.org/mbam.php
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.

Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
Afin de lancer la recherche, clic sur"Rechercher".
Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :

-- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
-- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.

Voici le lien pour la console :

http://www.forum.m4ng.fr/image-vp24702.html

Bonjour,

Voici le rapport de msnfix :

MSNFix 1.746

C:\Documents and Settings\admin\Bureau
Fix exécuté le 11/10/2008 - 10:56:21,55 By admin
mode sans échec

************************ Recherche les fichiers présents

Aucun Fichier trouvé

************************ Recherche les dossiers présents

Aucun dossier trouvé




************************ Hostsclean

Cleanhosts v 0.1.0.7 By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20081011111402
-- original size 0.03 Kb / 1 lines
scan impossible. because they are Only 1 line in hosts file


End .............................. not available Secondes



Est-ce qu'il y a un problème encore trouvé par combofix ?

Merci de ta réponse

Ma fille est sur l'ordi donc je fais anti-malware en mode sans echec dans la journée.

Mon antivirus ne c'est pas chargé au démarrage bizzare j'ai du le mettre manuellement ?!?

Merci de me répondre et à plus tard

Grisonnant 28

re-bonjour,

Voici le rapport de anti-malware en mode sans echec qui n'a rien trouvé:

Malwarebytes' Anti-Malware 1.28
Database version: 1253
Windows 5.1.2600 Service Pack 2

11/10/2008 12:51:55
mbam-log-2008-10-11 (12-51-55).txt

Scan type: Full Scan (C:\|)
Objects scanned: 78078
Time elapsed: 38 minute(s), 23 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

qu'est ce que je fais maintenant ?

As-tu encore des soucis? (l'antivirus au démarrage par exemple, c'est ok?, et le répertoire tu l'as viré?)

bonsoir,

J'ai réussi à virer le répertoire profil avec unlocker

L'antivirus se met bien au démarrage de la session ok

Qu'est ce que tu avais trouvé d'anormal dans le rapport combofix ?

je suis disponible alors vas-y ....

grisonnant28

Salut,

Tu sais ce que c'est ?

":\Program Files\Love-Test(www.MsnTrucAstuce.fr).plsc
2006-11-17 17:22 284,139 ----a-w C:\Program Files\Ultimate(biensur)www.MsnTrucAstuce.fr).plsc
2006-10-12 15:46 2,201 ----a-w C:\Program Files\Huhu Leet 1.0(www.MsnTrucAstuce.free.fr).plsc"

Bonjour,

Ma fille me dit que ce sont des outils pour personnaliser msn !

Y'a un problème !

merci de me répondre

Grisonnant28

Bonjour,

Y'a quelque-chose de vivant sur mon pc

Quand je l'ais allumé ce matin le répertoire profil est revenu avec comme unique fichier cracker.txt

je l'ais encore viré par unlocker car j'avais "accès refusé"

c'est curieux non ?

grisonnant28

Salut,

C'est étrange, as-tu essayé avec la console de récupération pour supprimer le dossier?

Fais ceci :


Pour ca :

- C:\WINDOWS\Tasks\!cid_605.job
- C:\Documents and Settings\viviane\Mes documents\Mes images\!cid_605.jpg

Bonsoir,

Est-ce que l'on peut virer ceci C:\WINDOWS\Tasks\!cid_605.job ?

Cela correspond à quel programme ?

J'ai viré cette tache du plannificateur de taches

J'ai réussi à virer le répertoire/profil avec unlocker (viviane)

merci de me répondre au plus vite !

Grisonnant28

Salut,

Je ne sais pas à quoi cela correspond mais la tache était lié au profil "Viviane".
Tu as essayé de voir si il revenait?
Sinon place moi un rapport HJT et refais un dernier scan de ton antivirus en mode sans-échec.

Si tout est ok, reviens me voir pour me le dire quand même ^^