|
|
Auteur
|
Message
|
1
2
|
|
|
|
Bonjour,
je suis infecté par une sorte de virus(?) qui lance sans arrêt une fenêtre d'alerte windows dés que je me connecte. Cette fenêtre m'indique de me diriger vers un site internet pour antivirus (registrycleanerxp.com).
Pouvez-vous m'aider ?
merci
Apoplexus
|
|
team sécurité
|
|
|
Bonjour ;
Télécharge HijackThis v1.99.1.
http://www.merijn.org/files/hijackthis.zip
Mets-le dans un dossier spécialement créé pour lui, par exemple C:\HijackThis.
Ouvres son dossier, repères l'icone avec les bâtons de dymnamites.
Fais un clic-droit dessus et choisis "renommer"
Appelles-le scanner.exe
Ferme les programmes inutiles.
Exécute-le et clique sur Do a system scan and save a logfile.
Ne coche rien.
Copie le rapport et colle-le dans un message.
si tu sais pas comment faire pour scanner avec hijackthis, regarde cette petite vidéo : http://pageperso.aol.fr/balltrap34/demohijack.htm ( merci balltrap34)
|
|
|
|
|
Merci de ta réponse, voici le rapport de hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 15:18:06, on 21/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Winamp3\winampa.exe
C:\WINDOWS\System32\mmdmm.exe
C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Crazy Browser\Crazy Browser.exe
D:\ARCHIVES\hijackthis\scanner.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmsass] mmdmm.exe
O4 - HKLM\..\RunServices: [mmsass] mmdmm.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://wisup.net/_plateforme/Upload/Aurigma/AurigmaActiveX/ImageUploader4.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housec(...)
O17 - HKLM\System\CCS\Services\Tcpip\..\{78746F1F-9EF2-4B13-96B7-D395966B11B0}: NameServer = 62.36.225.150 62.37.228.20
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
|
|
team sécurité
|
|
|
bon apparament tu as plusieur infection!!
mais avant de traiter faut que tu m explique pourquoi tu n as pas
d antivirus pas de parefeu et surtout pas de windows a jour!!!!???
a+ pour ces reponses merci!!
|
|
|
|
|
Bon alors voila :
Mon windows n'est pas à jour car j'ai tout réinstallé il n'y a pas longtemps et comme je n'avais pas de connexion internet, je ne me suis inquiété de rien. Ensuite j'ai toujours pensé (surement à tort) que les protections windows n'étaient pas efficaces alors j'ai désactivé la fonction "mise à jour" qui de surcroit modifiait ma configuration à chaque nouvelle installation.
Ensuite, j'utilise habituellement zone-alarm comme pare feu, mais il finit par consommer trop de CPU alors je l'ai viré. J'utilisais aussi un antivirus (kaspersky) mais il ne m'a jamais empêché de choper des fenêtres intempestives, de plus, je n'ai jamais chopé de virus car en général ils arrivent par mail et je n'ouvre jamais un fichier suspect. Donc voila, je reconnais que mon attitude est légèrement inconsciente mais tout roulait bien jusqu'à présent...
Merci de m'aider quand même !
apoplexus
|
|
team sécurité
|
|
|
maintenant c est fini l histoir que les virus vienne par mail!!!
tu as le site pigé les telechargement de quoi que ce sois,tu as msn des vert qui ce propage etc ....
et je t en passe des pire et des meilleurs vu le taux de frequentation du forum!!!!!!
bon il faut commencer par faire du vide!!
et mettre un antivirus!!
http://www.malekal.com/tutorial_antivir.php
- Après l'installation, mets le à jour - si ton firewall fait une alerte.. accepte la connexion.
- Assure toi qu'Antivir est bien à jour, vérifie la date d'update.
-- Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
- Ouvre Antivir par le menu Démarrer / Programmes
- Cliquez sur l'onglet Scanner.
- Sélectionne Manual Selection
- Sélectionne le disque C
- Lance le scan - Mets en quarantaine tous les éléments détectés.
- Une fois le scan terminé Enregistre le rapport.
Redémarre en mode normal.
Poste le rapport ici.
ensuite on mettra windows a jour!
et la on commenceras ta desinfection!!!
et important dit moi si tu as pris le sponsort de msn!!!
|
|
|
|
|
bonsoir
j'ai le meme soucis
sauf que j'ai avast et mes mise a jour sont faites
mais c'est aussi en tout reinstallant
et je pense que c'est avec leur messagerie msn automatique
donc j'ai bien fait ce que tu as dit
mais le rapport ne me dit rien du tout
je ne sais pas le dechiffrer,ni quoi en faire
merci
-->Message édité par tingui le 22/09/2007 21:04:06<--
|
|
quoi de neuf, Docteur ?
|
|
|
tingui a écrit :
bonsoir
j'ai le meme soucis
Bonjour
veuillez créer votre propre sujet !!!
-------
Ne me contactez plus en privé pour avoir des solutions, le forum est fait pour ca !!!
|
|
|
|
|
Bon ça y est, j'ai passé le disque C au peigne fin avec mon antivirus (kaspersky) dont le rapport suit. Je n'ai pas téléchargé antivir var ma connection a un problème (encore!) et je suis obligée de me connecter avec du 56k, donc pas possible de télécharger des trucs trop volumineux.
Ensuite, je n'ai pas le sponsor msn, enfin je crois, car je ne sais pas ce que c'est !
voici le rapport antivirus :
dimanche 23 septembre 2007, 02:07:29
;
;
; Enregistrer le fichier rapport = Oui
; Nom du fichier rapport = avpm.rpt
; Montrer les objets compressés dans le rapport = Non
; Montrer les objets sains dans le rapport = Non
; Ajouter = Non
; Taille limite (Ko) = Oui
; Taille limite = 2048
; Pour renommer ou copier les objets infectés utiliser = Répertoire spécial
; Nom du répertoire = Infected
; Utiliser la mise en quarantaine = Non
; Autoriser la suppression ou Renommer les objects composés infectées = Non
; Taille limite des objects composés (Ko) = Oui
; Taille limite = 4096
;
;
;
; "Poste de travail"
; Autoriser le processus = Non
; Actions en cas de détection de virus = Demander à l'utilisateur
; Analyser les disques locaux amovibles = Oui
; Analyser les disques durs locaux = Oui
; Analyser les unités réseau = Oui
; Analyser les fichiers de types suivants = Tous les fichiers infectables
; Exclure les types = Non
; Analyser les secteurs = Oui
; Analyser la mémoire = Oui
; Analyser les objects composés = Oui
; Archives = Non
; Archives auto-extractibles = Oui
; Bases de courrier = Non
; Format de courrier standard = Non
; Objets inclus = Oui
; Autoriser l'analyse du code (heuristique) = Oui
;
; "C:\"
; Autoriser le processus = Oui
; Actions en cas de détection de virus = Demander à l'utilisateur
; Analyser les fichiers de types suivants = Tous les fichiers infectables
; Exclure les types = Non
; Analyser les secteurs = Oui
; Analyser les objects composés = Oui
; Archives = Non
; Archives auto-extractibles = Oui
; Bases de courrier = Non
; Format de courrier standard = Non
; Objets inclus = Oui
; Autoriser l'analyse du code (heuristique) = Oui
;
; "Favoris réseau"
; Autoriser le processus = Oui
; Actions en cas de détection de virus = Demander à l'utilisateur
; Analyser les fichiers de types suivants = Tous les fichiers infectables
; Exclure les types = Non
; Analyser les objects composés = Oui
; Archives = Non
; Archives auto-extractibles = Oui
; Bases de courrier = Non
; Format de courrier standard = Non
; Objets inclus = Oui
; Autoriser l'analyse du code (heuristique) = Oui
;
;
<200.1000.10201.2.103>
OK Alerte Suspect Infecté <200.904.1204.1304.e04>
Désinfecté Effacé Renommé Mis en quarantaine <200.b04.d04.c04.2204>
Sera effacé au prochain démarrage Sera renommé au prochain démarrage Echec de la désinfection Compressé <200.1b04.1a04.a04.1004>
L'objet composé Crypté Altéré Format inconnu <200.1104.f04.704.1404>
Protégé par mot de passe Verrouillé par un autre processus Accès en lecture refusé Espace disque insuffisant <200.804.304.504.604>
Problème d'E/S Manqué Erreur de Kernel Erreur d'interface <200.404.1c04.204.104>
Objet Résultat Description <100.3c00000c.f000018.19000010>
C:\WINDOWS\System32\wbem\scricon.exe Infecté Backdoor.Win32.SdBot.yx <cd0000.0.e>
C:\WINDOWS\System32\wbem\scricon.exe Infecté Backdoor.Win32.SdBot.yx <cd0000.0.e>
C:\WINDOWS\SYSTEM32\WBEM\SCRICON.EXE Infecté Backdoor.Win32.SdBot.yx <cd0000.0.e>
;
;
#dimanche 23 septembre 2007, 02:10:34
;
;
; Enregistrer le fichier rapport = Oui
; Nom du fichier rapport = avpm.rpt
; Montrer les objets compressés dans le rapport = Non
; Montrer les objets sains dans le rapport = Non
; Ajouter = Non
; Taille limite (Ko) = Oui
; Taille limite = 2048
; Pour renommer ou copier les objets infectés utiliser = Répertoire spécial
; Nom du répertoire = Infected
; Utiliser la mise en quarantaine = Non
; Autoriser la suppression ou Renommer les objects composés infectées = Non
; Taille limite des objects composés (Ko) = Oui
; Taille limite = 4096
;
;
;
; "Poste de travail"
; Autoriser le processus = Non
; Actions en cas de détection de virus = Demander à l'utilisateur
; Analyser les disques locaux amovibles = Oui
; Analyser les disques durs locaux = Oui
; Analyser les unités réseau = Oui
; Analyser les fichiers de types suivants = Tous les fichiers infectables
; Exclure les types = Non
; Analyser les secteurs = Oui
; Analyser la mémoire = Oui
; Analyser les objects composés = Oui
; Archives = Non
; Archives auto-extractibles = Oui
; Bases de courrier = Non
; Format de courrier standard = Non
; Objets inclus = Oui
; Autoriser l'analyse du code (heuristique) = Oui
;
; "C:\"
; Autoriser le processus = Oui
; Actions en cas de détection de virus = Demander à l'utilisateur
; Analyser les fichiers de types suivants = Tous les fichiers infectables
; Exclure les types = Non
; Analyser les secteurs = Oui
; Analyser les objects composés = Oui
; Archives = Non
; Archives auto-extractibles = Oui
; Bases de courrier = Non
; Format de courrier standard = Non
; Objets inclus = Oui
; Autoriser l'analyse du code (heuristique) = Oui
;
; "Favoris réseau"
; Autoriser le processus = Oui
; Actions en cas de détection de virus = Demander à l'utilisateur
; Analyser les fichiers de types suivants = Tous les fichiers infectables
; Exclure les types = Non
; Analyser les objects composés = Oui
; Archives = Non
; Archives auto-extractibles = Oui
; Bases de courrier = Non
; Format de courrier standard = Non
; Objets inclus = Oui
; Autoriser l'analyse du code (heuristique) = Oui
;
;
<200.1000.10201.2.103>
OK Alerte Suspect Infecté <200.904.1204.1304.e04>
Désinfecté Effacé Renommé Mis en quarantaine <200.b04.d04.c04.2204>
Sera effacé au prochain démarrage Sera renommé au prochain démarrage Echec de la désinfection Compressé <200.1b04.1a04.a04.1004>
L'objet composé Crypté Altéré Format inconnu <200.1104.f04.704.1404>
Protégé par mot de passe Verrouillé par un autre processus Accès en lecture refusé Espace disque insuffisant <200.804.304.504.604>
Problème d'E/S Manqué Erreur de Kernel Erreur d'interface <200.404.1c04.204.104>
Objet Résultat Description <100.3c00000c.f000018.19000010>
|
|
team sécurité
|
|
|
télécharges lopxpMH2.zip:
http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip
* Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
* Poste le contenu du rapport qui va s'ouvrir
|
|
|
|
|
Merci de me répondre, même le WE ;-)
Voici le rapport de lopxpMH2 :
Rapport lopxpMH2 version 2.0 fait à 15:59:47,56 le 23/09/2007
D:\ARCHIVES\antivirus\LopxpMH2\lopxpMH2
******************************************
## Répertoires Application Data
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est B4EC-AB7A
Répertoire de C:\Documents and Settings\All Users\Application Data
15/09/2006 13:24 <REP> .
15/09/2006 13:24 <REP> ..
14/06/2007 23:06 <REP> Adobe
23/06/2007 19:20 <REP> Apple Computer
15/09/2006 13:11 <REP> CanonBJ
10/01/2007 21:25 <REP> Messenger Plus!
15/09/2006 13:24 <REP> Microsoft
20/09/2006 17:08 <REP> MSN6
06/12/2006 22:59 <REP> QuickTime
23/11/2006 23:24 <REP> Skype
15/09/2006 13:25 62 desktop.ini
1 fichier(s) 62 octets
10 Rép(s) 30 195 363 840 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est B4EC-AB7A
Répertoire de C:\Documents and Settings\Default User\Application Data
15/09/2006 13:24 <REP> .
15/09/2006 13:24 <REP> ..
15/09/2006 13:24 <REP> Microsoft
15/09/2006 13:25 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 30 195 363 840 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est B4EC-AB7A
Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data
15/09/2006 13:25 <REP> .
15/09/2006 13:25 <REP> ..
0 fichier(s) 0 octets
2 Rép(s) 30 195 363 840 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est B4EC-AB7A
Répertoire de C:\Documents and Settings\LocalService\Application Data
15/09/2006 12:45 <REP> .
15/09/2006 12:45 <REP> ..
15/09/2006 12:45 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 30 195 363 840 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est B4EC-AB7A
Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data
15/09/2006 12:45 <REP> .
15/09/2006 12:45 <REP> ..
15/09/2006 12:45 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 30 195 363 840 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est B4EC-AB7A
Répertoire de C:\Documents and Settings\NetworkService\Application Data
15/09/2006 12:45 <REP> .
15/09/2006 12:45 <REP> ..
15/09/2006 12:45 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 30 195 363 840 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est B4EC-AB7A
Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data
15/09/2006 12:45 <REP> .
15/09/2006 12:45 <REP> ..
15/09/2006 12:45 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 30 195 363 840 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est B4EC-AB7A
Répertoire de C:\Documents and Settings\Nils\Application Data
15/09/2006 12:46 <REP> .
15/09/2006 12:46 <REP> ..
15/09/2006 17:12 <REP> Adobe
22/09/2006 12:15 <REP> AdobeUM
23/06/2007 19:25 <REP> Apple Computer
07/01/2007 20:32 <REP> ArcSoft
07/01/2007 20:44 <REP> Canon
08/04/2007 15:41 <REP> Google
30/11/2006 22:10 <REP> Help
15/09/2006 12:46 <REP> Identities
19/07/2007 15:12 <REP> InstallShield
23/01/2007 17:48 <REP> Lavasoft
15/09/2006 16:26 <REP> Macromedia
27/05/2007 01:31 <REP> Media Player Classic
15/09/2006 12:46 <REP> Microsoft
15/09/2006 13:52 <REP> Microsoft Web Folders
20/09/2006 17:08 <REP> MSN6
19/01/2007 01:08 <REP> Real
23/11/2006 23:24 <REP> Skype
23/01/2007 01:06 <REP> style for
23/01/2007 01:01 <REP> Sun
04/09/2007 18:55 <REP> U3
15/09/2006 12:46 62 desktop.ini
1 fichier(s) 62 octets
22 Rép(s) 30 195 359 744 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est B4EC-AB7A
Répertoire de C:\Documents and Settings\Nils\Local Settings\Application Data
15/09/2006 12:46 <REP> .
15/09/2006 12:46 <REP> ..
15/09/2006 17:12 <REP> Adobe
23/06/2007 19:37 <REP> Apple Computer
08/04/2007 15:41 <REP> Google
30/11/2006 22:10 <REP> Help
29/09/2006 11:45 <REP> Identities
15/09/2006 12:46 <REP> Microsoft
15/09/2006 15:46 118 784 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
26/01/2007 17:26 38 432 GDIPFONTCACHEV1.DAT
15/09/2006 13:00 3 712 744 IconCache.db
3 fichier(s) 3 869 960 octets
8 Rép(s) 30 195 359 744 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est B4EC-AB7A
Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data
15/09/2006 12:43 <REP> .
15/09/2006 12:43 <REP> ..
15/09/2006 12:43 <REP> Microsoft
15/09/2006 12:43 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 30 195 359 744 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est B4EC-AB7A
Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data
15/09/2006 12:43 <REP> .
15/09/2006 12:43 <REP> ..
0 fichier(s) 0 octets
2 Rép(s) 30 195 359 744 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks
C:\WINDOWS\Tasks\AE06652C918A16CC.job
��� paYÁúéNF»ñ ºþá©�F Ð <
�s� �� "ˆ!×�� � � � 5 c : \ d o c u m e ~ 1 \ n i l s \ a p p l i c ~ 1 \ s t y l e f ~ 1 \ T e s t L o g o S t a r t . e x e � N i l s � � �€ � 0 Ñ�� � � < � �
C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
�s�€ �� €!×�� � � � � : C : \ P r o g r a m F i l e s \ A p p l e S o f t w a r e U p d a t e \ S o f t w a r e U p d a t e . e x e � - T a s k � S Y S T E M � � 0 ×�� � � � � � �
******************************************
## Répertoires de C:\Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est B4EC-AB7A
Répertoire de C:\Program Files
23/09/2007 15:54 <REP> .
23/09/2007 15:54 <REP> ..
30/11/2006 20:38 540 _DEISREG.ISR
24/06/1999 12:24 49 152 _ISREG32.DLL
15/09/2006 15:26 <REP> Adobe
15/09/2006 14:15 <REP> Ahead
23/06/2007 19:20 <REP> Apple Software Update
15/09/2006 13:09 <REP> ArcSoft
16/11/2006 16:58 <REP> Borland
13/02/2007 23:33 <REP> BSPlayer
22/12/2006 13:25 <REP> CALENDAR
07/01/2007 20:44 <REP> Canon
16/02/2007 23:15 <REP> CCleaner
15/09/2006 14:29 <REP> CDex_150
18/02/2007 17:19 <REP> Celestia
13/02/2007 23:33 <REP> Chroma
15/09/2006 12:33 <REP> ComPlus Applications
03/12/2006 00:37 <REP> CONEXANT
23/01/2007 01:08 <REP> Crazy Browser
15/09/2006 14:00 <REP> CyberLink
23/09/2007 02:54 <REP> eMule
13/02/2007 23:33 <REP> EquaChim
15/09/2006 14:31 <REP> Evariste
22/09/2007 12:27 <REP> Fichiers communs
08/04/2007 15:40 <REP> Google
17/02/2007 00:22 <REP> hijackthis
15/09/2006 12:57 <REP> Internet Explorer
23/01/2007 01:01 <REP> Java
22/09/2007 12:27 <REP> Kaspersky Lab
26/05/2007 23:18 <REP> K-Lite Codec Pack
23/01/2007 17:48 <REP> Lavasoft
13/02/2007 23:33 <REP> Messenger
27/07/2007 17:23 <REP> Messenger Plus! Live
10/01/2007 21:23 <REP> MessengerPlus! 3
15/09/2006 12:39 <REP> microsoft frontpage
15/09/2006 13:58 <REP> Microsoft Office
15/09/2006 13:54 <REP> Microsoft Visual Studio
12/03/2007 20:19 <REP> Mio DigiWalker
15/03/2007 22:21 <REP> Mio Technology
15/09/2006 12:57 <REP> Movie Maker
15/09/2006 12:33 <REP> MSN
15/09/2006 12:32 <REP> MSN Gaming Zone
27/07/2007 17:23 <REP> MSN Messenger
11/12/2006 19:08 <REP> NETGEAR
15/09/2006 12:57 <REP> NetMeeting
08/05/2007 23:34 <REP> Oscillo
15/09/2006 12:57 <REP> Outlook Express
24/01/2007 20:30 <REP> PDFCreator
15/09/2006 13:45 <REP> Pinnacle
26/05/2007 14:54 <REP> psimdemo
23/06/2007 19:21 <REP> QuickTime
19/07/2007 15:12 <REP> SAGEM
15/09/2006 13:10 <REP> ScanSoft
15/09/2006 12:37 <REP> Services en ligne
22/12/2006 13:25 <REP> Sicyon
11/01/2007 17:41 <REP> Skype
26/05/2007 00:38 <REP> UIU
27/07/2007 17:23 <REP> Windows Live
13/02/2007 23:33 <REP> Windows Media Player
15/09/2006 12:32 <REP> Windows NT
15/09/2006 14:23 <REP> WinRAR
28/08/2007 16:37 <REP> WinZip
15/09/2006 12:39 <REP> xerox
24/01/2007 20:18 <REP> Zone Labs
2 fichier(s) 49 692 octets
62 Rép(s) 30 195 347 456 octets libres
******************************************
## Popups autorisées
* Internet Explorer
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
* Mozilla Firefox (1 autorisé 2 interdit)
******************************************
## Registre
* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ http://g.msn.fr/0SEFRFR/SAOS02
******************************************
## Zones de sécurité
* HKCU Domains (4)
* P3P History (5)
******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"
*************** Fin du rapport ****************
|
|
team sécurité
|
|
|
fais ceci dans l'ordre et en entier :
Note: Cette procédure a été créée spécifiquement pour cet utilisateur ! Si vous n'êtes pas cet utilisateur en question, ne suivez pas ces instructions au risque d'endommager votre PC !!!
1/ Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) :
REGEDIT4
[HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar"=-
-Enregistrer ce fichier dans : Bureau
-Nom du fichier : fix .reg
-Type : tous les fichiers !!!
-cliquer sur Enregistrer
-quitter le Bloc Notes
Utilisation du fichier: fix.reg
- double cliquer sur le fichier (Bureau) / Accepter l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valider le message disant que la fusion est terminée.
2/ Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
Double-clique sur OTMoveIt.exe pour le lancer.
Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!
Copie le texte qui se trouve dans l'encadré ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.
Clique sur MoveIt! pour lancer la suppression.
Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.
Redémarre ton PC
Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles.
|
|
|
|
|
ok c'est fait, voici le rapport de OTmoveIt :
File/Folder http://g.msn.fr/0SEFRFR/ not found.
C:\WINDOWS\Tasks\AE06652C918A16CC.job moved successfully.
Created on 09/24/2007 10:55:50
|
|
team sécurité
|
|
|
|
Pour utiliserSmitFraudFix: Faux positif: process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. http://www.beyondlogic.org/consulting/processutil/processutil.htm Télécharge: Utilisez cette adresse pour télécharger la dernière version du fix (le fichier contient la version anglaise et française): http://siri.urz.free.fr/Fix/SmitfraudFix.exe Utilisation: Recherche: [list] Double clique sur SmitfraudFix.exe Sélectionner 1 et pressez Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque système C:\rapport.txt[/list] Poste le rapport dans ton prochain message.
|
|
|
|
|
Rapport de smitfraudfix :
SmitFraudFix v2.228
Rapport fait à 20:04:32,31, 24/09/2007
Executé à partir de C:\Documents and Settings\Nils\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Nils
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Nils\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Nils\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
|
|
team sécurité
|
|
|
|
Nettoyage: [list] Redémarre l'ordinateur en mode sans échec (au démarrage de l'ordinateur, tapoter F8 ) Double clique sur SmitfraudFix.exe Sélectionner 2 et pressez Entrée dans le menu pour supprimer les fichiers responsables de l'infection. A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection. Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu. Un redémarrage sera peut être nécessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt [/list] Poste le rapport dans ton prochain message.
|
|
|
|
|
SmitFraudFix v2.228
Rapport fait à 21:51:51,88, 24/09/2007
Executé à partir de C:\Documents and Settings\Nils\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
127.0.0.1 bin.errorprotector.com ## added by CiD
127.0.0.1 br.errorsafe.com ## added by CiD
127.0.0.1 br.winantivirus.com ## added by CiD
127.0.0.1 br.winfixer.com ## added by CiD
127.0.0.1 cdn.drivecleaner.com ## added by CiD
127.0.0.1 cdn.errorsafe.com ## added by CiD
127.0.0.1 cdn.winsoftware.com ## added by CiD
127.0.0.1 de.errorsafe.com ## added by CiD
127.0.0.1 de.winantivirus.com ## added by CiD
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
127.0.0.1 download.cdn.errorsafe.com ## added by CiD
127.0.0.1 download.cdn.winsoftware.com ## added by CiD
127.0.0.1 download.errorsafe.com ## added by CiD
127.0.0.1 download.systemdoctor.com ## added by CiD
127.0.0.1 download.winantispyware.com ## added by CiD
127.0.0.1 download.windrivecleaner.com ## added by CiD
127.0.0.1 download.winfixer.com ## added by CiD
127.0.0.1 drivecleaner.com ## added by CiD
127.0.0.1 dynamique.drivecleaner.com ## added by CiD
127.0.0.1 errorprotector.com ## added by CiD
127.0.0.1 errorsafe.com ## added by CiD
127.0.0.1 es.winantivirus.com ## added by CiD
127.0.0.1 fr.winantivirus.com ## added by CiD
127.0.0.1 fr.winfixer.com ## added by CiD
127.0.0.1 go.drivecleaner.com ## added by CiD
127.0.0.1 go.errorsafe.com ## added by CiD
127.0.0.1 go.winantispyware.com ## added by CiD
127.0.0.1 go.winantivirus.com ## added by CiD
127.0.0.1 hk.winantivirus.com ## added by CiD
127.0.0.1 instlog.errorsafe.com ## added by CiD
127.0.0.1 instlog.winantivirus.com ## added by CiD
127.0.0.1 instlog.winfixer.com ## added by CiD
127.0.0.1 jsp.drivecleaner.com ## added by CiD
127.0.0.1 kb.errorsafe.com ## added by CiD
127.0.0.1 kb.winantivirus.com ## added by CiD
127.0.0.1 nl.errorsafe.com ## added by CiD
127.0.0.1 se.errorsafe.com ## added by CiD
127.0.0.1 secure.drivecleaner.com ## added by CiD
127.0.0.1 secure.errorsafe.com ## added by CiD
127.0.0.1 secure.winantispam.com ## added by CiD
127.0.0.1 secure.winantispy.com ## added by CiD
127.0.0.1 secure.winantivirus.com ## added by CiD
127.0.0.1 support.winantivirus.com ## added by CiD
127.0.0.1 trial.updates.winsoftware.com ## added by CiD
127.0.0.1 ulog.winantivirus.com ## added by CiD
127.0.0.1 utils.errorsafe.com ## added by CiD
127.0.0.1 utils.winantivirus.com ## added by CiD
127.0.0.1 utils.winfixer.com ## added by CiD
127.0.0.1 winantispyware.com ## added by CiD
127.0.0.1 winantivirus.com ## added by CiD
127.0.0.1 winfixer.com ## added by CiD
127.0.0.1 winfixer2006.com ## added by CiD
127.0.0.1 winsoftware.com ## added by CiD
127.0.0.1 www.drivecleaner.com ## added by CiD
127.0.0.1 www.errorprotector.com ## added by CiD
127.0.0.1 www.errorsafe.com ## added by CiD
127.0.0.1 www.systemdoctor.com ## added by CiD
127.0.0.1 www.utils.winfixer.com ## added by CiD
127.0.0.1 www.win-anti-virus-pro.com ## added by CiD
127.0.0.1 www.win-virus-pro.com ## added by CiD
127.0.0.1 www.winantispam.com ## added by CiD
127.0.0.1 www.winantispy.com ## added by CiD
127.0.0.1 www.winantispyware.com ## added by CiD
127.0.0.1 www.winantivirus.com ## added by CiD
127.0.0.1 www.winantiviruspro.com ## added by CiD
127.0.0.1 www.windrivecleaner.com ## added by CiD
127.0.0.1 www.windrivesafe.com ## added by CiD
127.0.0.1 www.winfixer.com ## added by CiD
127.0.0.1 www.winfixer2006.com ## added by CiD
127.0.0.1 www.winsoftware.com ## added by CiD
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{41C19711-FACB-42DF-A319-4FC2625DAF96}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{41C19711-FACB-42DF-A319-4FC2625DAF96}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{41C19711-FACB-42DF-A319-4FC2625DAF96}: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
|
|
team sécurité
|
|
|
|
as tu encore des soucis??
|
|
|
|
|
apparemment, la fenêtre ne s'ouvre plus !!
merci beaucoup pour ton aide bibou0007
une dernière question: mon antivirus suffit-il pour éviter ce genre d'infection, ou dois-je installer un autre logiciel ?
|
|
team sécurité
|
|
|
non il faut que tu mette un parefeu comme Zone Alarm ou kerio qui sont gratuit!!!
est ce qui serais bien un antispy comme spybot car avec son tea timer tu a une protection residente!!!
tu peut mettre resolu a ton titre!!!
a+
|
|
|
|
|
|
heu comment on fait pour mettre "résolu" ? !
|
|
|
|
|
aïe !!!! la fenêtre est toujours là !!
Elle ne s'était pas manifestée jusqu'à présent mais elle est encore là !!
Elle apparait moins fréquemment c'est tout.
désolé de demander encore ton aide !
a+
|
|
team sécurité
|
|
|
selon l antivirus que tu utilise navilog peut etre detecté comme virus !!!
dans ce cas la desactive le pendant le telechargement et le scan!!!!
Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
|
|
|
|
|
j'ai un problème avec ce lien, j'ai essayé d'y acceder plusieurs fois par différents moyens, mais à chaque fois, ça plante, une fenêtre finit par m'informer que "ce programme ne répond plus" !
comprend pas
|
|
team sécurité
|
|
|
tu as desactivé antivir??,
car il faut desolé j ai oublier de te le dire
avant le telechargement et pendant le scan!!
|
|
