|
|
Auteur
|
Message
|
1
|
|
|
|
Bonjour à tous,
Mon ordinateur a attrapé un logiciel espion. Le message qui apparaît régulièrement est "Your system is infected with dangerous virus ! ...". J'ai vu sur le forum que ce pb est déjà arrivé à d'autres.
Je suis sous Windows XP. Dois-je utiliser la procédure GenProc et poster les rapports?
D'avance merci
-->Message édité par naheulbeuk le 24/05/2008 16:57:37<--
|
|
|
|
|
bonjour,
1) Télécharge SmitFraudFix
Guide d'utilisation : http://mickael.barroux.free.fr/securite/smitfraudfix.php
Double clic sur SmitfraudFix.exe pour le lancer
Choisis l'option 1 (Recherche)
Post moi le rapport !
2) Redémarre en mode sans échec (F8 lors du boot)
Aide : http://mickael.barroux.free.fr/securite/smitfraudfix.php#nettoyage
Relance SmitfraudFix et choisis cette fois l’option 2 et réponds oui à chaque question
3) Redémarre en mode normal
Post moi le 2ème rapport !
|
|
|
|
|
Bonjour et merci,
Voici le 1er rapport, je m'occupe tout de suite du deuxième en mode sans échec.
SmitFraudFix v2.322
Rapport fait à 12:15:25,53, 24/05/2008
Executé à partir de C:\Documents and Settings\coco\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\antivirus\avast\aswUpdSv.exe
D:\antivirus\avast\ashServ.exe
C:\WINDOWS\ALCXMNTR.EXE
D:\ANTIVI~1\avast\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\IcoSauve.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
D:\antivirus\avast\ashMaiSv.exe
D:\antivirus\avast\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\coco
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\coco\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\coco\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: iksagy.dll
BHO: IE - {A4FDF7B4-EAD1-4872-A3F7-20FD86D6E798}
CLSID: {A4FDF7B4-EAD1-4872-A3F7-20FD86D6E798}
AppID: {A4FDF7B4-EAD1-4872-A3F7-20FD86D6E798}
AppID: iksagy.dll
Classes: bho.bho
TypeLib: {E48C3DAF-9841-4345-AFE9-27AB400650AB}
Interface: {E18C3DAF-9841-4340-AFE9-27AB400650AB}
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{99FD3A2B-8784-45C5-8099-90F982A09B13}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{99FD3A2B-8784-45C5-8099-90F982A09B13}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{99FD3A2B-8784-45C5-8099-90F982A09B13}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
|
|
|
|
|
Voici le deuxième rapport en mode sans échec
SmitFraudFix v2.322
Rapport fait à 12:24:51,20, 24/05/2008
Executé à partir de C:\Documents and Settings\coco\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\iksagy.dll deleted.
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{99FD3A2B-8784-45C5-8099-90F982A09B13}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{99FD3A2B-8784-45C5-8099-90F982A09B13}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{99FD3A2B-8784-45C5-8099-90F982A09B13}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
|
|
|
|
|
Télécharge ComboFix (créé par sUBs) sur ton Bureau
Démarre en mode sans échec : http://forum.telecharger.01net.com/telecharger/virus_et_assimiles/failles_de_(...)
Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
ComboFix redémarrera ton PC
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse,et nouveau rapport hijackthis
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
|
|
|
|
|
Voila le rapport combofix, c'est quoi hijackthis???
ComboFix 08-05-21.3 - coco 2008-05-24 13:28:58.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.383 [GMT 2:00]
Endroit: C:\Documents and Settings\coco\Bureau\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Program Files\ShoppingReport
C:\Program Files\ShoppingReport\Uninst.exe
C:\smp.bat
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-24 to 2008-05-24 ))))))))))))))))))))))))))))))))))))
.
2008-05-24 12:20 . 2008-02-05 00:46 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-05-24 12:20 . 2008-02-05 00:46 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-05-24 12:20 . 2008-02-04 23:54 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-05-24 12:20 . 2008-02-05 00:46 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-05-24 12:20 . 2008-02-05 00:46 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-05-24 12:20 . 2008-02-05 00:46 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-05-24 12:20 . 2008-02-05 00:46 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-05-24 12:20 . 2008-05-24 12:20 <REP> d-------- C:\Documents and Settings\Administrateur
2008-05-24 12:15 . 2008-05-24 12:25 532 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-24 12:14 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-05-24 12:14 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-05-24 12:14 . 2008-05-15 23:22 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-05-24 12:14 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-05-24 12:14 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-05-24 12:14 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-05-24 12:14 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-05-24 12:14 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-05-18 12:37 . 2007-10-12 15:14 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll
2008-05-18 12:37 . 2007-10-12 15:14 1,374,232 --a------ C:\WINDOWS\system32\D3DCompiler_36.dll
2008-05-18 12:37 . 2007-10-02 09:56 444,776 --a------ C:\WINDOWS\system32\d3dx10_36.dll
2008-05-18 12:37 . 2007-10-22 03:39 267,272 --a------ C:\WINDOWS\system32\xactengine2_10.dll
2008-05-18 12:37 . 2007-07-20 00:57 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll
2008-05-18 11:15 . 2008-05-18 11:15 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-05-10 22:51 . 2008-05-10 22:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microgaming
2008-05-10 11:45 . 2005-07-11 22:12 524,850 -ra------ C:\WINDOWS\system32\drivers\ativcaxx.cpa
2008-05-10 11:45 . 2005-08-04 08:07 307,200 -ra------ C:\WINDOWS\system32\atiiiexx.dll
2008-05-10 11:45 . 2005-06-10 22:59 95,617 -ra------ C:\WINDOWS\system32\atiicdxx.dat
2008-05-10 11:45 . 2005-06-08 21:45 58,560 -ra------ C:\WINDOWS\system32\drivers\ativckxx.vp
2008-05-10 11:45 . 2005-08-04 08:20 21,712 -ra------ C:\WINDOWS\system32\drivers\ativvpxx.vp
2008-05-10 11:45 . 2005-06-07 09:25 5,496 -ra------ C:\WINDOWS\system32\atifglpf.xml
2008-05-10 11:45 . 2005-07-11 22:12 929 -ra------ C:\WINDOWS\system32\drivers\ativcaxx.vp
2008-05-10 11:33 . 2008-05-10 11:33 10 --a------ C:\WINDOWS\WININIT.INI
2008-05-10 11:10 . 2008-05-10 11:10 <REP> d-------- C:\ATI
2008-05-01 11:04 . 2008-05-01 11:21 191 --a------ C:\WINDOWS\MyDrivers.ini
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-19 19:29 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-18 10:22 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-04-15 19:58 --------- d-----w C:\Program Files\Everest Poker
2008-04-13 09:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Teleca
2008-04-13 09:27 --------- d-----w C:\Program Files\Fichiers communs\Teleca Shared
2008-04-13 09:27 --------- d-----w C:\Program Files\Fichiers communs\Sony Ericsson Shared
2008-04-13 09:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sony Ericsson
2008-04-13 09:25 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-03-31 12:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\MGS
2008-03-24 09:57 --------- d-----w C:\Program Files\Fichiers communs\Real
2008-03-24 09:48 --------- d-----w C:\Program Files\Real
2008-03-24 09:18 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2005-03-28 17:20 352,256 ----a-w C:\WINDOWS\inf\CNQL1213.DLL
2005-03-09 11:09 901,120 ----a-w C:\WINDOWS\inf\SGUI.DLL
2005-03-09 11:09 765,952 ----a-w C:\WINDOWS\inf\TPM.DLL
2005-03-09 11:09 139,264 ----a-w C:\WINDOWS\inf\IOP.DLL
2005-03-09 11:09 118,784 ----a-w C:\WINDOWS\inf\SCANINTF.DLL
2005-02-28 11:20 57,344 ----a-w C:\WINDOWS\inf\CNQU110.DLL
2005-02-10 14:27 884,736 ----a-w C:\WINDOWS\inf\SGUI_RES.DLL
2004-10-01 08:24 2,279,424 ----a-w C:\WINDOWS\inf\ALCXWDM.SYS
2004-09-07 11:47 57,344 ----a-w C:\WINDOWS\inf\Alcxmntr.exe
2004-08-26 15:07 114,688 ----a-w C:\WINDOWS\inf\ITLIB32.DLL
2004-08-19 17:09 50,688 ----a-w C:\WINDOWS\inf\twain_32.dll
2004-08-19 17:09 343,040 ----a-w C:\WINDOWS\inf\msvcrt.dll
2004-08-03 20:58 15,104 ----a-w C:\WINDOWS\inf\usbscan.sys
2004-06-08 07:12 102,400 ----a-w C:\WINDOWS\inf\SCRPRMV.DLL
2004-06-08 06:56 45,056 ----a-w C:\WINDOWS\inf\BaLCo.dll
2004-06-07 10:58 290,816 ----a-w C:\WINDOWS\inf\libBLC.dll
2004-06-07 10:58 126,976 ----a-w C:\WINDOWS\inf\CFine2.dll
2004-02-26 11:49 77,824 ----a-w C:\WINDOWS\inf\RSTCOL.DLL
2003-08-21 17:55 24,576 ----a-w C:\WINDOWS\inf\JDA_CIMG.DLL
2002-09-06 20:59 94,864 ----a-w C:\WINDOWS\inf\twain.dll
2002-09-06 20:59 49,680 ----a-w C:\WINDOWS\inf\twunk_16.exe
2002-09-06 20:59 25,600 ----a-w C:\WINDOWS\inf\twunk_32.exe
2001-09-10 14:44 98,304 ----a-w C:\WINDOWS\inf\RMSLANTC.DLL
2001-09-10 14:44 479,232 ----a-w C:\WINDOWS\inf\NBSCOR4M.DLL
2001-09-10 14:44 36,864 ----a-w C:\WINDOWS\inf\NBS4MB.DLL
2008-02-04 22:03 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
2008-02-04 22:03 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
2008-02-04 22:03 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008020420080205\index.dat
2008-02-04 22:03 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.
------- Sigcheck -------
2007-10-30 18:53 360832 64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys
2006-11-11 16:02 359808 8d8949936913b041c6a0e184fbf1030b C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys
2008-02-06 22:18 360064 8283a4d489b207991efdc8328733d0bc C:\WINDOWS\system32\dllcache\TCPIP.SYS
2008-02-06 22:18 360064 8283a4d489b207991efdc8328733d0bc C:\WINDOWS\system32\drivers\TCPIP.SYS
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:09 15360]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 13:55 5674352]
"DAEMON Tools Lite"="D:\daemon tools\DAEMON Tools Lite\daemon.exe" [2008-04-01 11:39 486856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-07 13:47 57344 C:\WINDOWS\ALCXMNTR.EXE]
"avast!"="D:\ANTIVI~1\avast\ashDisp.exe" [2008-05-16 01:19 79224]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSimpleStartMenu"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 0 (0x0)
"LockTaskbar"= 0 (0x0)
"NoResolveTrack"= 0 (0x0)
"NoResolveSearch"= 0 (0x0)
"NoSMMyPictures"= 0 (0x0)
"NoStartMenuMFUprogramsList"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"NoStartMenuMorePrograms"= 0 (0x0)
"MaxRecentDocs"= 15 (0xf)
"NoInstrumentation"= 0 (0x0)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 0 (0x0)
"DisallowCpl"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"OpwareSE2"="C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
"Sony Ericsson PC Suite"="D:\logiciel tel portable elie\Application Launcher\Application Launcher.exe" /startoptions
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"D:\\emule 2\\eMule\\emule.exe"=
"D:\\Azureus2\\Azureus.exe"=
"D:\\tv pc\\SopCast\\adv\\SopAdver.exe"=
"D:\\tv pc\\SopCast\\SopCast.exe"=
"D:\\tv pc\\TVUPlayer\\TVUPlayer.exe"=
"D:\\tv pc\\TVAnts\\Tvants.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"D:\\emule 3\\eMule\\emule.exe"=
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
S3 se59bus;Sony Ericsson Device 089 driver (WDM);C:\WINDOWS\system32\DRIVERS\se59bus.sys [2006-09-05 20:07]
S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se59mdfl.sys [2006-09-05 20:07]
S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se59mdm.sys [2006-09-05 20:07]
S3 se59mgmt;Sony Ericsson Device 089 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se59mgmt.sys [2006-09-05 20:08]
S3 se59nd5;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (NDIS);C:\WINDOWS\system32\DRIVERS\se59nd5.sys [2006-09-05 20:06]
S3 se59obex;Sony Ericsson Device 089 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se59obex.sys [2006-09-05 20:09]
S3 se59unic;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (WDM);C:\WINDOWS\system32\DRIVERS\se59unic.sys [2006-09-05 20:06]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d30eb7e7-276b-11dd-bb9d-000c76a4bbf4}]
\Shell\AutoRun\command - nideiect.com
\Shell\explore\Command - nideiect.com
\Shell\open\Command - nideiect.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f874ce8e-d4f7-11dc-baf2-000c76a4bbf4}]
\Shell\AutoRun\command - G:\Autorun.exe
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-05-24 11:32:16 C:\WINDOWS\Tasks\GlaryInitialize.job"
- D:\Glary Utilities\initialize.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-24 13:32:28
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
D:\antivirus\avast\aswUpdSv.exe
D:\antivirus\avast\ashServ.exe
C:\WINDOWS\system32\IcoSauve.exe
D:\Glary Utilities\Integrator.exe
D:\antivirus\avast\ashMaiSv.exe
D:\antivirus\avast\ashWebSv.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-24 13:44:25 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-24 11:43:49
Pre-Run: 2,291,609,600 octets libres
Post-Run: 1,405,595,648 octets libres
199 --- E O F --- 2008-05-18 12:49:54
|
|
|
|
|
Télécharge HijackThis
Guide d'utilisation : http://mickael.barroux.free.fr/securite/hijackthis.php
Clique alors sur "Do a system scan and save a logfile"
Le scan se fait très rapidement, puis un bloc-note apparaît
(le "logfile")
Dans ce bloc-note, va dans "Edition", puis "Selectionner Tout",
le texte est alors séléctionné, retourne dans "Edition" toujours
en laissant le texte séléctionné, et clique sur copier.
Colle le contenu ici dans ta prochaine réponse !
|
|
|
|
|
voici le rapport hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:21:46, on 24/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\antivirus\avast\aswUpdSv.exe
D:\antivirus\avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ALCXMNTR.EXE
D:\ANTIVI~1\avast\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\IcoSauve.exe
C:\WINDOWS\system32\svchost.exe
D:\antivirus\avast\ashMaiSv.exe
D:\antivirus\avast\ashWebSv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [avast!] D:\ANTIVI~1\avast\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\daemon tools\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICE RÉSEAU')
O4 - Startup: IcoSauve.lnk = C:\WINDOWS\system32\IcoSauve.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\antivirus\avast\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\antivirus\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\antivirus\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\antivirus\avast\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
--
End of file - 4072 bytes
|
|
|
|
|
Passe un coup de MalwareBytes et nettoie tout ce qu'il trouve
Aide : http://mickael.barroux.free.fr/securite/malwarebytes.php
Post moi le rapport généré à la fin dans ta prochaine réponse 
|
|
|
|
|
Malwarebytes' Anti-Malware 1.12
Version de la base de données: 722
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 104338
Temps écoulé: 25 minute(s), 17 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 6
Fichier(s) infecté(s): 8
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
C:\Documents and Settings\coco\Application Data\ShoppingReport (Adware.Shopping.Report) -> No action taken.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs (Adware.Shopping.Report) -> No action taken.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\db (Adware.Shopping.Report) -> No action taken.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\dwld (Adware.Shopping.Report) -> No action taken.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\report (Adware.Shopping.Report) -> No action taken.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\res1 (Adware.Shopping.Report) -> No action taken.
Fichier(s) infecté(s):
C:\System Volume Information\_restore{9CCCA689-1E7A-4BB2-8799-7B2FB3A38BCC}\RP0\A0000005.dll (Adware.Shoper) -> No action taken.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\Config.xml (Adware.Shopping.Report) -> No action taken.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\db\Aliases.dbs (Adware.Shopping.Report) -> No action taken.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\db\Sites.dbs (Adware.Shopping.Report) -> No action taken.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\dwld\WhiteList.xip (Adware.Shopping.Report) -> No action taken.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\report\aggr_storage.xml (Adware.Shopping.Report) -> No action taken.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\report\send_storage.xml (Adware.Shopping.Report) -> No action taken.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\res1\WhiteList.dbs (Adware.Shopping.Report) -> No action taken.
|
|
|
|
|
tu as bien tout nettoyé ? sinon fais-le
tu n'as plus de souci ?
|
|
|
|
|
non j'avais oublié de supprimer, désolé
voilà le rapport
Malwarebytes' Anti-Malware 1.12
Version de la base de données: 722
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 104338
Temps écoulé: 25 minute(s), 17 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 6
Fichier(s) infecté(s): 8
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
C:\Documents and Settings\coco\Application Data\ShoppingReport (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\db (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\dwld (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\report (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\res1 (Adware.Shopping.Report) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\System Volume Information\_restore{9CCCA689-1E7A-4BB2-8799-7B2FB3A38BCC}\RP0\A0000005.dll (Adware.Shoper) -> Quarantined and deleted successfully.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\Config.xml (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\db\Aliases.dbs (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\db\Sites.dbs (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\dwld\WhiteList.xip (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\report\aggr_storage.xml (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\report\send_storage.xml (Adware.Shopping.Report) -> Quarantined and deleted successfully.
C:\Documents and Settings\coco\Application Data\ShoppingReport\cs\res1\WhiteList.dbs (Adware.Shopping.Report) -> Quarantined and deleted successfully.
|
|
|
|
|
ça a l'air d'être résolu, j'ai plus le message... Merci bcp, c'était quoi en fait le souci?
Merci bcp
|
|
|
|
|
tu avais une infection de type Desktop Hijacker + ShoppingReports qui installe des spywares
Suppression des outils :
Télécharge ToolsCleaner sur ton bureau.
http://www.commentcamarche.net/telecharger/toolscleaner-34055291-avis-opinion(...)
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
Tutorial ici : http://bibou0007.com/tutos-f45/tutorial-toolscleaner-2-t375.htm
Supprime tous les rapports qui sont apparus lors des divers scans
Edite ton premier post avec  et mets [resolu] devant le titre de ton sujet.
Voici quelques liens pour des conseils en sécurité :
Mon site Web sur la sécurité informatique !
Comment protéger son PC pour éviter d'être infecté ?
Prends le temps de les lire car elles sont très enréchissantes.
Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapporte ton infection :
- Voir les règles de Malware-Complaints
- Enregistre sur le forum à partir du bouton register en haut :
Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age
Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age
Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10&sid=0ea0981a2025873f(...)
Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10
au plaisir et bon week end 
|
|
|
|
|
Voici mon rapport Tools cleaner, encore merci et bonne continuation à tous
-->- Recherche:
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\coco\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\coco\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\coco\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\coco\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\coco\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\coco\Bureau\GenProc: trouvé !
C:\Documents and Settings\coco\Bureau\GenProc\GenProc: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
---------------------------------
-->- Suppression:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\coco\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\coco\Bureau\ComboFix.exe: supprimé !
C:\Documents and Settings\coco\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\coco\Bureau\SmitFraudFix.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\coco\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\coco\Bureau\GenProc: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
|
|
|
1
|
|
|
|
