Ordinateur anormalement lent [RESOLU] - Sécurité, virus et assimilés::Virus

Auteur

Message

Amanda13

Posté le 06/07/2008 22:35:36

Bonsoir,

Mon ordinateur est anormalement lent (surtout lors de la connection à Internet)
Il n'a pas été connecté à Internet depuis plusieurs années, j'ai donc mis à jour l'antivirus, internet explorer et le reste... L'antivirus a trouvé 150 virus qu'il a supprimé, j'ai vérifié avec ccleaner (plus aucun virus a priori) et j'ai aussi utilisé easy cleaner pour faire le vide dans mes fichiers non utilisés susceptibles de ralentir l'ordinateur. En vain...
Chaque fois que j'ouvre 1 page internet, l'ordinateur rame et bug même.

Comment vérifier par un autre moyen qu'il n'y a pas de virus cachés?

Merci de votre aide et vos conseils. HELP!

-->Message édité par Amanda13 le 09/07/2008 12:51:04<--

no.ppp

La planète bleue...
:-)

Posté le 07/07/2008 00:07:28

Bonjour,

Tu utilises quel système d'exploitation ? XP, Vista ... ?

-------
Marre de Windows ? Passez à Linux !
-------
NON aux infections !

Amanda13

Posté le 07/07/2008 11:35:22

J'utilise Windows XP et Internet Explorer 7.

no.ppp

La planète bleue...
:-)

Posté le 07/07/2008 11:53:11

T�l�charge HijackThis

Installe le � la racine de ton disque dur

Lance HijackThis en double-cliquant sur l'ic�ne HijackThis

Clique sur Do a system Scan only and Save a Logfile

Un rapport sera g�n�r� dans le bloc-note (le rapport est �galement situ� ici : C:\hijackthis.log)

Copie/colle le rapport dans ton prochain message.

Voici une aide en image si tu n'y arrives pas :
http://forum.telecharger.01net.com/microhebdo/questions_techniques_diverses/s(...)

-------
Marre de Windows ? Passez à Linux !
-------
NON aux infections !

Amanda13

Posté le 07/07/2008 16:51:43

Scan saved at 16:46:26, on 07/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\HPQ\One-Touch\OneTouch.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\Lexmark 2400 Series\lxcrmon.exe
C:\Program Files\Lexmark 2400 Series\ezprint.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Program Files\Harrap's Multimédia\Shorter\bin\HiHarrapsTray.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\lxcrcoms.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02(...)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://fr.search.yahoo(...)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/2Q00CPT/040C/bF7.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Program Files\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [lxcrmon.exe] "C:\Program Files\Lexmark 2400 Series\lxcrmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2400 Series\ezprint.exe"
O4 - HKLM\..\Run: [LXCRCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update] phqghumea.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ask Harrap's Shorter.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra 'Tools' menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: lxcr_device - - C:\WINDOWS\system32\lxcrcoms.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 11038 bytes

no.ppp

La planète bleue...
:-)

Posté le 07/07/2008 19:30:10

Télécharge SDFix (créé par AndyManchesta)

Double-clique sur SDFix.exe

Choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

Redémarre en mode sans échec (tapote F8 au démarrage)

Ouvre le dossier SDFix qui vient d'être créé à la racine de ton disque dur C:\

Double clique sur RunThis.bat pour lancer le script.

Appuie sur Y pour commencer le processus de nettoyage.

Appuie sur une touche pour redémarrer quand SDFix te demander d'appuyer sur une touche pour redémarrer.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira. Il porte le nom de Report.txt.

Copie/colle le contenu

Si SDFix ne se lance pas

Clique sur Démarrer > Exécuter

Copie/colle ceci :

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

Clique sur Ok.

Redémarre et essaie de relance SDFix.

-------
Marre de Windows ? Passez à Linux !
-------
NON aux infections !

Amanda13

Posté le 07/07/2008 20:55:33

SDFix: Version 1.202
Run by Administrateur on 07/07/2008 at 20:03

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-07 20:29:09
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe:*:Enabled:Yahoo! Messenger"
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :

Files with Hidden Attributes :

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Tue 22 Jun 2004 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 30 Dec 2007 21,504 ...H. --- "C:\Documents and Settings\Compaq\Mes documents\COURS DE 6EME STAGE\~WRL0003.tmp"
Sun 11 Nov 2007 206,336 ...H. --- "C:\Documents and Settings\Compaq\Mes documents\COURS DE 6EME STAGE\~WRL0908.tmp"
Sun 30 Dec 2007 22,528 ...H. --- "C:\Documents and Settings\Compaq\Mes documents\COURS DE 6EME STAGE\~WRL0963.tmp"
Sun 30 Dec 2007 21,504 ...H. --- "C:\Documents and Settings\Compaq\Mes documents\COURS DE 6EME STAGE\~WRL2427.tmp"
Sun 30 Dec 2007 22,528 ...H. --- "C:\Documents and Settings\Compaq\Mes documents\COURS DE 6EME STAGE\~WRL3966.tmp"
Sun 30 Mar 2008 68,096 ...H. --- "C:\Documents and Settings\Compaq\Mes documents\STAGE IUFM2\~WRL0105.tmp"
Tue 22 Jun 2004 4,348 A..H. --- "C:\Documents and Settings\Compaq\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"
Fri 25 Mar 2005 20 A..H. --- "C:\Documents and Settings\Compaq\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
Sat 30 Oct 2004 400 A.SH. --- "C:\Documents and Settings\Compaq\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"
Thu 5 Apr 2007 41,984 ...H. --- "C:\Documents and Settings\Compaq\Mes documents\DOSSIERS CONCOURS\LA CIVILISATION\LA DEVOLUTION\~WRL3080.tmp"

Finished!

no.ppp

La planète bleue...
:-)

Posté le 07/07/2008 21:08:31

Relance HijackThis > Do a system scan only

Coche ces lignes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02(...)
F3 - REG:win.ini: run=
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - Global Startup: Ask Harrap's Shorter.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - HKCU\..\Run: [Microsoft Update] phqghumea.exe
O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra 'Tools' menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)

Clique sur Fix Checked

Copie/Colle un nouveau rapport HijackThis

-------------------------------------------------------------------------------------------------------------------

Clique sur "Démarrer" > "Rechercher" > Tape "phqghumea.exe" (sans les "")
Dis moi où il se trouve.

-------
Marre de Windows ? Passez à Linux !
-------
NON aux infections !

Amanda13

Posté le 07/07/2008 21:36:56

J'ai coché toutes les lignes indiquées sauf:
F3 - REG:win.ini: run=
O4 - HKCU\..\Run: [Microsoft Update] phqghumea.exe
qui ne se sont pas affichées dans la liste.

Par contre, est-ce que c'est normal que spybot (qui est installé sur mon ordi)ne cesse de me demander l'autorisation de modifier ou supprimer un élément/ une valeur important(e) du registre. J'imagine que c'est à cause des suppressions des fichiers ci-dessus donc j'ai autorisé...

Je refais un rapport hijack et je le poste

Amanda13

Posté le 07/07/2008 21:38:36

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:37:32, on 07/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\HPQ\One-Touch\OneTouch.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Program Files\Lexmark 2400 Series\lxcrmon.exe
C:\Program Files\Lexmark 2400 Series\ezprint.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Harrap's Multimédia\Shorter\bin\HiHarrapsTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\lxcrcoms.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://fr.search.yahoo(...)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/2Q00CPT/040C/bF7.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Program Files\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [lxcrmon.exe] "C:\Program Files\Lexmark 2400 Series\lxcrmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2400 Series\ezprint.exe"
O4 - HKLM\..\Run: [LXCRCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: lxcr_device - - C:\WINDOWS\system32\lxcrcoms.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 10119 bytes

no.ppp

La planète bleue...
:-)

Posté le 07/07/2008 21:40:51

C'est le TeaTimer de Spybot, à chaque modification du registre, il te demande que faire.

Tu peux faire ceci stp :
Clique sur "Démarrer" > "Rechercher" > Tape "phqghumea.exe" (sans les "")
Dis moi où il se trouve.

-------
Marre de Windows ? Passez à Linux !
-------
NON aux infections !

Amanda13

Posté le 07/07/2008 21:50:58

J'ai fait la recherche sur le disque C://, l'ordinateur n'a pas trouvé le fichier en question.
J'ai étendu la recherche à tous les fichiers et dossiers cachés du système. Il n'a rien trouvé non plus?!?

no.ppp

La planète bleue...
:-)

Posté le 07/07/2008 21:52:09

Kaspersky

Fais un scan en ligne Kaspersky avec Internet Explorer

Clique sur Démarrer Online Scanner

Clique maintenant sur J'accepte.

Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.

Patiente pendant l'installation des Mises à jour.

Choisis par la suite l'analyse du Poste de travail

Sauvegarde puis colle le rapport généré en fin d'analyse

-------
Marre de Windows ? Passez à Linux !
-------
NON aux infections !

Amanda13

Posté le 08/07/2008 00:46:35

Voici le rapport:

Tuesday, July 08, 2008 12:41:19 AM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 7/07/2008
Enregistrements dans la base antivirus Kaspersky : 823500

Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
A:\
C:\
D:\

Statistiques de l'analyse
Total d'objets analysés 89669
Nombre de virus trouvés 1
Nombre d'objets infectés 2 / 0
Nombre d'objets suspects 0
Durée de l'analyse 02:24:46

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\All Users\Application Data\Network Associates\Common Framework\Db\Agent_CPQ20278267151.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Network Associates\Common Framework\Db\PrdMgr_CPQ20278267151.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Données d'applications\Network Associates\VirusScan\OnAccessScanLog.txt L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq\Mes documents\Mes fichiers reçus\Mes images\london.exe/WISE0022.BIN Infecté : Trojan-Dropper.Win32.Agent.pd ignoré

C:\Documents and Settings\Compaq\Mes documents\Mes fichiers reçus\Mes images\london.exe WiseSFX: infecté - 1 ignoré

C:\Documents and Settings\Compaq\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{58E8BEBA-26A4-45ED-9D92-ED376219F13B}\RP751\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.

no.ppp

La planète bleue...
:-)

Posté le 08/07/2008 00:51:12

Télécharge ATF-Cleaner

Double clique sur le programme

Coche "Select All" et clique sur le bouton "Empty Selected"

Une fois terminé, ferme le programme.

Télécharge OTMoveIt (d’Old_Timer) sur ton Bureau.

Double-clique sur OTMoveIt.exe pour le lancer.

Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt: Paste List of Files/Folders to be moved.

C:\Documents and Settings\Compaq\Mes documents\Mes fichiers reçus\Mes images\london.exe

Clique sur MoveIt! Pour lancer la suppression.

Le résultat apparaitra dans le cadre Results.

Clique sur Exit pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Exemple:(01282008_131348.log )

Il te sera peut-être demander de redémarrer le PC pour achever la suppression.
Si c'est le cas accepte par Yes.

Remarque que me fichier se trouve dans "Mes fichiers reçus", tu as du le recevoir par MSN je pense. Connais-tu ce fichier et son expéditeur ?

-->Message édité par no.ppp le 08/07/2008 00:51:41<--

-------
Marre de Windows ? Passez à Linux !
-------
NON aux infections !

Amanda13

Posté le 08/07/2008 00:58:36

Euh... y'a autant de fichiers que ça verrolés?!?
Pour le fichier london.exe où est localisé le cheval de troie, il me semble qu'il s'agit d'un économiseur d'écran avec des photos de londres. Est-ce que si je le supprime de mon ordi manuellement, ça enlève le virus?

no.ppp

La planète bleue...
:-)

Posté le 08/07/2008 01:03:45

Fais ce que j'ai indiqué plus haut stp

Non, seul London.exe semble infecté.

Tu te souviens d'où tu l'as téléchargé ?

-------
Marre de Windows ? Passez à Linux !
-------
NON aux infections !

Amanda13

Posté le 08/07/2008 01:22:25

C:\Documents and Settings\Compaq\Mes documents\Mes fichiers reçus\Mes images\london.exe moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07082008_011124

Voilà, le fichier a été déplacé (supprimé?) avec succès apparemment.

Pour london.exe, je ne sais pas trop d'où vient le fichier car ça fait longtemps (4 ans) que je n'ai pas eu de connexion Internet sur cet ordinateur mais j'en déduis d'après le nom et l'emplacement qu'il s'agit d'un de ces économiseurs d'écran que l'on peut télécharger gratuitement sur Internet.

no.ppp

La planète bleue...
:-)

Posté le 08/07/2008 01:24:03

Attention à ce que tu télécharges sur le net.

Comment se comporte le PC désormais ?

-------
Marre de Windows ? Passez à Linux !
-------
NON aux infections !

Amanda13

Posté le 08/07/2008 01:33:19

C'est terminé? Je n'ai plus de malwares sur mon ordinateur maintenant?

Le fichier london.exe est toujours sur mon ordi sous le dossier _OTMoveIt, est-ce que je peux/dois supprimer manuellement l'ensemble de ce fichier?

Et est-ce que je dois désinstaller les logiciels que j'ai utilisés (genre hijack,SDFix, ATF cleaner, moveIt etc) de mon ordinateur ou ça ne fait rien si je les laisse?

Je me reconnecte demain pour voir si l'ordi rame un peu moins (ce soir, il a encore un peu de mal mais ce doit être parce qu'il a beaucoup travaillé ce soir lol). Dis moi si il reste des choses à vérifier encore.
Merci en tout cas et bonne nuit! :sleep:

-->Message édité par Amanda13 le 08/07/2008 01:37:25<--

no.ppp

La planète bleue...
:-)

Posté le 08/07/2008 01:52:32

On supprimera les outils à la fin.

Fais ceci pour vérifier :
/!\ Merci de bien lire et suivre attentivement ce qui est écrit car tu dois appuyer sur une touche lors du scan.. si tu ne le fais pas le rapport ne sera pas entier et tu devras recommencer /!\

Télécharge DiagHelp.zip sur ton bureau (de Malekal)(Tuto)

Dézippe le et ouvre le nouveau dossier DiagHelp

Double-clique sur go.cmd (le .cmd peut ne pas apparaître ! )

Choisis l’option 1 dans la fenêtre qui s’ouvrira.

Ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand cela t’est demandé..

ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran !

A la fin de l'analyse, ton ordi devra peut-être être redémarré... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve également ici C:\resultat.txt

Copie/colle le contenu du rapport.

-------
Marre de Windows ? Passez à Linux !
-------
NON aux infections !

Amanda13

Posté le 08/07/2008 10:18:16

DiagHelp version v1.4 - http://www.malekal.com
excute le 08/07/2008 à 9:57:45,14

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->08/07/2008 09:57:12
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->08/07/2008 09:57:05
C:\WINDOWS\prefetch\WINZIP32.EXE-335422C1.pf -->08/07/2008 09:55:39
C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->08/07/2008 09:54:54
C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->08/07/2008 09:48:35
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->08/07/2008 09:41:58
C:\WINDOWS\prefetch\HPZIPM12.EXE-145E7369.pf -->08/07/2008 09:40:03
C:\WINDOWS\prefetch\ALG.EXE-0F138680.pf -->08/07/2008 09:39:09
C:\WINDOWS\prefetch\HPOSTS08.EXE-1CA0815A.pf -->08/07/2008 09:39:07
C:\WINDOWS\prefetch\LXCRCOMS.EXE-0CF56117.pf -->08/07/2008 09:38:48

C:\WINDOWS\System32\drivers\bthport.sys -->14/06/2008 19:59:52
C:\WINDOWS\System32\drivers\rmcast.sys -->08/05/2008 14:28:49
C:\WINDOWS\System32\drivers\AFS2K.SYS -->22/03/2008 23:05:56
C:\WINDOWS\System32\drivers\mrxdav.sys -->18/12/2007 11:51:35
C:\WINDOWS\System32\drivers\secdrv.sys -->13/11/2007 12:25:54
C:\WINDOWS\System32\drivers\tcpip.sys -->30/10/2007 19:20:55
C:\WINDOWS\System32\drivers\update.sys -->23/04/2007 12:32:54

C:\WINDOWS\System32\wpa.dbl -->08/07/2008 09:38:41
C:\WINDOWS\System32\FNTCACHE.DAT -->05/07/2008 23:55:30
C:\WINDOWS\System32\TZLog.log -->05/07/2008 22:58:48
C:\WINDOWS\System32\MRT.exe -->29/05/2008 16:35:12
C:\WINDOWS\System32\quartz.dll -->07/05/2008 07:15:36
C:\WINDOWS\System32\mshtml.dll -->23/04/2008 22:16:42
C:\WINDOWS\System32\wininet.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\webcheck.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\urlmon.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\url.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\pngfilt.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\occache.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\mstime.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\msrating.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\mshtmled.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\msfeedsbs.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\msfeeds.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\jsproxy.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\inetcpl.cpl -->23/04/2008 06:16:40
C:\WINDOWS\System32\iertutil.dll -->23/04/2008 06:16:39
C:\WINDOWS\System32\iernonce.dll -->23/04/2008 06:16:39
C:\WINDOWS\System32\ieframe.dll -->23/04/2008 06:16:39
C:\WINDOWS\System32\iedkcs32.dll -->23/04/2008 06:16:39
C:\WINDOWS\System32\ieapfltr.dll -->23/04/2008 06:16:39
C:\WINDOWS\System32\ieaksie.dll -->23/04/2008 06:16:39

C:\WINDOWS\WindowsUpdate.log -->08/07/2008 09:35:14
C:\WINDOWS\wiadebug.log -->08/07/2008 09:34:53
C:\WINDOWS\wiaservc.log -->08/07/2008 09:34:52
C:\WINDOWS\0.log -->08/07/2008 09:34:32
C:\WINDOWS\bootstat.dat -->08/07/2008 09:34:30
C:\WINDOWS\SchedLgU.Txt -->08/07/2008 09:33:17
C:\WINDOWS\randseed.rnd -->08/07/2008 00:56:48
C:\WINDOWS\setupapi.log -->07/07/2008 21:59:36
C:\WINDOWS\ntbtlog.txt -->07/07/2008 19:57:54
C:\WINDOWS\tsoc.log -->06/07/2008 12:14:58
C:\WINDOWS\ocmsn.log -->06/07/2008 12:14:58
C:\WINDOWS\ntdtcsetup.log -->06/07/2008 12:14:58
C:\WINDOWS\KB950759-IE7.log -->06/07/2008 12:14:58
C:\WINDOWS\imsins.log -->06/07/2008 12:14:58
C:\WINDOWS\iis6.log -->06/07/2008 12:14:58

winlogon.exe
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1452
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x44080000 0xd0000 7.00.6000.16674 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16674 C:\WINDOWS\system32\iertutil.dll
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x44360000 0x5cd000 7.00.6000.16674 C:\WINDOWS\system32\ieframe.dll
0x44160000 0x127000 7.00.6000.16674 C:\WINDOWS\system32\urlmon.dll
0x442b0000 0x3c000 7.00.6000.16674 C:\WINDOWS\system32\webcheck.dll
0x63000000 0x14000 7.05.0003.0001 C:\WINDOWS\system32\SynTPFcs.dll
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x10000000 0x8000 1.00.0000.0001 C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
0x02590000 0x185000 1.05.0000.0011 C:\PROGRA~1\SPYBOT~1\SDHelper.dll
0x43ff0000 0xa000 7.00.6000.16674 C:\WINDOWS\system32\jsproxy.dll
0x16200000 0x6000 4.01.0000.0000 C:\PROGRA~1\WinZip\WZSHLSTB.DLL
0x64000000 0x2e000 2004.11.0023.0001 C:\PROGRA~1\Yahoo!\Common\ymmapi20041123.dll
0x02ef0000 0x29000 C:\Program Files\WinRAR\rarext.dll
0x03320000 0x108000 7.01.0000.0187 C:\Program Files\Network Associates\VirusScan\shext.dll
0x014f0000 0x3000 7.01.0000.0187 C:\Program Files\Network Associates\VirusScan\Res0C\ShExtRes.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x034d0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 600
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x01270000 0xae000 1.05.0540.0000 C:\WINDOWS\system32\WgaLogon.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3787-ECB2

Répertoire de C:\WINDOWS\system32

20/08/2004 01:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 11 419 959 296 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3787-ECB2

Répertoire de C:\WINDOWS\Downloaded Program Files

07/07/2008 21:59 <REP> .
07/07/2008 21:59 <REP> ..
16/09/2002 16:42 65 desktop.ini
14/10/1997 13:52 697 DirectAnimation Java Classes.osd
11/04/2007 14:55 1 292 erma.inf
08/08/2006 11:45 576 kavwebscan.inf
20/01/2000 15:25 1 162 Microsoft XML Parser for Java.osd
08/12/2003 14:58 3 759 swflash.inf
6 fichier(s) 7 551 octets

Total des fichiers listés :
6 fichier(s) 7 551 octets
2 Rép(s) 11 419 959 296 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe:*:Enabled:Yahoo! Messenger"
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-08 09:59:43
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
172 - UpdaterUI.exe
384 - svchost.exe
548 - lxcrmon.exe
556 - csrss.exe
600 - winlogon.exe
644 - services.exe
656 - lsass.exe
764 - ezprint.exe
804 - svchost.exe
880 - svchost.exe
948 - svchost.exe
1352 - iexplore.exe
1392 - ONETOUCH.EXE
1404 - SynTPLpr.exe
1452 - explorer.exe
1472 - ctfmon.exe
1496 - SynTPEnh.exe
1780 - FrameworkServic
1820 - DrgToDsc.exe
1872 - RxMon.exe
1896 - TeaTimer.exe
1956 - Mcshield.exe
1996 - VsTskMgr.exe
2032 - shstat.exe
2256 - hpobnz08.exe
2768 - hpoevm08.exe
3528 - cmd.exe
3880 - lxcrcoms.exe
3888 - iexplore.exe

Total number of processes = 30
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe
806EC000 - \WINDOWS\system32\hal.dll
FB0C0000 - \WINDOWS\system32\KDCOM.DLL
FAFD0000 - \WINDOWS\system32\BOOTVID.dll
FAB70000 - ACPI.sys
FB0C2000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS
FAB5F000 - pci.sys
FABC0000 - isapnp.sys
FAFD4000 - compbatt.sys
FAFD8000 - \WINDOWS\System32\DRIVERS\BATTC.SYS
FB0C4000 - aliide.sys
FAE40000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
FAB41000 - pcmcia.sys
FABD0000 - MountMgr.sys
FAB22000 - ftdisk.sys
FAE48000 - PartMgr.sys
FAFDC000 - ACPIEC.sys
FB188000 - \WINDOWS\System32\DRIVERS\OPRGHDLR.SYS
FABE0000 - VolSnap.sys
FAB0A000 - atapi.sys
FABF0000 - disk.sys
FAC00000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
FAAEA000 - fltmgr.sys
FAAD8000 - sr.sys
FAAC1000 - KSecDD.sys
FAA34000 - Ntfs.sys
FAA07000 - NDIS.sys
FAC10000 - ohci1394.sys
FAC20000 - \WINDOWS\System32\DRIVERS\1394BUS.SYS
FA9EC000 - Mup.sys
FAC30000 - agp440.sys
FAE50000 - atisgkaf.sys
FAD10000 - \SystemRoot\System32\DRIVERS\nic1394.sys
FA594000 - \SystemRoot\System32\DRIVERS\intelppm.sys
FA4AD000 - \SystemRoot\System32\DRIVERS\ati2mtag.sys
FA499000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
FA45D000 - \SystemRoot\system32\drivers\calihal.sys
FA415000 - \SystemRoot\system32\drivers\caliaud.sys
FA373000 - \SystemRoot\system32\drivers\portcls.sys
FA584000 - \SystemRoot\system32\drivers\drmk.sys
FA350000 - \SystemRoot\system32\drivers\ks.sys
FA574000 - \SystemRoot\System32\DRIVERS\i8042prt.sys
FB0B8000 - \SystemRoot\System32\Drivers\DKbFltr.SYS
FAF08000 - \SystemRoot\System32\DRIVERS\kbdclass.sys
FA30E000 - \SystemRoot\System32\DRIVERS\SynTP.sys
FB0E8000 - \SystemRoot\System32\DRIVERS\USBD.SYS
FAF10000 - \SystemRoot\System32\DRIVERS\mouclass.sys
FAF18000 - \SystemRoot\System32\DRIVERS\fdc.sys
FA2FA000 - \SystemRoot\System32\DRIVERS\parport.sys
FAF30000 - \SystemRoot\System32\DRIVERS\aliirda.sys
FB0BC000 - \SystemRoot\System32\DRIVERS\irenum.sys
FB0EA000 - \SystemRoot\System32\DRIVERS\hpci.sys
FA2CE000 - \SystemRoot\System32\DRIVERS\HSFHWALI.sys
FA1CA000 - \SystemRoot\System32\DRIVERS\HSF_DP.sys
FA12F000 - \SystemRoot\System32\DRIVERS\HSF_CNXT.sys
FAF38000 - \SystemRoot\System32\Drivers\Modem.SYS
FAF20000 - \SystemRoot\System32\DRIVERS\usbuhci.sys
FA10C000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS
FAF28000 - \SystemRoot\System32\DRIVERS\usbehci.sys
FADA0000 - \SystemRoot\System32\DRIVERS\imapi.sys
FADB0000 - \SystemRoot\System32\Drivers\AFS2K.SYS
FAF40000 - \SystemRoot\System32\Drivers\ElbyCDFL.sys
FADC0000 - \SystemRoot\System32\Drivers\Cdr4_xp.SYS
FADD0000 - \SystemRoot\System32\DRIVERS\cdrom.sys
FADE0000 - \SystemRoot\System32\DRIVERS\redbook.sys
FAF48000 - \SystemRoot\System32\Drivers\Cdralw2k.SYS
FA0EF000 - \SystemRoot\System32\Drivers\pwd_2k.SYS
FAF60000 - \SystemRoot\System32\DRIVERS\DP83815.SYS
FA9AB000 - \SystemRoot\System32\DRIVERS\CmBatt.sys
FB2BA000 - \SystemRoot\System32\DRIVERS\audstub.sys
FAF68000 - \SystemRoot\System32\DRIVERS\rasirda.sys
FAF70000 - \SystemRoot\System32\DRIVERS\TDI.SYS
FADF0000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys
FA9A3000 - \S