PC totalement vérolé

> Tous les forums > Sécurité

PC totalement vérolé Sujet résolu

3 pages : [1] 2 3 ... Fin

Bas de la page

Page Précédente

Page Suivante

Statut du sujet : RESOLU

jerome7573

Posté le 26/05/2008 @ 14:12

Petit astucien

61 Messages

Salut...

J'ai récupéré le PC de mon voisin. Il a arrêté son abonnement à son anti-virus il y a deux mois et je viens de le récupérer car totalement vérolé. Le gros HIC est que je n'arrive pas à installer d'anti-virus car le pc refuse l'installation. Dès que je tape le mot anti-virus sur un moteur de recherche il me ferme la page internet. Dès que je me rends que un site pour tenter de faire un anti-virus en ligne, il me ferme la page. J'ai donc ce PC chez moi à côté du miens afin de pouvoir télécherger ce que vous me direz de télécharger etc pour essayer de remettre son PC en forme.

Je serai chez moi ce soir, si vous avez déjà quelques idées n'hésitez pas à me le faire savoir. Ce soir je ferai un log HijackThis et le posterai.

Pour info, j'ai essayé les installe en mode sans échec, j'ai essayé d'accéder au site anti-virus en ligne depuis le mode sans échec avec connexion internet mais rien n'y fait... il me plante à chaque fois.

j'ai passé CCleaner, Spybot et Ad-aware qui me trouve une multitude de problèmes et malgré tout je ne peux toujours pas installé d'anti-virus...

Je dis un BIG HELP car je le demmerde souvent en informatique mais je ne suis pas un informaticien, simplement un petit bidouilleur de campagne...

Merci d'avant à vous...

Publicité

philae

Posté le 26/05/2008 à 15:24

Groupe Sécurité

33085 Messages

bonjour,

Ce soir je ferai un log HijackThis et le posterai.

poste déjà le rapport HijackThis.

Si tu peux également lui installer antivir et faire un scan en MSE. Poste ensuite le rapport

http://www.free-av.com .

en mode sans echec, installer et paramétrer Antivir.

tuto :

http://speedweb1.free.fr/frames2.php?page=tuto5

Modifié par philae le 26/05/2008 15:27

jerome7573

Posté le 26/05/2008 à 15:59

Petit astucien

61 Messages

Merci de ta réponse.

j'ai téléchargé antivir et je fais ce que tu m'a indiqué dès ce soir...

je te tiens informé

merci

philae

Posté le 26/05/2008 à 16:00

Groupe Sécurité

33085 Messages

OK à ce soir

jerome7573

Posté le 26/05/2008 à 19:05

Petit astucien

61 Messages

Bon je viens de rentrer chez moi et ça à l'air encore pire....

Même en mode sans échec je n'arrive pas à lancer HijackThis et antivir....

As-tu qqchose à me proposer ????

Merci

jerome7573

Posté le 26/05/2008 à 19:12

Petit astucien

61 Messages

Une info supplémentaire... déjà c'est sous Windows XP

ensuite à l'ouverture Une fen^tre s'appelant "MonContenuassistant" s'ouvre m'indiquant que 3086 menaces pour la confidentialité ont été détectées.

cette fenêtre m'indique également que pour 'supprimer les invasions de la confidentialité, vous devez registrer votre copie de MonContenuassistant. Pour le faire, cliquez sur Réparer Mnt." Si je fais réparer maintenant il veut ouvrir une page internet mais impsible chez moi car je ne l'ai pas connecté au net mais je me souviens avoir fait ça chez lui et en fait il m'envoie sur un site pour payer un abonnement.

Enfin une autre fenêtre "Microsoft Virtual C++ Runtime Library" où est indiquée:

"Runtime Error!

Program:...mFiles\Fichiers communs\Sonic\Update Manager\sgtray.exe

This application has requested the Runtime to terminate it in an usual way.

Please contact the application's support team for more information"

Voilà... ça m'a l'air d'être une vraie merde...

Merci

jerome7573

Posté le 26/05/2008 à 20:32

Petit astucien

61 Messages

Encore une info, le fameuw ctr+alt+sup me donne le résultat suivant : "Le Gestionnaire des tâcges a été désactivé par votre administrateur."

HELP ME PLEASE

philae

Posté le 26/05/2008 à 21:00

Groupe Sécurité

33085 Messages

bonsoir,

ça se complique. Dans l'immédiat, je te dirais que je sais trop. Si en MSE tu ne peux rien lancer.....

je vais voir et te tiens au courant dès que possible

jerome7573

Posté le 26/05/2008 à 21:02

Petit astucien

61 Messages

merci c'est gentil...

pour hitjakthis, j'ai vu la premiere page qd j'ai double cliqué puis elle disparait aussitôt...

pfff..quel bordel son pc...

philae

Posté le 26/05/2008 à 21:09

Groupe Sécurité

33085 Messages

je ne sais pas si il va y avoir une solution mais au cas où a t il les cd pour un éventuel formatage ?

jerome7573

Posté le 26/05/2008 à 21:18

Petit astucien

61 Messages

J'arrive pas à le joindre...

il a acheté son PC par DELL si ça peut te donner une indication...

philae

Posté le 26/05/2008 à 21:21

Groupe Sécurité

33085 Messages

non ça ne m'en donne pas trop. En général il faut créer ses cd de sauvegarde lors de la mise en route. Maintenant l' a t il fait. Et chez dell, je ne sais trop comment ça fonctionne

jerome7573

Posté le 26/05/2008 à 21:25

Petit astucien

61 Messages

j'arrive pas à le joindre.... si je peux le joindre ce soir je te réponds sinon demain...

tu ne vois que le formatage comme soluce? pas moyen de réactiver le ctrl+alt+sup ?

ou je sais pas le brancher sur le miens (je ne sais pas comment) et lancer un anti-virus a partir de mon pc?

philae

Posté le 26/05/2008 à 21:26

Groupe Sécurité

33085 Messages

je n'ai pas dit que je ne voyais que le formatage. Je t'ai dit dans l'hypothèse où.....

on n'en est pas encore là pour l'instant.

essaye déjà ceci :

ouvre "invite de commande" dans les accessoires puis entre la commande

chkdsk /f /r

(en respectant les espaces (entre k et /f) et entre (/f et /r). window va te demander de "demonter" le lecteur et le scan se fera au redemarrage du PC

pour le gestionnaire des tâches essaye zebrestore

http://telechargement.zebulon.fr/telecharger-zeb-restore.html

mais je pense que c'est plutôt dû à l'infection

Edit : essaye ceci peut être qu'il passera mieux qu'Hijackthis. Tiens moi au courant

Télécharge : http://www.evosla.com/pca_cpt.php?agr=pca_securite de Evosla

Décompresse le sur ton " Bureau "
Lance l'analyse (en haut à gauche) --- enregistre le rapport généré (en bas à droite)
Le rapport va etre positionné sur ton bureau " PCA_LOG.txt " --->publie le dans ta prochaine réponse

******************************************************************************************

...Bien maintenant tu prends cette option, avec PCA.EXE ( qui est sur ton bureau )

Clique sur l'onglet "paramètres",
Sur le bouton "mise à jour de la base virale", clique sur "mise à jour",
Autorise le pare-feu,
Clique sur OK si un message apparait,
Clique sur l'onglet "analyse anti-spyware",
Clique sur "scanner",
Quand l'analyse est terminée, clique sur "enregistrer le rapport" et sauvegarde-le sur le bureau. Il se nomme PCA_SCAN_LOG.txt

Modifié par philae le 26/05/2008 21:46

jerome7573

Posté le 26/05/2008 à 22:10

Petit astucien

61 Messages

j'ai fait ce que tu m'as dit... je ne peux toujours pas lancer HijackThis mais le gestionnaire des tâches lui s'ouvre...

j'ai essayé en mode sans échec et hijacthis ne se lance pas non plus... snif snif

philae

Posté le 26/05/2008 à 22:13

Groupe Sécurité

33085 Messages

as tu essayé ceci :

******************************************************************************************

...Bien maintenant tu prends cette option, avec PCA.EXE ( qui est sur ton bureau )

Clique sur l'onglet "paramètres",
Sur le bouton "mise à jour de la base virale", clique sur "mise à jour",
Autorise le pare-feu,
Clique sur OK si un message apparait,
Clique sur l'onglet "analyse anti-spyware",
Clique sur "scanner",
Quand l'analyse est terminée, clique sur "enregistrer le rapport" et sauvegarde-le sur le bureau. Il se nomme PCA_SCAN_LOG.txt

jerome7573

Posté le 26/05/2008 à 22:17

Petit astucien

61 Messages

alors je peux pas faire de mise à jour il n'est pas connecté à internet mais voilà ce que ça donne...

Sur Diagnostic du pc j'obtiens :

# PCA Sécurité V 1.2.9, (fichier LOG).
# Rapport du :26/05/2008 22:13:29
Microsoft Windows ME Service Pack 2

==>> Processus <==
\SystemRoot\System32\smss.exe
\??\C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Securitoo\av_fw\backweb\8520111\program\fsbwsys.exe
c:\winself.exe
C:\WINDOWS\winself.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\Program Files\Securitoo\av_fw\FSGUI\FSSW.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\DOCUME~1\CHRIST~1\LOCALS~1\Temp\Répertoire temporaire 1 pour pca.zip\pca.exe

//pages de démarrage et de recherche d'Internet Explorer
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
RO - HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = http://www.orange.fr/bin/frame.cgi?u=http%3A//webmail22d.orange.fr/webmail/fr_FR/inbox.html%3FFromSubmit%3Dtrue%26dub%3D1
RO - HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
RO - HKCU\Software\Microsoft\Internet Explorer\Toolbar\LinksFolderName = Liens
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Search Page = http://www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Search\CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Connection Wizard\ShellNext = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
//applications lancées depuis system.ini,win.ini
//03 - Browser Helper Objects (BHOs)
02 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
02 - BHO: - {15651c7c-e812-44a2-a9ac-b467a2233e7d} -
02 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
02 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
02 - BHO: - {622cc208-b014-4fe0-801b-874a5e5e403a} -
02 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
02 - BHO: - {9c5b2f29-1f46-4639-a6b4-828942301d3e} -
02 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
02 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
02 - BHO: - {ffff0001-0002-101a-a3c9-08002b2f49fb} -
02 - BHO: Her - {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C} - C:\WINDOWS\system32\marwin32.dll
O3 - Toolbar : - {BA52B914-B692-46c4-B683-905236F6F655} -
O3 - Toolbar : &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
//04 - applications chargées automatiquement
04 - HKLM\..\RUN: [SoundMAXPnP] - C:\Program Files\Analog Devices\Core\smax4pnp.exe
04 - HKLM\..\RUN: [SunJavaUpdateSched] - "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
04 - HKLM\..\RUN: [PCMService] - "C:\Program Files\Dell\Media Experience\PCMService.exe"
04 - HKLM\..\RUN: [QuickTime Task] - "C:\Program Files\QuickTime\qttask.exe" -atboottime
04 - HKLM\..\RUN: [UpdateManager] - "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
04 - HKLM\..\RUN: [dla] - C:\WINDOWS\system32\dla\tfswctrl.exe
04 - HKLM\..\RUN: [WOOWATCH] - C:\PROGRA~1\Wanadoo\Watch.exe
04 - HKLM\..\RUN: [WOOTASKBARICON] - C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
04 - HKLM\..\RUN: [WooCnxMon] - C:\PROGRA~1\Wanadoo\CnxMon.exe
04 - HKLM\..\RUN: [RealTray] - C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
04 - HKLM\..\RUN: [F-Secure Manager] - "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
04 - HKLM\..\RUN: [F-Secure TNB] - "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
04 - HKLM\..\RUN: [F-Secure Startup Wizard] - "C:\Program Files\Securitoo\av_fw\FSGUI\FSSW.EXE" /reboot
04 - HKLM\..\RUN: [News Service] - "C:\Program Files\Securitoo\av_fw\FSGUI\ispnews.exe"
04 - HKLM\..\RUN: [igfxtray] - C:\WINDOWS\system32\igfxtray.exe
04 - HKLM\..\RUN: [igfxhkcmd] - C:\WINDOWS\system32\hkcmd.exe
04 - HKLM\..\RUN: [igfxpers] - C:\WINDOWS\system32\igfxpers.exe
04 - HKLM\..\RUN: [Dell Photo AIO Printer 922] - "C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe"
04 - HKLM\..\RUN: [DLBTCATS] - rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLBTtime.dll,_RunDLLEntry@16
04 - HKLM\..\RUN: [REGSHAVE] - C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
04 - HKLM\..\RUN: [autoclk] - autoclk.exe
04 - HKCU\..\RUN: [CTFMON.EXE] - C:\WINDOWS\system32\ctfmon.exe
04 - HKCU\..\RUN: [IncrediMail] - C:\Program Files\IncrediMail\bin\IncMail.exe /c
04 - HKCU\..\RUN: [swg] - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
04 - HKCU\..\RUN: [SpybotSD TeaTimer] - C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
04 - HKLM\..\RunServices: [CTFMON.EXE] - C:\WINDOWS\system32\ctfmon.exe
04 - HKLM\..\RunServices: [IncrediMail] - C:\Program Files\IncrediMail\bin\IncMail.exe /c
04 - HKLM\..\RunServices: [swg] - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
04 - HKLM\..\RunServices: [SpybotSD TeaTimer] - C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
04 - HKCU\..\RunServices: [CTFMON.EXE] - C:\WINDOWS\system32\ctfmon.exe
04 - HKCU\..\RunServices: [IncrediMail] - C:\Program Files\IncrediMail\bin\IncMail.exe /c
04 - HKCU\..\RunServices: [swg] - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
04 - HKCU\..\RunServices: [SpybotSD TeaTimer] - C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
04 - HKUS\S-1-5-18\..\RUN: [CTFMON.EXE] - C:\Program Files\Analog Devices\Core\smax4pnp.exe
04 - HKUS\S-1-5-19\..\RUN: [CTFMON.EXE] - C:\Program Files\Analog Devices\Core\smax4pnp.exe
04 - HKUS\S-1-5-20\..\RUN: [CTFMON.EXE] - C:\Program Files\Analog Devices\Core\smax4pnp.exe
04 - HKUS\S-1-5-21-754448802-3669827847-120359114-1006\..\RUN: [CTFMON.EXE] - C:\Program Files\Analog Devices\Core\smax4pnp.exe
04 - HKUS\S-1-5-21-754448802-3669827847-120359114-1006\..\RUN: [IncrediMail] - "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
04 - HKUS\S-1-5-21-754448802-3669827847-120359114-1006\..\RUN: [swg] - "C:\Program Files\Dell\Media Experience\PCMService.exe"
04 - HKUS\S-1-5-21-754448802-3669827847-120359114-1006\..\RUN: [SpybotSD TeaTimer] - "C:\Program Files\QuickTime\qttask.exe" -atboottime
04 - Global Startup: DSLMON.lnk= C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk
04 - Global Startup: Exif Launcher.lnk= C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Exif Launcher.lnk
04 - Global Startup: Microsoft Office.lnk= C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
04 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk= C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk
04 - Startup: PrintKey 2000 Fr.lnk= C:\Documents and Settings\christophe polbost\Menu Démarrer\Programmes\Démarrage\PrintKey 2000 Fr.lnk
//05 - Accès au panneau de contrôle d'Internet Explorer (control.ini)
//06- interdiction à l' accès au options (Internet Explorer)
//07 - blocage de l'exécution de Regedit
//08 - lignes supplémentaires dans le menu contextuel d'Internet Explorer
//09 - boutons situés sur la barre d'outils principale d'Internet Explorer
09 - Extra button: - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
09 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
09 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
09 - Extra 'Tools' menuitem: - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
09 - Extra button: - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
09 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
09 - Extra button: - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
09 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
09 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
09 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
//O10 - Pirates de Winsock
//O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer)
O11 - Options group: [INTERNATIONAL] - International*
//O12 - IE plugins
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS\npqtplugin7.dll
O12 - IE plugins : C:\Program Files\Internet Explorer\PLUGINS\NPWMin32.dll
//013 : DefaultPrefix
//014 - Option : (Rétablir les paramètres Web)
//015 - Zone de confiance d'Internet Explorer
//O16 - Objets ActiveX
O16 - DPF : Shockwave ActiveX Control - {166B1BCA-3F9C-11CF-8075-444553540000} - C:\WINDOWS\system32\macromed\Director\SwDir.dll
O16 - DPF : IWinAmpActiveX Class - {B49C4597-8721-4789-9250-315DFBD9F525} - C:\Program Files\Fichiers communs\Nullsoft\ActiveX\2.6\AmpX.dll
O16 - DPF : Shockwave Flash Object - {D27CDB6E-AE6D-11CF-96B8-444553540000} - C:\WINDOWS\system32\Macromed\Flash\Flash9c.ocx
//O17 - piratage de domaine Lop.com
//O18 - protocoles additionnels
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} -
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
//O19 - feuille de style de l'utilisateur
//O20 - valeur de Registre AppInit_DLLs et les sous-clés Winlogon Notify
//O21 - ShellServiceObjectDelayLoad
//O22 - SharedTaskScheduler
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
//O23 - services de XP,NT, 2000, et 2003
O23 - Service: [Ad-Aware 2007 Service] - "C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe"
O23 - Service: [Service de la passerelle de la couche Application] - %SystemRoot%\System32\alg.exe
O23 - Service: [Service d'état ASP.NET] - %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
O23 - Service: [Securitoo Antivirus Firewall] - C:\PROGRA~1\SECURI~1\av_fw\backweb\8520111\Program\SERVIC~1.EXE
O23 - Service: [CcEvtSvc] - %SystemRoot%\System32\CcEvtSvc.exe -k netsvcs
O23 - Service: [Gestionnaire de l'Album] - %SystemRoot%\system32\clipsrv.exe
O23 - Service: [Application système COM+] - C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
O23 - Service: [dlbt_device] - C:\WINDOWS\system32\dlbtcoms.exe -service
O23 - Service: [F-Secure Gatekeeper Handler Starter] - "C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe"
O23 - Service: [Fax] - %systemroot%\system32\fxssvc.exe
O23 - Service: [fsbwsys] - "C:\Program Files\Securitoo\av_fw\backweb\8520111\program\fsbwsys.exe"
O23 - Service: [F-Secure Anti-Virus Firewall Daemon] - "C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe"
O23 - Service: [F-Secure Management Agent] - "C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE"
O23 - Service: [Google Updater Service] - "C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe"
O23 - Service: [Service COM de gravage de CD IMAPI] -
O23 - Service: [Partage de Bureau à distance NetMeeting] - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: [Distributed Transaction Coordinator] - C:\WINDOWS\system32\msdtc.exe
O23 - Service: [Intel NCS NetService] - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: [Securitoo Control Parental] - C:\Program Files\Securitoo\Controle Parental\bin\optproxy.exe
O23 - Service: [Gestionnaire de session d'aide sur le Bureau à distance] - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: [Localisateur d'appels de procédure distante (RPC)] - %SystemRoot%\system32\locator.exe
O23 - Service: [QoS RSVP] - %SystemRoot%\system32\rsvp.exe
O23 - Service: [Spouleur d'impression] - %SystemRoot%\system32\spoolsv.exe
O23 - Service: [MS Software Shadow Copy Provider] - C:\WINDOWS\system32\dllhost.exe /Processid:{907CAEFE-0BA5-4923-8906-9A32D4212B14}
O23 - Service: [Journaux et alertes de performance] - %SystemRoot%\system32\smlogsvc.exe
O23 - Service: [Onduleur] - %SystemRoot%\System32\ups.exe
O23 - Service: [Cliché instantané de volume] - %SystemRoot%\System32\vssvc.exe
O23 - Service: [Carte de performance WMI] - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: [Service Partage réseau du Lecteur Windows Media] - "C:\Program Files\Windows Media Player\WMPNetwk.exe"

*****************************************************************************************************************************************************

Sur l'analyse j'obtiens :

# PCA Sécurité V 1.2.9, (fichier LOG Anti-Spyware).
# Analyse du :26/05/2008 22:14:24
Microsoft Windows ME Service Pack 2

Objets reconnus : 000
Processus reconnus :000
- - - - - - - - - - - - - -

[26/05/2008 22:14:00] - ==>>> Scan des Processus <<<==
[26/05/2008 22:14:01] - ==>>> Scan de la base de registre <<<==
[26/05/2008 22:14:02] - ==>>> Scan de : c:\
[26/05/2008 22:14:03] - ==>>> Scan de : e:\
[26/05/2008 22:14:05] - ==>>> Scan de : C:\WINDOWS
[26/05/2008 22:14:06] - ==>>> Scan de : C:\WINDOWS\SYSTEM\
[26/05/2008 22:14:06] - ==>>> Scan de : C:\WINDOWS\system32
[26/05/2008 22:14:19] - ==>>> Scan de : C:\Documents and Settings\christophe polbost
[26/05/2008 22:14:19] - ==>>> Scan de : C:\Documents and Settings\christophe polbost\Menu Démarrer
[26/05/2008 22:14:19] - ==>>> Scan de : C:\Documents and Settings\christophe polbost\Menu Démarrer\Programmes\Démarrage
[26/05/2008 22:14:19] - ==>>> Scan de : C:\Documents and Settings\All Users\Menu Démarrer
[26/05/2008 22:14:19] - ==>>> Scan de : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
[26/05/2008 22:14:19] - ==>>> Scan de : C:\Documents and Settings\christophe polbost\Bureau
[26/05/2008 22:14:19] - ==>>> Scan de : C:\Documents and Settings\christophe polbost\Bureau
[26/05/2008 22:14:19] - ==>>> Scan de : C:\Documents and Settings\All Users\Bureau
[26/05/2008 22:14:19] - ==>>> Scan de : C:\Program Files
[26/05/2008 22:14:19] - ==>>> Scan de : C:\Documents and Settings\christophe polbost\Application Data
[26/05/2008 22:14:19] - ==>>> Scan de : C:\Documents and Settings\christophe polbost\Local Settings\Application Data

Cela t'aide-t-il ?

jerome7573

Posté le 26/05/2008 à 22:18

Petit astucien

61 Messages

alors je peux pas faire de mise à jour il n'est pas connecté à internet mais voilà ce que ça donne...

Sur Diagnostic du pc j'obtiens :

*****************************************************************************************************************************************************

Sur l'analyse j'obtiens :

Cela t'aide-t-il ?

philae

Posté le 26/05/2008 à 22:20

Groupe Sécurité

33085 Messages

maintenant essaye d'utiliser ceci

* Télécharge SDFix sur ton bureau

* Double clique sur SDFix.exe et choisis Install. L'outil sera extrait à la racine du lecteur système (généralement le C:\)
* Redémarre ton ordinateur en mode sans échec

* Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.cmd pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,

jerome7573

Posté le 26/05/2008 à 22:32

Petit astucien

61 Messages

j'ai fait ce que tu me dis mais un petit HIC, il ne crée pas de raccourci sur le bureau donc pas moyen de le lancer après l'install et le redémarrage du pc

philae

Posté le 26/05/2008 à 22:35

Groupe Sécurité

33085 Messages

sût été trop beau....

Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.
NB : Tu dois être connecté avec des droits d'Administrateur.

ferme toutes les applications et fenêtres
double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
- tu devras cliquer 2 fois sur le OK des boîtes de Dialogue
  Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
- quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
  main.txt <- ouvert en premier plan et en plein écran
  extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
S'il s'agit d'une utilisation supplémentaire de DSS :
- tu n'auras pas de boîte de Dialogue (pas de OK)
- quand le traitement est terminé, un fichier texte s'affiche :
  main.txt <- ouvert en premier plan et en plein écran
copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post
copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)
n'oublie pas de réactiver les protections si elles ont été stoppées.

jerome7573

Posté le 26/05/2008 à 22:52

Petit astucien

61 Messages

alors le fichier main.txt donne cela :

Deckard's System Scanner v20071014.68
Run by christophe polbost on 2008-05-26 22:43:43
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

-- Last 5 Restore Point(s) --
18: 2008-05-26 20:40:01 UTC - RP190 - Deckard's System Scanner Restore Point
17: 2008-05-26 17:30:15 UTC - RP189 - Point de vérification système
16: 2008-05-24 19:49:38 UTC - RP188 - Point de vérification système
15: 2008-05-16 20:56:26 UTC - RP187 - Software Distribution Service 3.0
14: 2008-05-14 20:40:58 UTC - RP186 - Software Distribution Service 3.0

-- First Restore Point --
1: 2008-02-13 22:05:02 UTC - RP173 - Software Distribution Service 3.0

Backed up registry hives.
Performed disk cleanup.

[color=red]Total Physical Memory: 510 MiB (512 MiB recommended).[/color]

-- HijackThis (run as christophe polbost.exe) ----------------------------------

Unable to find log (file not found); running clone.
-- HijackThis Clone ------------------------------------------------------------

Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-05-26 22:47:15
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\SYSTEM32\spoolsv.exe
C:\Program Files\Securitoo\av_fw\backweb\8520111\Program\fsbwsys.exe
C:\winself.exe
C:\WINDOWS\winself.exe
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\WINDOWS\SYSTEM32\dla\tfswctrl.exe
C:\WINDOWS\SYSTEM32\igfxpers.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmon.exe
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Documents and Settings\christophe polbost\Bureau\dss.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/bin/frame.cgi?u=http%3A//webmail22d.orange.fr/webmail/fr_FR/inbox.html%3FFromSubmit%3Dtrue%26dub%3D1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/search?q=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Wanadoo\SearchPageURL.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {15651c7c-e812-44a2-a9ac-b467a2233e7d} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\SYSTEM32\dla\tfswshx.dll
O2 - BHO: (no name) - {622cc208-b014-4fe0-801b-874a5e5e403a} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {9c5b2f29-1f46-4639-a6b4-828942301d3e} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\GoogleToolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD2