|
|
Auteur
|
Message
|
1
|
|
|
|
Bonjour,
J'ai actuellement Avast Antivirus et je crois que j'ai chopé un cheval de troie en parlant sur MSN messenger. J'ai d'abord eu plusieurs alertes virales (notamment: Win32:Adware-gen.[Adw] , Win32:Qqhelper-AC[Tri] et Win32:Zlob-TC [Tri]) qui, suite à des scans répété, ont disparu. Mais en revanche Avast m'affiche en permanence des messages suspects sur mon ecran.
Aidez moi s'il vous plait,
Merci d'avance.
|
|
|
|
|
Bonjour,
- Télécharge HiJackThis de Merijn sur ton bureau.
- Renomme le fichier HiJackThis.exe en Scanner.exe pour cela, fais un clic droit sur le fichier HiJackThis.exe et choisis renommer dans la liste
- Tape Scanner.exe et Appuye sur la touche Entrée.
- Génère un rapport en suivant ces indications :
- Double-clic sur Scanner.exe
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
Aide : N'hésite pas à consulter l'aide HiJackThis -
|
|
|
|
|
Merci d'avoir répondu si rapidement,
Voila le Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 14:42:12, on 21/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Launch Manager\LaunchAp.exe
C:\Launch Manager\HotkeyApp.exe
C:\Launch Manager\OSD.exe
C:\Launch Manager\OSDCtrl.exe
C:\Launch Manager\Wbutton.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\CloneCD\CloneCDTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\eMule\emule.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Telechargement\hijackthis\scanner.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Alwil Software\Avast4\ashLogV.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\Documents and Settings\Marie-Louise\Bureau\hijackthis\Scanner.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/fsc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://client.jogo.cn/cdn/browser/sidesearch/sidesearch-en.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://client.jogo.cn/cdn/browser/customsearch/customsearch-en.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.(...)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CNNIC ÍøÂ繤¾ßDrag - {352E3B3A-CAB5-4DBC-B940-C7F84D0447D8} - C:\PROGRA~1\CNNIC\Cdn\cdndrag.dll (file missing)
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll (file missing)
O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRA~1\CNNIC\Cdn\wmhlpr.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrVolOSD] C:\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Install_BlueDSL] D:\Install.exe wifi
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LocaWatch] C:\reveil\Loca Watch\Loca Watch.exe
O4 - HKLM\..\Run: [System] C:\Program Files\Fichiers communs\System\Update.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2453900 6
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WinMedia] C:\36110103225133104359.exe
O4 - HKCU\..\Run: [Winstb] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstf] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstz] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstu] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstg] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstm] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstr] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winsty] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winsto] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstd] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winste] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstj] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstp] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstk] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winsta] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstl] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstw] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstx] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winsts] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winsti] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstt] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstv] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstq] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winsth] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstn] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstc] C:\36110103225133107593.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O9 - Extra button: Chinese Navigation - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll (file missing)
O9 - Extra 'Tools' menuitem: Chinese Navigation - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll (file missing)
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Qlcsfissa - Sonic Solutions - (no file)
|
|
|
|
|
Télécharge Combofix sUBs : combofix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, Il va te poser une question, réponds yes (touche y) puis attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Copie/colle un nouveau rapport HiJackThis avec.
|
|
|
|
|
Voila le rapport ComboFix
"Marie-Louise" - 07-01-21 15:11:18 Service Pack 2
ComboFix 07-01-21 - Running from: "C:\Documents and Settings\Marie-Louise\Bureau"
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\Program Files\kw_wl_lyric_020.exe
C:\Program Files\tshz093.exe
C:\WINDOWS\system32\advport.dll
C:\WINDOWS\system32\cdnns.dll
C:\WINDOWS\system32\cdnprot.dat
C:\WINDOWS\system32\drivers\cdnprot.sys
C:\WINDOWS\system32\drivers\cdntran.sys
C:\WINDOWS\system32\iexp_log.txt
C:\WINDOWS\system32\rundllfromwin2000.exe
C:\WINDOWS\system32\wbem\ocmor.dll
C:\Program Files\CNNIC
C:\Program Files\coolsign
((((((((((((((((((((((((((((((( Files Created from 2006-12-21 to 2007-01-21 ))))))))))))))))))))))))))))))))))
2007-01-15 12:54 <REP> d-------- C:\Cle USB Papa
2007-01-13 01:18 <REP> d-------- C:\Program Files\RegCleaner
2007-01-09 22:07 <REP> d-------- C:\Program Files\AntiVir PersonalEdition Classic
2007-01-09 22:07 <REP> d-------- C:\DOCUME~1\ALLUSE~1\Application Data\AntiVir PersonalEdition Classic
2007-01-09 22:03 <REP> d-------- C:\DOCUME~1\MARIE-~1\Application Data\AVG7
2007-01-09 22:02 <REP> d-------- C:\Program Files\Grisoft(2)
2007-01-09 22:02 <REP> d-------- C:\DOCUME~1\ALLUSE~1\Application Data\Grisoft
2007-01-09 22:02 <REP> d-------- C:\DOCUME~1\ALLUSE~1\Application Data\avg7
2007-01-09 19:57 20,992 --a------ C:\WINDOWS\system32\gwquvw.dll
2007-01-09 19:57 <REP> d-------- C:\Program Files\Video ActiveX Object
2007-01-09 19:57 <REP> d-------- C:\Program Files\AntiVerminser
2006-12-23 01:27 <REP> d-------- C:\DOCUME~1\MARIE-~1\Application Data\Apple Computer
2006-12-23 01:26 <REP> d-------- C:\Program Files\iTunes
2006-12-23 01:24 <REP> d-------- C:\Program Files\Apple Software Update
2006-12-23 01:24 <REP> d-------- C:\DOCUME~1\ALLUSE~1\Application Data\Apple Computer
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-01-21 12:17 -------- d-------- C:\Program Files\emule
2007-01-16 20:42 -------- d-------- C:\DOCUME~1\MARIE-~1\Application Data\adobe
2007-01-15 18:32 689280 --a------ C:\WINDOWS\system32\aswboot.exe
2007-01-15 18:26 23352 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-01-15 18:25 43176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-01-13 19:53 90112 --a------ C:\WINDOWS\system32\avastss.scr
2007-01-09 22:02 -------- d---s---- C:\DOCUME~1\MARIE-~1\Application Data\microsoft
2006-12-23 01:26 -------- d-------- C:\Program Files\quicktime
2006-12-21 00:56 94424 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2006-12-21 00:56 85952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2006-12-21 00:51 31560 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2006-12-15 19:49 -------- d-------- C:\DOCUME~1\MARIE-~1\Application Data\slysoft
2006-12-08 13:33 -------- d-------- C:\Program Files\winamp
2006-11-07 16:29 73728 --a------ C:\WINDOWS\lw.scr
2006-11-01 18:14 3072 -r-hs---- C:\36110103225133104359.exe
2006-10-31 19:41 4633912 --a------ C:\WindowsXP-KB918899-x86-CHS.exe
2006-10-28 12:55 73216 --a------ C:\WINDOWS\st6unst.exe
2006-10-28 12:55 249856 --------- C:\WINDOWS\setup1.exe
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"fsc-reminder.exe"="C:\\WINDOWS\\reminder\\fsc-reminder.exe 2453900 6"
"WOOKIT"="C:\\PROGRA~1\\Wanadoo\\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM="
"MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"
"Winstb"="C:\\36110103225133107593.exe"
"Winstf"="C:\\36110103225133107593.exe"
"Winstz"="C:\\36110103225133107593.exe"
"Winstu"="C:\\36110103225133107593.exe"
"Winstg"="C:\\36110103225133107593.exe"
"Winstm"="C:\\36110103225133107593.exe"
"Winstr"="C:\\36110103225133107593.exe"
"Winsty"="C:\\36110103225133107593.exe"
"Winsto"="C:\\36110103225133107593.exe"
"Winstd"="C:\\36110103225133107593.exe"
"Winste"="C:\\36110103225133107593.exe"
"Winstj"="C:\\36110103225133107593.exe"
"Winstp"="C:\\36110103225133107593.exe"
"Winstk"="C:\\36110103225133107593.exe"
"Winsta"="C:\\36110103225133107593.exe"
"Winstl"="C:\\36110103225133107593.exe"
"Winstw"="C:\\36110103225133107593.exe"
"Winstx"="C:\\36110103225133107593.exe"
"Winsts"="C:\\36110103225133107593.exe"
"Winsti"="C:\\36110103225133107593.exe"
"Winstt"="C:\\36110103225133107593.exe"
"Winstv"="C:\\36110103225133107593.exe"
"Winstq"="C:\\36110103225133107593.exe"
"Winsth"="C:\\36110103225133107593.exe"
"Winstn"="C:\\36110103225133107593.exe"
"Winstc"="C:\\36110103225133107593.exe"
"WinMedia"="C:\\36110103225133104359.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SoundMan"="SOUNDMAN.EXE"
"SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"
"LaunchAp"="C:\\Launch Manager\\LaunchAp.exe"
"HotkeyApp"="C:\\Launch Manager\\HotkeyApp.exe"
"LMgrVolOSD"="C:\\Launch Manager\\OSD.exe"
"LMgrOSD"="C:\\Launch Manager\\OSDCtrl.exe"
"Wbutton"="\"C:\\Launch Manager\\Wbutton.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"CtrlVol"="C:\\Launch Manager\\CtrlVol.exe"
"Install_BlueDSL"="D:\\Install.exe wifi"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"LocaWatch"="C:\\reveil\\Loca Watch\\Loca Watch.exe"
"CloneCDTray"="\"C:\\Program Files\\CloneCD\\CloneCDTray.exe\" /s"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
Usnsvc REG_MULTI_SZ usnsvc\0\0
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{06b875a2-4025-11db-ba5a-0002e34a206d}]
Shell\AutoRun\command E:\setupSNK.exe
*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_ZDPNDIS5
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
Completion time: 07-01-21 15:14:43
Et Voici le HiJackThis:
Logfile of HijackThis v1.99.1
Scan saved at 15:26:09, on 21/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Launch Manager\LaunchAp.exe
C:\Launch Manager\HotkeyApp.exe
C:\Launch Manager\OSD.exe
C:\Launch Manager\OSDCtrl.exe
C:\Launch Manager\Wbutton.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\CloneCD\CloneCDTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\eMule\emule.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Marie-Louise\Bureau\hijackthis\Scanner.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.(...)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrVolOSD] C:\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Install_BlueDSL] D:\Install.exe wifi
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LocaWatch] C:\reveil\Loca Watch\Loca Watch.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2453900 6
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Winstb] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstf] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstz] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstu] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstg] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstm] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstr] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winsty] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winsto] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstd] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winste] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstj] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstp] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstk] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winsta] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstl] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstw] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstx] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winsts] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winsti] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstt] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstv] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstq] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winsth] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstn] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstc] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [WinMedia] C:\36110103225133104359.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Qlcsfissa - Sonic Solutions - (no file)
|
|
|
|
|
Sur HijackThis, coche ces lignes :
O4 - HKCU\..\Run: [Winstb] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstf] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstz] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstu] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstg] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstm] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstr] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winsty] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winsto] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstd] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winste] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstj] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstp] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstk] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winsta] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstl] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstw] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstx] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winsts] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winsti] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstt] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstv] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstq] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winsth] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstn] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [Winstc] C:\36110103225133107593.exe
O4 - HKCU\..\Run: [WinMedia] C:\36110103225133104359.exe
--> clic sur fix checked
Redémarre l'ordinateur
Supprime : C:\36110103225133104359.exe
-- Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31
(Si tu as Norton Antivirus ou NOD32, désactive le)
-- Fais un clic droit puis Extraire tout sur le fichier SmitfraudFix.zip, cela va tout décompresser dans un nouveau dossier SmitFraudfix
-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (le .cmd peut ne pas être présent)
-- Choisis l'option 1 et appuie sur Entrée
-- Réponds o (Oui) aux deux questions suivantes si elles sont posées
-- Un rapport sera généré sauvegarde le dans un dossier
-- Copie/colle le contenu du rapport ici
Poste un nouveau rapport HijackThis.
|
|
|
|
|
J'ai bien fait ce que vous m'avez dit avec HiJackThis mais, au redemarrage il n'existait pas de fichier C:\36110103225133104359.exe
Je vous copie le rapport obtenu avec SmithFraudFix
SmitFraudFix v2.133
Rapport fait à 18:15:37,76, 21/01/2007
Executé à partir de C:\Documents and Settings\Marie-Louise\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\gwquvw.dll PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Marie-Louise
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Marie-Louise\Application Data
C:\Documents and Settings\Marie-Louise\Application Data\Microsoft\Internet Explorer\Quick Launch\AntiVerminser 2.1.lnk PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MARIE-~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
C:\Program Files\AntiVerminser\ PRESENT !
C:\Program Files\Video ActiveX Object\ PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Et puis le HiJackThis :
Logfile of HijackThis v1.99.1
Scan saved at 18:19:00, on 21/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Launch Manager\LaunchAp.exe
C:\Launch Manager\HotkeyApp.exe
C:\Launch Manager\OSD.exe
C:\Launch Manager\OSDCtrl.exe
C:\Launch Manager\Wbutton.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\CloneCD\CloneCDTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Documents and Settings\Marie-Louise\Bureau\hijackthis\Scanner.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.(...)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrVolOSD] C:\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Install_BlueDSL] D:\Install.exe wifi
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LocaWatch] C:\reveil\Loca Watch\Loca Watch.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2453900 6
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WinMedia] C:\36110103225133104359.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Qlcsfissa - Sonic Solutions - (no file)
|
|
|
|
|
Voici la manipulation à effectuer en entier
Merci de bien vouloir :
- Lire attentivement les instructions demandées et prendre son temps pour les effectuer convenablement, sinon la désinfection ne sera pas complète.
- Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.
- A l'issu de la procédure, merci de bien copier/coller TOUS les rapports demandés.
- N'hésitez pas à consulter les liens d'aides, ils sont là pour vous guider !
Sur HiJackThis, refais un scan et coches les lignes suivantes :
O4 - HKCU\..\Run: [WinMedia] C:\36110103225133104359.exe
---> puis clic sur le bouton "Fix Checked"
n'hésite pas à consulter l'aide HiJackThis
- Télécharge et installe AVG Anti-Spyware - Tutorial : http://www.malekal.com/tutorial_AVG_AntiSpyware.html
- Mets le à jour à partir du menu Mise à jour en haut
- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci
Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.
Clean va travailler.
Un rapport Va etre généré, colle le contenu entier ici.
-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (ne
clique sur aucun autre fichier!!!)
-- Choisis l'option 2 et appuie sur Entrée
-- Réponds o (Oui) aux deux questions suivantes si elles sont posées
-- Un rapport sera généré sauvegarde le dans un dossier,
- Ouvre AVG Anti-Spyware et clic sur l'onglet Analyse, puis le sous-onglet Paramètres
- Sélectionne dans Comment Réagir ? Quarantine. (voir l'aide l'aide AVG Anti-Spyware)
- Reviens au sous-onglet Analyser puis clique sur Analyse complète du système.
---> Le scan démarre.
A la fin clique sur Appliquer toutes les actions, les éléments doivent alors être déplacés en quarantaine.
Puis clique sur Enregistrer le rapport d'analyse et enregistre le rapport sur le Bureau.
Aide : N'hésite pas à consulter l'Aide AVG Anti-Spyware pour tout problème.
-- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur
Attention : dans le cas où l'ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l'option /SAFEBOOT à l'aide de msconfig : voir à nouveau cette page : cliquez-ici
-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne
-- Copie/Colle ici les rapports :
- AVG Anti-Spyware
- SmitFraudfix
- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt
- ainsi qu'un nouveau log HiJackThis
-->Message édité par Malekal_morte le 21/01/2007 21:12:33<--
|
|
|
|
|
Houa, le scan de AVG AntiSpyware était vraiment long; il a mis plus de 9h a scanner tous mon ordi!
Mais bon, c'est fait:
Tout d'abord le Rapport de KASPERSKY :
KASPERSKY ONLINE SCANNER REPORT
Monday, January 22, 2007 7:13:21 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 22/01/2007
Kaspersky Anti-Virus database records: 246418
Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true
Scan Target My Computer
C:\
D:\
Scan Statistics
Total number of scanned objects 53309
Number of viruses found 4
Number of infected objects 7 / 0
Number of suspicious objects 0
Duration of the scan process 01:03:42
Infected Object Name Virus Name Last Action
C:\36110103225133104359.exe Infected: Trojan.Win32.Agent.zq skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Marie-Louise\Application Data\Microsoft\Modèles\Normal.dot Object is locked skipped
C:\Documents and Settings\Marie-Louise\Bureau\update.exe Infected: Trojan-Downloader.Win32.Tiny.fr skipped
C:\Documents and Settings\Marie-Louise\Bureau\Voici la manipulation à effectuer en entier.doc Object is locked skipped
C:\Documents and Settings\Marie-Louise\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Marie-Louise\Local Settings\Application Data\Microsoft\Messenger\peaceman78@msn.com\SharingMetadata\Logs\Dfsr.log Object is locked skipped
C:\Documents and Settings\Marie-Louise\Local Settings\Application Data\Microsoft\Messenger\peaceman78@msn.com\SharingMetadata\pending.dat Object is locked skipped
C:\Documents and Settings\Marie-Louise\Local Settings\Application Data\Microsoft\Messenger\peaceman78@msn.com\SharingMetadata\Working\database_5CAC_8DC7_AC8D_9BE0\dfsr.db Object is locked skipped
C:\Documents and Settings\Marie-Louise\Local Settings\Application Data\Microsoft\Messenger\peaceman78@msn.com\SharingMetadata\Working\database_5CAC_8DC7_AC8D_9BE0\fsr.log Object is locked skipped
C:\Documents and Settings\Marie-Louise\Local Settings\Application Data\Microsoft\Messenger\peaceman78@msn.com\SharingMetadata\Working\database_5CAC_8DC7_AC8D_9BE0\fsrtmp.log Object is locked skipped
C:\Documents and Settings\Marie-Louise\Local Settings\Application Data\Microsoft\Messenger\peaceman78@msn.com\SharingMetadata\Working\database_5CAC_8DC7_AC8D_9BE0\tmp.edb Object is locked skipped
C:\Documents and Settings\Marie-Louise\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Marie-Louise\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Marie-Louise\Local Settings\Application Data\Microsoft\Windows Live Contacts\PEACEMAN78@msn.com\real\members.stg Object is locked skipped
C:\Documents and Settings\Marie-Louise\Local Settings\Application Data\Microsoft\Windows Live Contacts\PEACEMAN78@msn.com\shadow\members.stg Object is locked skipped
C:\Documents and Settings\Marie-Louise\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Marie-Louise\Local Settings\Historique\History.IE5\MSHist012007012220070123\index.dat Object is locked skipped
C:\Documents and Settings\Marie-Louise\Local Settings\Temp\~DF2859.tmp Object is locked skipped
C:\Documents and Settings\Marie-Louise\Local Settings\Temp\~DF6F2F.tmp Object is locked skipped
C:\Documents and Settings\Marie-Louise\Local Settings\Temp\~DF6F42.tmp Object is locked skipped
C:\Documents and Settings\Marie-Louise\Local Settings\Temp\~DF938D.tmp Object is locked skipped
C:\Documents and Settings\Marie-Louise\Local Settings\Temp\~DF93B1.tmp Object is locked skipped
C:\Documents and Settings\Marie-Louise\Local Settings\Temp\~DFF26D.tmp Object is locked skipped
C:\Documents and Settings\Marie-Louise\Local Settings\Temp\~DFF592.tmp Object is locked skipped
C:\Documents and Settings\Marie-Louise\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Marie-Louise\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Marie-Louise\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{7DA41B9B-7D27-4018-8ACF-F448054C2764}\RP110\A0016791.dll Infected: Trojan-Downloader.Win32.Zlob.bjo skipped
C:\System Volume Information\_restore{7DA41B9B-7D27-4018-8ACF-F448054C2764}\RP110\A0016792.exe Infected: Trojan-Downloader.Win32.Zlob.bjr skipped
C:\System Volume Information\_restore{7DA41B9B-7D27-4018-8ACF-F448054C2764}\RP110\A0016793.exe Infected: Trojan-Downloader.Win32.Zlob.bjo skipped
C:\System Volume Information\_restore{7DA41B9B-7D27-4018-8ACF-F448054C2764}\RP110\A0016794.exe Infected: Trojan-Downloader.Win32.Zlob.bjo skipped
C:\System Volume Information\_restore{7DA41B9B-7D27-4018-8ACF-F448054C2764}\RP110\change.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\eonugef.exe Infected: Trojan-Downloader.Win32.Tiny.fr skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_594.dat Object is locked skipped
C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
Scan process completed.
voila le rapport AVG AntiSpyware :
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 17:50:39 22/01/2007
+ Résultat de l'analyse:
C:\System Volume Information\_restore{7DA41B9B-7D27-4018-8ACF-F448054C2764}\RP110\A0016789.exe -> Adware.AntiVermins : Aucune action entreprise.
C:\System Volume Information\_restore{7DA41B9B-7D27-4018-8ACF-F448054C2764}\RP110\A0016673.sys -> Adware.BDSearch : Aucune action entreprise.
C:\System Volume Information\_restore{7DA41B9B-7D27-4018-8ACF-F448054C2764}\RP110\A0016680.dll -> Adware.BDSearch : Aucune action entreprise.
C:\System Volume Information\_restore{7DA41B9B-7D27-4018-8ACF-F448054C2764}\RP110\A0016672.dll -> Adware.Cdn : Aucune action entreprise.
C:\System Volume Information\_restore{7DA41B9B-7D27-4018-8ACF-F448054C2764}\RP110\A0016677.dll -> Adware.Cdn : Aucune action entreprise.
C:\System Volume Information\_restore{7DA41B9B-7D27-4018-8ACF-F448054C2764}\RP110\A0016682.dll -> Adware.Cdn : Aucune action entreprise.
C:\System Volume Information\_restore{7DA41B9B-7D27-4018-8ACF-F448054C2764}\RP110\A0016683.dll -> Adware.Cdn : Aucune action entreprise.
C:\System Volume Information\_restore{7DA41B9B-7D27-4018-8ACF-F448054C2764}\RP110\A0016684.dll -> Adware.Cdn : Aucune action entreprise.
C:\System Volume Information\_restore{7DA41B9B-7D27-4018-8ACF-F448054C2764}\RP110\A0016678.dll -> Adware.Cdnup : Aucune action entreprise.
C:\System Volume Information\_restore{7DA41B9B-7D27-4018-8ACF-F448054C2764}\RP110\A0016681.dll -> Adware.Cdnup : Aucune action entreprise.
C:\System Volume Information\_restore{7DA41B9B-7D27-4018-8ACF-F448054C2764}\RP110\A0016786.dll -> Adware.WorldSecurityOnline : Aucune action entreprise.
C:\System Volume Information\_restore{7DA41B9B-7D27-4018-8ACF-F448054C2764}\RP110\A0016793.exe -> Downloader.Zlob.bfj : Aucune action entreprise.
C:\System Volume Information\_restore{7DA41B9B-7D27-4018-8ACF-F448054C2764}\RP110\A0016791.dll -> Downloader.Zlob.bjo : Aucune action entreprise.
C:\System Volume Information\_restore{7DA41B9B-7D27-4018-8ACF-F448054C2764}\RP110\A0016794.exe -> Downloader.Zlob.bjo : Aucune action entreprise.
C:\System Volume Information\_restore{7DA41B9B-7D27-4018-8ACF-F448054C2764}\RP110\A0016792.exe -> Downloader.Zlob.bjr : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@247realmedia[2].txt -> TrackingCookie.247realmedia : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@2o7[2].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@msnaccountservices.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@adbrite[1].txt -> TrackingCookie.Adbrite : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@adtech[2].txt -> TrackingCookie.Adtech : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@advertising[1].txt -> TrackingCookie.Advertising : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@adviva[2].txt -> TrackingCookie.Adviva : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@bluestreak[2].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@fl01.ct2.comclick[1].txt -> TrackingCookie.Comclick : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@doubleclick[1].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@estat[1].txt -> TrackingCookie.Estat : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@as1.falkag[1].txt -> TrackingCookie.Falkag : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@ehg-playboy.hitbox[2].txt -> TrackingCookie.Hitbox : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@hitbox[2].txt -> TrackingCookie.Hitbox : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@mediaplex[1].txt -> TrackingCookie.Mediaplex : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@overture[1].txt -> TrackingCookie.Overture : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@paycounter[1].txt -> TrackingCookie.Paycounter : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@serving-sys[2].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@cs.sexcounter[2].txt -> TrackingCookie.Sexcounter : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@sexlist[2].txt -> TrackingCookie.Sexlist : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@counter15.sextracker[1].txt -> TrackingCookie.Sextracker : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@sextracker[1].txt -> TrackingCookie.Sextracker : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@smartadserver[2].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@statcounter[1].txt -> TrackingCookie.Statcounter : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@focusin.ads.targetnet[1].txt -> TrackingCookie.Targetnet : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@targetnet[1].txt -> TrackingCookie.Targetnet : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@weborama[1].txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@yadro[2].txt -> TrackingCookie.Yadro : Aucune action entreprise.
C:\Documents and Settings\Marie-Louise\Cookies\marie-louise@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
C:\36110103225133104359.exe -> Trojan.Agent.zq : Aucune action entreprise.
Fin du rapport
ensuite, le rapport de SmithFraudFix :
SmitFraudFix v2.133
Rapport fait à 17:54:49,76, 22/01/2007
Executé à partir de C:\Documents and Settings\Marie-Louise\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
Le rapport
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Puis le rapport CLEAN :
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Option 2, executee le 22/01/2007 a 7:14:44,39
Microsoft Windows XP [version 5.1.2600]
*** Suppression de fichiers sur C:
*** Suppression des fichiers dans C:\WINDOWS\
*** Suppression des fichiers dans C:\WINDOWS\system32
*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
Et enfin voici le HiJackThis :
Logfile of HijackThis v1.99.1
Scan saved at 19:15:29, on 22/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Documents and Settings\Marie-Louise\Bureau\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Launch Manager\LaunchAp.exe
C:\Launch Manager\HotkeyApp.exe
C:\Launch Manager\OSD.exe
C:\Launch Manager\OSDCtrl.exe
C:\Launch Manager\Wbutton.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\CloneCD\CloneCDTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Documents and Settings\Marie-Louise\Bureau\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Marie-Louise\Bureau\hijackthis\Scanner.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrVolOSD] C:\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Install_BlueDSL] D:\Install.exe wifi
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LocaWatch] C:\reveil\Loca Watch\Loca Watch.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Documents and Settings\Marie-Louise\Bureau\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2453900 6
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Documents and Settings\Marie-Louise\Bureau\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Qlcsfissa - Sonic Solutions - (no file)
|
|
|
|
|
Supprime : C:\36110103225133104359.exe
Ce fichier revient ou tu le supprimes pas ?
car ça fait trois fois que je te le demande.
|
|
|
|
|
|
C:\36110103225133104359.exe n'est pas présent sur mon ordi. Je ne sais pas si c'est normal. En tout cas, lorsque, aux étapes précedentes, tu m'a demandé de cocher ce fichier dans HiJackThis afin de faire un FIX CHECKED, cela marchait très bien, mais lorsque tu m'a demandé de le supprimer manuellement, il était pas dans le repertoire C:\ ni ailleur. Et là il est introuvable.
|
|
|
|
|
oki.
Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml
- Clic en bas sur "I accept"
- Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.
- Lance-le en double-cliquant sur le fichier blbeta.exe
- Accepte la licence, et clique enfin sur "Scan" puis Next et exit.
- Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe
- Ouvre fsbl-bxxxx.log et copie/colle le contenu ici, pour cela :
- Menu Edition / copier
- ici dans un nouveau message : clic droit / coller
Aide : Tu peux consulter le tutorial de F-Secure BlackLight
|
|
|
|
|
voila le rapport F-Secure Blacklight :
01/23/07 08:42:38 [Info]: BlackLight Engine 1.0.55 initialized
01/23/07 08:42:38 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/23/07 08:42:38 [Note]: 7019 4
01/23/07 08:42:38 [Note]: 7005 0
01/23/07 08:42:41 [Note]: 7006 0
01/23/07 08:42:41 [Note]: 7011 1256
01/23/07 08:42:41 [Note]: 7026 0
01/23/07 08:42:41 [Note]: 7026 0
01/23/07 08:42:50 [Note]: FSRAW library version 1.7.1021
01/23/07 08:48:12 [Note]: 2000 1012
01/23/07 08:48:12 [Note]: 2000 1012
01/23/07 09:00:03 [Note]: 7007 0
|
|
|
|
|
- Télécharge DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
- A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
-- A nouveau menu Edition / copier
-- Dans un nouveau message ici, faire un clic droit / coller
|
|
|
|
|
voici les resultats de DiagHelp :
C:\WINDOWS\System32\tmp.txt -->22/01/2007 17:54:54
C:\WINDOWS\System32\tmp.reg -->22/01/2007 17:54:54
C:\WINDOWS\System32\CONFIG.NT -->16/01/2007 22:54:06
C:\WINDOWS\System32\aswBoot.exe -->15/01/2007 18:32:07
C:\WINDOWS\System32\AVASTSS.scr -->13/01/2007 19:53:06
C:\WINDOWS\System32\wpa.dbl -->09/01/2007 23:22:00
C:\WINDOWS\System32\swxcacls.exe -->01/12/2006 05:20:34
C:\WINDOWS\System32\perfh00C.dat -->29/10/2006 19:00:43
C:\WINDOWS\System32\perfh009.dat -->29/10/2006 19:00:43
C:\WINDOWS\System32\perfc00C.dat -->29/10/2006 19:00:43
C:\WINDOWS\System32\perfc009.dat -->29/10/2006 19:00:43
C:\WINDOWS\System32\PerfStringBackup.INI -->29/10/2006 19:00:41
C:\WINDOWS\System32\nscompat.tlb -->28/10/2006 12:56:41
C:\WINDOWS\System32\amcompat.tlb -->28/10/2006 12:56:41
C:\WINDOWS\System32\FNTCACHE.DAT -->26/10/2006 08:06:27
C:\WINDOWS\System32\QuickTimeVR.qtx -->25/10/2006 19:15:06
C:\WINDOWS\System32\QuickTime.qts -->25/10/2006 19:15:00
C:\WINDOWS\System32\swreg.exe -->29/08/2006 18:43:54
C:\WINDOWS\System32\vxblock.dll -->25/08/2006 04:47:00
C:\WINDOWS\System32\pxwave.dll -->25/08/2006 04:47:00
C:\WINDOWS\System32\pxsfs.dll -->25/08/2006 04:47:00
C:\WINDOWS\System32\pxmas.dll -->25/08/2006 04:47:00
C:\WINDOWS\System32\pxinsi64.exe -->25/08/2006 04:47:00
C:\WINDOWS\System32\pxinsa64.exe -->25/08/2006 04:47:00
C:\WINDOWS\System32\pxhpinst.exe -->25/08/2006 04:47:00
C:\WINDOWS\WindowsUpdate.log -->24/01/2007 08:44:45
C:\WINDOWS\0.log -->24/01/2007 08:44:44
C:\WINDOWS\ModemLog_SoftV90 Data Fax Modem with SmartCP.txt -->24/01/2007 08:44:41
C:\WINDOWS\bootstat.dat -->24/01/2007 08:44:28
C:\WINDOWS\SchedLgU.Txt -->23/01/2007 23:20:09
C:\WINDOWS\NeroDigital.ini -->23/01/2007 21:24:46
C:\WINDOWS\setupapi.log -->22/01/2007 18:03:28
C:\WINDOWS\win.ini -->22/01/2007 17:57:43
C:\WINDOWS\system.ini -->22/01/2007 17:57:43
C:\WINDOWS\setupact.log -->22/01/2007 07:21:03
C:\WINDOWS\eonugef.exe -->21/01/2007 20:07:57
C:\WINDOWS\QTFont.qfn -->20/01/2007 13:38:46
C:\WINDOWS\wmsetup.log -->17/01/2007 22:36:24
C:\WINDOWS\QTFont.for -->17/01/2007 18:32:15
C:\WINDOWS\wiadebug.log -->16/01/2007 21:20:50
C:\WINDOWS\eonugef.exe |21/01/2007 20:07:57
C:\WINDOWS\IsUn040c.exe |30/01/2006 15:49:05
C:\WINDOWS\IsUninst.exe |12/11/2006 18:35:41
C:\WINDOWS\RmDevice.exe |04/07/2006 17:24:53
C:\WINDOWS\SOUNDMAN.EXE |30/01/2006 07:57:29
C:\WINDOWS\twunk_16.exe |30/01/2006 07:53:19
C:\WINDOWS\twunk_32.exe |30/01/2006 07:53:19
C:\WINDOWS\unin040c.exe |21/06/2006 14:30:09
C:\WINDOWS\UninstWiFi.exe |01/07/2006 15:18:13
C:\WINDOWS\UNNeroBurnRights.exe |30/01/2006 16:02:56
C:\WINDOWS\UNNeroVision.exe |30/01/2006 16:02:28
C:\WINDOWS\UNNVEContent.exe |30/01/2006 16:03:02
C:\WINDOWS\wlancfg.exe |04/07/2006 17:24:23
C:\WINDOWS\icccodes.dll |21/06/2006 14:33:09
C:\WINDOWS\KPAPI32.DLL |21/06/2006 14:33:09
| | |
