| Section virus ou autres menace | |
|
|
Auteur | Message |
---|
Jal Admin
Nombre de messages : 393 Localisation : Québec Date d'inscription : 29/03/2008
| Sujet: Section virus ou autres menace Sam 29 Mar - 22:14 | |
| Bonjour !En vous incrivant, Vous pouvez poster ici vos problèmes (bien exposés). Donnez le plus de détails possibles ainsi que les noms de virus ou de malwares qui auraient été identifiés sur votre machine svp. Ainsi que tous symptômes associés. Mettez un titre au dessus des onglets de fonctions puis vous pouvez coller vos rapports de scans ou autres dans la section du message. Vous pouvez prévisualiser et ensuite l'envoyer. Nous tenterons de vous répondre le plus rapidement et le plus efficacement possible. Merci. Jal Cliquez sur (Nouveau) Et n'oubliez pas de mettre un titre
Dernière édition par Jal le Lun 14 Avr - 2:31, édité 1 fois | |
|
| |
ronde02
Nombre de messages : 6 Localisation : saint-quentin Date d'inscription : 04/04/2008
| Sujet: Re: Section virus ou autres menace Ven 4 Avr - 15:53 | |
| ki peu m aider? j ai choper ceci O4 - HKLM\..\Run: [Salestart(1)] "D:\Program Files\Fichiers communs\Nettordinateur\mc.exe" dm=http://nettordinateur.com; ad=http://nettordinateur.com on a bo éssayer de le désinfecté, il résiste. keske je peu fr?? kelk'un peu m aider?? | |
|
| |
Jal Admin
Nombre de messages : 393 Localisation : Québec Date d'inscription : 29/03/2008
| Sujet: Allo ronde92 Ven 4 Avr - 16:00 | |
| Bienvenu ! Oui j'ai entrevu ton problème. En fais il sagit d'un nouveau spyware très tenace et qui ne fait pas encore parti des données de la plupart des fix ou logiciels anti-espions. Je recherche un peu et je te reviens d'ici 1 heure ok . @+ Jal | |
|
| |
ronde02
Nombre de messages : 6 Localisation : saint-quentin Date d'inscription : 04/04/2008
| Sujet: Re: Section virus ou autres menace Ven 4 Avr - 16:03 | |
| je te remerci bocou, parcke je commencais à désespérer ça fait trois jours kon est dessus et cette bbete nous donne du fil à retordre...j attend ta réponse en te remerciant infiniment.. | |
|
| |
Jal Admin
Nombre de messages : 393 Localisation : Québec Date d'inscription : 29/03/2008
| Sujet: ok on va faire des manips. Ven 4 Avr - 16:24 | |
| Je crois que tu as aucun pare-feu efficace sur ta machine. Sinon celui par défaut de Windows qui est oui défectueux et une passoire. Alors installes un vrai pare-feu comme celui-ci si tu te débrouille un peu avec l'anglais, il est le meilleur. http://www.majorgeeks.com/downloadget.php?id=4872&file=10&evp=e04df34392ed7a52da412d777a22febcEt en installant, mets ton adresse email pour recevoir les mises à jour. Ou si vraiment tu veut francais, alors celui-ci , moins efficace: http://www.commentcamarche.net/telecharger/telechargement-206-kerioEt tu es aux prises avec ce que l'on appelle on Rogue ou un faux pour te $$$ Normalement Smithfraudfix devrait enlever, mais il semble que celui-ci est muter! L'adresse ip de cette merdouille est : l'IP 85.12.60.30. La solution est de bloquer cet ip avec un pare-feu en attendant que les fix se mettent à jour. Mais tu pourrais tenter aussi chemin faisant ceci : http://www.majorgeeks.com/downloadget.php?id=5360&file=10&evp=2e0d43eb67e1e71c0b31e62c003599c0Car ce rogue est du même editeur que tout ceci : Accelerateurmaligne Aceleradorlisto Adioserrores Allertaminacce Alltiettantivirus Antivirusaskeladd Antivirusordi Antiviruspcpakke Antiviruspcsuite Antiviruspertutti Antivirusscherm Avsystemcare Avsystemshield Bedreigingsmonitoor Besutohogo Bilgikoruyucusu Bogyotsuru Bortmedvirus Bugdokter Bugsdestroyer Cleverspeeder Conducteurprive Densoftwareglobal Diannaoqingjieji Discerrorfree Discosemerros Discosenzaerrori Discosinerrores Diskfejlfri Diskrensare Disqudurprotection Dokterfix Doraibuhogo Drivedefender Driveproteccion Easysprinter Einaprivadesapc Electrosunny Elevarendimiento Elvikingsoftware Errclean Erro-out Errorfri Errorout Errorskydd Errorsoshi Fejlrenser Festplattenreiniger Findmoresoft Fullsystemprotection Harddiskvakt Interspaseprotection Kantansprinter Konsekieraser Magicgloveslab Magicsoftline Maximumantivirus Meinbesterschutz Mijnantivirus Mistikotitatuipologisti Moncontenuassistant Munazifalhasob Nadadevirus Nettordinateur Nocompromaat Norwayvirus Nowayvirus Oczyszczaczkomputerza Onlinepcguard Pcbeskyttelse Pcprivacytool Pc-prot Pcraiser Pcrengoringsmaskine Pcreveil Pcsegura Pcsikker Pcsikkerhed Pcsod Pcsuanbukkon Pcvirusless Pembersihkomputer Performancekoujou Plattefehlerfrei Pp-total Privacidadeprotegida Privacyconductor Proteccionconfiable Protectingtool Protectsols Protejaseudrive Protejasudrive Protezionesoft Puliturasystem Regbotemedel Regrensere Rejishufuku Safeheavenlab Sanitardiska Schijfhersteller Schutztool Semerros Senzaerrori Sikkerpcvaerktoj Sistemaimune Skyddsverktyg Sletingenvirus Smartkasoku Softgrand Softwarelocus Solutionreg Spacesafed Sprinterfacile Spychasseur Spyschutz Spywarealaram Spywarecapture Ssolsoftware Stoltbeskyttelse Supashuri Suspenzorpc Sysdepannage Syskontroller Syslibero Systemordnare Techtrollsoftware Temizsurucu Totalsicher Trojanskiller Tryggdator Turvapc Vacinatotal Vaskredskap Velocidadsimple Virenfrierpc Virtualpcguard Virusdeteccion Virusdifesa Viruseffaceur Virusforsvar Virusfrittsystem Virusgarde Virusschlacht Virusstopper Virusuwadame Virusvakt Virusvanguard Wegvonviren Winanonymous Winpcdoctor Winsecureav Winspycontrol Zebraantivirus Alors essaies ceci et mets-moi un rapport highjackthis stp. @+ | |
|
| |
ronde02
Nombre de messages : 6 Localisation : saint-quentin Date d'inscription : 04/04/2008
| Sujet: Re: Section virus ou autres menace Ven 4 Avr - 17:05 | |
| voila docteur lol Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:03:13, on 04/04/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\WINDOWS\SOUNDMAN.EXE D:\WINDOWS\Mixer.exe D:\Program Files\Java\jre1.6.0_05\bin\jusched.exe D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\WINDOWS\system32\ctfmon.exe D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe D:\PROGRA~1\Wanadoo\TaskBarIcon.exe D:\PROGRA~1\Wanadoo\GestionnaireInternet.exe D:\MulMouse.exe D:\MagicKey.exe D:\PROGRA~1\Wanadoo\ComComp.exe D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe D:\WINDOWS\System32\FTRTSVC.exe D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe D:\WINDOWS\system32\svchost.exe D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe D:\PROGRA~1\Wanadoo\Watch.exe D:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE D:\Program Files\Windows Live\Messenger\usnsvc.exe D:\Program Files\Internet Explorer\IEXPLORE.EXE D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe D:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SEARCH~1.DLL O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe O4 - HKLM\..\Run: [Salestart(1)] "D:\Program Files\Fichiers communs\Nettordinateur\mc.exe" dm=http://nettordinateur.com; ad=http://nettordinateur.com O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [WOOKIT] D:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Activer le Poste de Travail Sans Fil Labtec.lnk = D:\MulMouse.exe O8 - Extra context menu item: &Windows Live Search - res://D:\Program Files\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspxO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O14 - IERESET.INF: START_PAGE_URL=http://www.aliceadsl.fr O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cabO16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cabO16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cabO16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cabO16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cabO23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe -- End of file - 7486 bytes | |
|
| |
Jal Admin
Nombre de messages : 393 Localisation : Québec Date d'inscription : 29/03/2008
| Sujet: Re: Section virus ou autres menace Ven 4 Avr - 17:14 | |
| Ok je vois pour Kerio et la ligne 04 est toujours là. Alors Rogue remover a rien fait ? | |
|
| |
ronde02
Nombre de messages : 6 Localisation : saint-quentin Date d'inscription : 04/04/2008
| Sujet: Re: Section virus ou autres menace Ven 4 Avr - 17:16 | |
| non il a rien détecté...je vais finir par croire ke le seul moyen det de formater et de tout refr | |
|
| |
Jal Admin
Nombre de messages : 393 Localisation : Québec Date d'inscription : 29/03/2008
| Sujet: Re: Section virus ou autres menace Ven 4 Avr - 17:31 | |
| non il y a pire, il ne sagit que d'un rogue. Installes Ccleaner ici la version 'Slim" sans la toolbar Yahoo. http://www.ccleaner.com/download/builds/downloading-slimPuis dans les options avancés de Ccleaner, décoches la case des fichiers de plus de 48 heures. Et lances et relances le nettoyage, puis pareil pour (registres). Vas voir sur ton pare-feu et recherches si tu vois le ip en question puis bloques-le. Sinon vas en mode sans echec puis avec Highjackthis coches puis fixes ces lignes : R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SEARCH~1.DLL O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [Salestart(1)] "D:\Program Files\Fichiers communs\Nettordinateur\mc.exe" dm=http://nettordinateur.com; ad=http://nettordinateur.comO14 - IERESET.INF: START_PAGE_URL=http://www.aliceadsl.fr Je ne sais pas si tu y tiens à Alice ? Mais tu aurais tout intérêts à ne naviguer que sur Firefox.O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cabO16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cabO16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cabO16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cabCliques sur fixes check puis lances Ccleaner à nouveau. Puis remets un log HJKTS.
Dernière édition par Jal le Ven 4 Avr - 17:36, édité 1 fois | |
|
| |
Jal Admin
Nombre de messages : 393 Localisation : Québec Date d'inscription : 29/03/2008
| Sujet: Re: Section virus ou autres menace Ven 4 Avr - 18:13 | |
| Oui je voulais aussi te dire que si tu utilisais Firefox seulement pour tes navigations,tu aurais aussi la possibilité d'éviter ces merdes car Firefox est beaucoup plus sécurisé et même plus rapide que IE. En plus tu as la possibilité de tout y modifier et de le blinder contre à peu-près tout. Même avoir un super look. Dnc IE est exclusivement pour les Mises à jour de l'oncle Bill. Tout le reste c'est Firefox. Regardes ici les add ons de Firefox: http://jalobservateur.spaces.live.com/blog/cns!2F6086DD1C51DCDA!1866.entry | |
|
| |
g!rly Membres
Nombre de messages : 13 Age : 48 Localisation : finland Vista, XP ou Linux : a détérminer Date d'inscription : 29/03/2008
| Sujet: Re: Section virus ou autres menace Sam 5 Avr - 6:43 | |
| Bonjour a vous deux,
Ca avance ? ;-)
A bientot`
g!rly` | |
|
| |
Jal Admin
Nombre de messages : 393 Localisation : Québec Date d'inscription : 29/03/2008
| Sujet: Re: Section virus ou autres menace Sam 5 Avr - 13:03 | |
| Salut ronde92, salut G!rly
Ok on viens de regarder le rapport Combofix et les clés de registres et les dossiers n'ont pas été inclus dans le CFScript.txt.
Alors fais comme suit :
Folder:: D:\Program Files\Fichiers communs\Nettordinateur D:\RECYCLER(2) D:\Program Files\Navilog1 D:\VundoFix Backups D:\Lop SD D:\Program Files\Fichiers communs\DefenseDuDisque File:: D:\WINDOWS\system32\tmp.reg D:\Documents and Settings\chris\getfile.dat
Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Salestart(1)"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cb4860a1-93c9-11dc-be49-0011090900fd}]
NB: Si cette dernière ne part pas ,alors on supprimera sa valeur . Redis-moi stp et redonnes-le rapport Combofix.
NB: Fermes tout ,surtout les protections en exécutant Combo. | |
|
| |
ronde02
Nombre de messages : 6 Localisation : saint-quentin Date d'inscription : 04/04/2008
| Sujet: Re: Section virus ou autres menace Dim 6 Avr - 7:27 | |
| bonjour jal dsl mais mon ordi a planter de chez planter vendredi soir...plu moyen de l allumer...l écran été tous bleu avec un messabe me disant kil y avait un problème de téléchargement de la ruche..k un dossier devait etre soirs défectueux, abimé ou pas présent, donc mon ordi est partit en réparation et me vla avec un otre pour l instant lol en tout cas je te remerci bocou de m avoir aider ct vraiment sympa | |
|
| |
Jal Admin
Nombre de messages : 393 Localisation : Québec Date d'inscription : 29/03/2008
| Sujet: Re: Section virus ou autres menace Dim 6 Avr - 11:05 | |
| Salut ronde. En effet c'est désolant, car on touchais à la fin. : evil: J'imagine qu'ils vont réparer avec le cd Windows. Car souvent cette manoeuvre redonne vie. Dans tous les cas, avises-moi stp. et nous ferons en sorte que tu sois mieux protégée. Et que ces mésaventures, évitables, ne se représentent pas. @+ Jal | |
|
| |
ronde02
Nombre de messages : 6 Localisation : saint-quentin Date d'inscription : 04/04/2008
| Sujet: Re: Section virus ou autres menace Dim 6 Avr - 11:07 | |
| ok je te remerci t inkiète je te tiens au courant..mais sinon kel est à ton avis le meilleur antivirus et le meilleur pare feu ke je puisse trouver sur le net? | |
|
| |
Jal Admin
Nombre de messages : 393 Localisation : Québec Date d'inscription : 29/03/2008
| Sujet: Re: Section virus ou autres menace Dim 6 Avr - 11:20 | |
| | |
|
| |
laurent67000
Nombre de messages : 16 Localisation : strasbourg Date d'inscription : 09/04/2008
| Sujet: Re: Section virus ou autres menace Jeu 26 Juin - 17:04 | |
| Bonjour Jal, j'ai peut être de petits soucis... en fait j'en sais trop rien ! Je ne peux plus effectuer des windows update, je recois le message suivant : "wupdmr.exe - image incorrecte" et dans le message il y a écrit "L'application ou la DLL C:\WINDOWS\system32\rtutils.dll n'est pas une image Windows valide. Vérifiez à l'aide de votre disquette d'installation." D'ailleurs pour d'autres applications, je recois égalment un message d'erreur de ce type, qui me demande la même chose Sinon depuis 3-4 jours, je n'arrive plus non plus à mettre à jour antivir. Peut tu m'indiquer ce que je peux faire ? Suis infecté par quelque chose ? Merci d'avance ! A + | |
|
| |
Jal Admin
Nombre de messages : 393 Localisation : Québec Date d'inscription : 29/03/2008
| Sujet: Re: Section virus ou autres menace Jeu 26 Juin - 18:41 | |
| Salut ! G!rly va te donner les manips... Infection Bagle probable, Reste ici le plus possible et tu devras agir selon ses indications, Laurent ok . | |
|
| |
g!rly Membres
Nombre de messages : 13 Age : 48 Localisation : finland Vista, XP ou Linux : a détérminer Date d'inscription : 29/03/2008
| Sujet: Re: Section virus ou autres menace Jeu 26 Juin - 18:46 | |
| Bonsoir laurent Avec jal on soupçonne fortement la présence du virus bagle sur ton pc : Telecharge Kb2 sur ce lien : (merci a moe pour la réalisation !) https://sd-1.archive-host.com/membres/up/1366464061/KB2.exeTelecharge la nouvelle version d´eliblaga ici : (en bas de cette page) http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau. Etape 1 : Si tu as connecté une cle usb depuis que tu as été infecté branche la sans l´ouvrir... Etape 2 : Sur ton bureau double clic sur KB.exe. Tu verras apparaître sur le bureau, un raccourci nommé "KillB". Fait glisser le fichier Elibagla.exe sur ce raccourci, exactement comme si tu voulais le déposer dans un dossier. Elibagla va se lancer automatiquement. Clic sur "Ok" aux premières boîtes de dialogue qui peuvent apparaître avant le menu principal de l'outil : Por favor, envienos una muestra del fichero C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18 a "virus@satinfo.es". Gracias et/ou Eliminando Gusano BAGLE Une fois fait, le menu principal d'Elibagla apparaîtra : - Laisse la case "Eliminar ficheros automaticamente" coché - Clic sur "Explorar" pour lancer le scan. /!\ Pendant toute la durée du scan, n'utilise pas ton pc, n'ouvre aucun programmes et laisse l'outil travailler. /!\ Ne redemarre pas le pc après le scan. Le scan terminé, copie/colle sur le forum le rapport situé dans C:\KB\KB.txt et celui d'Elibagla situé dans C:\Infosat.txt @+ | |
|
| |
laurent67000
Nombre de messages : 16 Localisation : strasbourg Date d'inscription : 09/04/2008
| Sujet: Re: Section virus ou autres menace Ven 27 Juin - 6:01 | |
| Ok, merci à vous je vais faire ca ce soir, car je ne suis pas chez moi actuellement, et je suivrai vos indications à la lettre. D'apès mes recherches ce virus viendrait de mail intitulé Hi ! avec pièces jointes en .exe. Mais je n'ouvre jamais ce genre de mail, et en plus je n'en reçois pas. Ai-je pu être infecté autrement ? (je navigue sur firefox, et j'ai tout les logiciels de sécurité que m'avait refiler Jal.) Y a t'il des problèmes avec les logiciels de poker en ligne ? Bon, bref, à plus tard.... | |
|
| |
Jal Admin
Nombre de messages : 393 Localisation : Québec Date d'inscription : 29/03/2008
| Sujet: Re: Section virus ou autres menace Ven 27 Juin - 11:52 | |
| Salut Laurent. Ces types d'infections ont plusieurs sources possibles. Il est entendu que tu diposes des meilleures protections actuelles, mais.... Il est aussi possible de les contourner de façon sournoise par divers chemins ou tu aurais probablement baissé la garde en ne procédant pas selon les avertissements de tes residents. Dans une journée de surf il s'en passe beaucoup. Alors dans des mois c'est incroyable. Donc avec ta suite on verras plus clair. Mais il est vraiment impératif que tu procèdes promptement aux recommandations de G!rly, car je vois que tu es connecté ici sur le forum et que tu devrais strictement te concentrer sur l'irradication de ceci car les minutes et les cliques aggravent l'étât de ta machine. SURTOUT NE REDMARRES PAS SOUS AUCUN PRÉTEXTE ! | |
|
| |
laurent67000
Nombre de messages : 16 Localisation : strasbourg Date d'inscription : 09/04/2008
| Sujet: Re: Section virus ou autres menace Ven 27 Juin - 13:02 | |
| Alors.. :
Lorsque je fais mon glisser sur le raccourcis comme vous me le demandez, une boite de dialogue s'ouvre avec en espagnol un texte qui semble vouloir dire Que je n'ai pas la derniere version du programme.. Je clic sur OK, et la plus rien ne se passe...
j'attends de vos nouvelles.. | |
|
| |
Jal Admin
Nombre de messages : 393 Localisation : Québec Date d'inscription : 29/03/2008
| Sujet: Re: Section virus ou autres menace Sam 28 Juin - 9:31 | |
| Re salut , Je suis absent depuis quelques temps, travaux chalet... Je ne peux pas tester le logiciel éliminateur ici car je n'ai plus Windows. G!rly devrait revenir sous peu... Entre-temps, limite vraiment tes gestes sur la machine et si tu lis ce message, indiques-le moi ok . | |
|
| |
laurent67000
Nombre de messages : 16 Localisation : strasbourg Date d'inscription : 09/04/2008
| Sujet: Re: Section virus ou autres menace Sam 28 Juin - 13:44 | |
| J'ai bien lu ce mesage.. j'attends de vos nouvelles.... | |
|
| |
Jal Admin
Nombre de messages : 393 Localisation : Québec Date d'inscription : 29/03/2008
| Sujet: Re: Section virus ou autres menace Lun 30 Juin - 11:18 | |
| Salut Laurent.. G!rly est pas revenue ? Je suis quasi toujours au chalet alors pas évident pour moi, mais peut-tu faire le point stp sur les développements ou non . On devra voir pour des soluions... | |
|
| |
laurent67000
Nombre de messages : 16 Localisation : strasbourg Date d'inscription : 09/04/2008
| Sujet: Re: Section virus ou autres menace Lun 30 Juin - 17:24 | |
| Salut.. Non pas de nouvelles pour l'instant. En fait j'ai toujours des messages d'erreurs, comme décrit plus haut, par exemple lorsque je veux faire windows update, ou quand je lance superantispyware par exemple.... etc
J'ai aussi des problèmes au démarrage qui apparaissent, il tourne en boucle, puis je redémarre en mode sans echec, et ensuite ca remarche de nouveau....
Voila, je vois pas trop quoi faire, à part attendre de vos nouvelles LoL.. | |
|
| |
g!rly Membres
Nombre de messages : 13 Age : 48 Localisation : finland Vista, XP ou Linux : a détérminer Date d'inscription : 29/03/2008
| Sujet: Re: Section virus ou autres menace Lun 30 Juin - 22:51 | |
| Salut laurent, Excuse de ne pas être repasser... On va laisser kb de coté Contente toi de passer eliblaga : Télécharge ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau. Lance-le, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire. Patiente le temps du scan. Lorsqu'il a terminé, poste le contenu du fichier infoSat.txt qui se trouve dans Poste de travail > Disque C:\ Et par la même occasion, précise si tu peux à nouveau démarrer en mode sans échec. ***Ne reboot pas en passant par msconfig /!\ @+ | |
|
| |
laurent67000
Nombre de messages : 16 Localisation : strasbourg Date d'inscription : 09/04/2008
| Sujet: Re: Section virus ou autres menace Mar 1 Juil - 5:08 | |
| Salut. Je vais faire ca ce soir, puisque je ne sui pas chez moi actuellement. Je veux quand même préciser que j'ai toujours pu démarrer en mode sans echec. Il me semble aussi que j'ai déja essayer elibagla tout seul, et j'ai eu exactement le même message (un message espagnol disant que la version n'était pas à jour, il me semble). Par contre je vais essayer de le faire en mode sans echec, peut être que la ca va marcher, mais je suis sceptique. Ok pour msconfig, de toute facon, je n'ai pas de problèmes pour démarrer en mode sans echec. Je vous tiens au courant dans la soirée (ici il est 10h00 du matin) Merci ! A + | |
|
| |
laurent67000
Nombre de messages : 16 Localisation : strasbourg Date d'inscription : 09/04/2008
| Sujet: Re: Section virus ou autres menace Mar 1 Juil - 15:25 | |
| Voila, j'ai réussi a passé Elibagla en mode sans echec. J'ai eu des messages comme quoi il n'arrivait pas a acceder à tous les dossiers (notemment un dossier s'appelant ZZZZZZZZZZ).
Il n'a visiblement rien trouvé, j'attends vos instructions
Ci-joint le rapport :
Tue Jul 01 19:55:36 2008 EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008) ---------------------------------------------- Lista de Acciones (por Acción Directa):
Tue Jul 01 19:55:47 2008 EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008) ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad C:\
Nº Total de Directorios: 3764 Nº Total de Ficheros: 34145 Nº de Ficheros Analizados: 9214 Nº de Ficheros Infectados: 0 Nº de Ficheros Limpiados: 0
Tue Jul 01 20:17:03 2008 EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008) ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad F:\
Nº Total de Directorios: 95 Nº Total de Ficheros: 1880 Nº de Ficheros Analizados: 13 Nº de Ficheros Infectados: 0 Nº de Ficheros Limpiados: 0 | |
|
| |
laurent67000
Nombre de messages : 16 Localisation : strasbourg Date d'inscription : 09/04/2008
| Sujet: Re: Section virus ou autres menace Mar 1 Juil - 17:32 | |
| Du coup avec cette nouvelle version, j'ai aussi réussi à faire ta 1ère manip avec le KB, le résultat a été strictement identique, avec les même messages.
voila le rapport :
Tue Jul 01 19:55:36 2008 EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008) ---------------------------------------------- Lista de Acciones (por Acción Directa):
Tue Jul 01 19:55:47 2008 EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008) ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad C:\
Nº Total de Directorios: 3764 Nº Total de Ficheros: 34145 Nº de Ficheros Analizados: 9214 Nº de Ficheros Infectados: 0 Nº de Ficheros Limpiados: 0
Tue Jul 01 20:17:03 2008 EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008) ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad F:\
Nº Total de Directorios: 95 Nº Total de Ficheros: 1880 Nº de Ficheros Analizados: 13 Nº de Ficheros Infectados: 0 Nº de Ficheros Limpiados: 0
Tue Jul 01 22:20:14 2008 EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008) ---------------------------------------------- Lista de Acciones (por Acción Directa):
Tue Jul 01 22:20:21 2008 EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008) ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad C:\
Nº Total de Directorios: 3772 Nº Total de Ficheros: 34515 Nº de Ficheros Analizados: 9217 Nº de Ficheros Infectados: 0 Nº de Ficheros Limpiados: 0
Tue Jul 01 22:29:59 2008 EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008) ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad F:\
Nº Total de Directorios: 95 Nº Total de Ficheros: 1883 Nº de Ficheros Analizados: 13 Nº de Ficheros Infectados: 0 Nº de Ficheros Limpiados: 0 | |
|
| |
g!rly Membres
Nombre de messages : 13 Age : 48 Localisation : finland Vista, XP ou Linux : a détérminer Date d'inscription : 29/03/2008
| Sujet: Re: Section virus ou autres menace Mar 1 Juil - 17:54 | |
| Salut laurent... Bon tres bien, au moins tu n´est pas infecté par bagle 1 Télécharge combofix.exe (par sUBs) sur ton Bureau. -> http://download.bleepingcomputer.com/sUBs/ComboFix.exe -> Double clique combofix.exe. -> Tape sur la touche 1 (Yes) pour démarrer le scan. -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. NOTE : Le rapport se trouve également ici : C:\Combofix.txt Avant d'utiliser ComboFix : -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil. Une fois fait, sur ton bureau double-clic sur Combofix.exe. - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. - En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. -> Tutoriel http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix2 Télécharge HijackThis ici : -> http://www.commentcamarche.net/telecharger/telecharger-159-hijackthisTutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation) -> http://pageperso.aol.fr/balltrap34/Hijenr.gif Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation) -> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htmPost les rapports générés ici stp... @+ | |
|
| |
laurent67000
Nombre de messages : 16 Localisation : strasbourg Date d'inscription : 09/04/2008
| Sujet: Re: Section virus ou autres menace Mar 1 Juil - 18:15 | |
| Voila le rapport de combofix : ComboFix 08-06-30.2 - Laurent 2008-07-01 23:05:32.3 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.227 [GMT 2:00] Endroit: C:\Documents and Settings\Laurent\Bureau\ComboFix.exe * Création d'un nouveau point de restauration AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!. ((((((((((((((((((((((((((((( Fichiers créés 2008-06-01 to 2008-07-01 )))))))))))))))))))))))))))))))))))) . 2008-07-01 22:39 . 2008-07-01 22:39 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-07-01 22:39 . 2008-07-01 22:39 d-------- C:\Documents and Settings\Laurent\Application Data\Malwarebytes 2008-07-01 22:39 . 2008-07-01 22:39 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-07-01 22:39 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-07-01 22:39 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-01 22:19 . 2008-07-01 22:19 d-------- C:\KB 2008-06-28 00:35 . 2008-06-28 00:35 d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com 2008-06-28 00:34 . 2008-06-28 00:35 d-------- C:\Program Files\SUPERAntiSpyware 2008-06-28 00:34 . 2008-06-28 00:34 d-------- C:\Documents and Settings\Laurent\Application Data\SUPERAntiSpyware.com 2008-06-28 00:30 . 2008-06-28 00:30 d-------- C:\Program Files\Spybot - Search & Destroy 2008-06-26 20:52 . 2008-06-26 20:52 d-------- C:\Program Files\Trend Micro 2008-06-14 12:48 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-08 15:17 . 2008-06-08 15:17 d--hs---- C:\found.003 2008-06-07 13:19 . 2008-06-07 13:19 d-------- C:\Documents and Settings\Laurent\Application Data\TaoUSign
. (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-01 20:48 --------- d-----w C:\Program Files\Mozilla Thunderbird 2008-07-01 17:42 --------- d-----w C:\Documents and Settings\Laurent\Application Data\Spyware Terminator 2008-06-28 19:49 --------- d-----w C:\Program Files\SpywareGuard 2008-06-28 16:55 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP 2008-06-28 16:54 --------- d-----w C:\Program Files\SpywareBlaster 2008-06-27 22:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-06-27 22:34 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-06-27 22:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spyware Terminator 2008-06-27 17:10 --------- d-----w C:\Documents and Settings\Laurent\Application Data\LimeWire 2008-06-27 16:37 --------- d-----w C:\Program Files\Spyware Terminator 2008-06-27 16:11 --------- d-----w C:\Program Files\LimeWire 2008-06-27 14:17 --------- d-----w C:\Documents and Settings\Marie-Line\Application Data\Spyware Terminator 2008-06-25 19:58 --------- d-----w C:\Program Files\Java 2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-03 17:42 --------- d-----w C:\Program Files\Yahoo! 2008-06-03 17:13 --------- d-----w C:\Documents and Settings\Laurent\Application Data\EAST Technologies 2008-06-03 17:04 --------- d-----w C:\Program Files\VideoLAN 2008-05-24 13:10 --------- d-----w C:\Program Files\Microsoft Silverlight 2008-05-14 17:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help 2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys 2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll 2008-05-04 09:53 --------- d-----w C:\Documents and Settings\Marie-Line\Application Data\vlc 2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-02-27 21:49 77,057,158 ----a-w C:\Documents and Settings\Laurent\TRACE_BOOT+DRIVERS_1_1.BIN 2001-11-23 11:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL 2004-08-19 23:09 60,416 --sha-w C:\WINDOWS\BricoPacks\SysFiles\80_msimn.exe .
((((((((((((((((((((((((((((( snapshot@2008-06-29_11.58.04,78 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-28 17:39:51 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-07-01 18:18:48 2,048 --s-a-w C:\WINDOWS\bootstat.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" [2008-05-02 10:47 1817600] "COMODO Firewall Pro"="C:\Program Files\COMODO\Firewall\cfp.exe" [2008-02-20 22:01 1481984] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 13:09 262401]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]
C:\Documents and Settings\Laurent\Menu D‚marrer\Programmes\D‚marrage\ SpywareGuard.lnk - C:\Program Files\SpywareGuard\sgmain.exe [2003-08-29 20:05:35 360448]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Program Files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 10:13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="C:\\Documents and Settings\\All Users\\Application Data\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Program Files\\Messenger\\msmsgs.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"= "C:\\Program Files\\LimeWire\\LimeWire.exe"= "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-02-20 22:01] R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-02-20 22:01] R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-04-19 12:30] R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-20 01:10] S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-02-23 22:18]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp
. - - - - ORPHANS REMOVED - - - -
MSConfigStartUp-Run - (no file)
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-01 23:07:17 Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès Les fichiers cachés: 0
************************************************************************** . --------------------- DLLs a chargé sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\guard32.dll
PROCESS: C:\WINDOWS\system32\lsass.exe -> C:\WINDOWS\system32\guard32.dll . Temps d'accomplissement: 2008-07-01 23:09:57 ComboFix-quarantined-files.txt 2008-07-01 21:09:27
Pre-Run: 22,469,980,160 octets libres Post-Run: 22,460,051,456 octets libres
122 --- E O F --- 2008-06-22 20:00:06 | |
|
| |
laurent67000
Nombre de messages : 16 Localisation : strasbourg Date d'inscription : 09/04/2008
| Sujet: Re: Section virus ou autres menace Mar 1 Juil - 18:18 | |
| (sur ce il est temps pour moi de quitter me bécanne.... A demain, et Merci !!! ) Et voila le rapport Hijackthis : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:15:53, on 01/07/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\COMODO\Firewall\cmdagent.exe C:\Program Files\Spyware Terminator\sp_rsser.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\Program Files\SpywareGuard\sgmain.exe C:\Program Files\SpywareGuard\sgbhp.exe C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe C:\Program Files\COMODO\Firewall\cfp.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.yahoo.frR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -s O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing) O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing) O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cabO16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cabO20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 6569 bytes | |
|
| |
g!rly Membres
Nombre de messages : 13 Age : 48 Localisation : finland Vista, XP ou Linux : a détérminer Date d'inscription : 29/03/2008
| Sujet: Re: Section virus ou autres menace Mer 2 Juil - 12:42 | |
| Salut laurent, Je ne voie rien de special dans ces rapports... Pour les mises a jour windows essaie ceci : téléchargé le programme suivant:Dial-a-fix v0.60.0.24. 1. Pour télécharger la dernière version de ce programme, rend toi à cette adresse: http://djlizard.net/software/Dial-a-fix-v0.60.0.24.zip2. Une fenêtre intitulée "Téléchargement de fichiers" te demandera si tu veux exécuter ou enregistrer le fichier, clique sur "Enregistrer". 3. Dans la nouvelle fenêtre clique dans la colonne à gauche sur "Bureau" puis "enregistrez sous" en bas à droite. 4. Une fois le programme téléchargé, ferme ton navigateur et fait un clic droit sur le dossier "Dial-a-fix" présent sur ton bureau. 5. Clique sur "Extraire ici" ou "Extraire tout" puis "Suivant" , "Suivant" et "Terminer", un dossier nommé " Dial-a-fix " est alors créé. 6. Double clique sur le dossier " Dial-a-fix " puis sur le fichier " Dial-a-fix.exe " NB: Il est possible que juste avant cela tu obtiene une fenêtre t'indiquant que des problèmes ont été détectés. Décoche alors la case "Hide disabled", puis clique sur "Remove" et sur "Close". 7. Dans la fenêtre principale, clique sur le bouton vert pour tout cocher. Clique ensuite sur "GO" et laisse le logiciel travailler. Chaque action en cours est soulignée et une fois terminée elle se décoche automatiquement. 8. Clique enfin sur le bouton "Flush SoftwareDistribution". Une fois la réparation terminée, ferme la fenêtre et redémarre l'ordinateur. 9. Relance ensuite Windows Update. Dis moi quoi @+ | |
|
| |
laurent67000
Nombre de messages : 16 Localisation : strasbourg Date d'inscription : 09/04/2008
| Sujet: Re: Section virus ou autres menace Mer 2 Juil - 13:30 | |
| Salut, j'ai fait ta manip (j'ai eu quelques messages d'erreurs pendant d'ailleurs), mais rien n'a changé depuis.
J'ai toujours ces messages d'erreur qui apparaissent. Par exemple en lancant dial a fix : j'ai eu le message suivant :
timedate.cpl n'est pas une ppalication Win32 valide
Je sais même pas si je suis infecté par quelque chose...
Tiens, maintenat que ca me revient, mon antivirus me signale de temps en temps ceci :
Virus or unwanted program 'APPL/NirCmd.E.2.B [program]' detected in file 'C:\WINDOWS\Nircmd.exe. Action performed: Delete file
Qu'est ce ? Est que ca a un rapport ? | |
|
| |
g!rly Membres
Nombre de messages : 13 Age : 48 Localisation : finland Vista, XP ou Linux : a détérminer Date d'inscription : 29/03/2008
| Sujet: Re: Section virus ou autres menace Mer 2 Juil - 14:13 | |
| Salut laurent, Pour ton message d´erreur : http://support.microsoft.com/kb/q250912/Répare la clée comme indiqué... Pour nircmd.exe > c´est un composant de combofix... Vraiment tes rapports sont propres... Dis moi apres avoir corrigé l´erreure du fuseau horaire @+ | |
|
| |
Jal Admin
Nombre de messages : 393 Localisation : Québec Date d'inscription : 29/03/2008
| Sujet: Re: Section virus ou autres menace Mer 2 Juil - 17:42 | |
| Salut G!rly , Laurent Effectivement le log est sans indication. Parcontre Laurent , Superantispyware est de trop en temps réel. Tu devrais seulement l'utiliser pour scan passif. Car tu as déja Terminator et tu risques de ralentir inutilement ta machine. De plus, assures-toi que ton terminator a pas le 'HIPS' activé, car Comodo a un HIPS aussi et pourraiient causer certains bloquages... Donc, ton spyware guard suffit amplement pour la protection de page et de ce fait raison de plus que superantispy soit non actif a ce niveau. Tu nous diras pour la suite @+ | |
|
| |
laurent67000
Nombre de messages : 16 Localisation : strasbourg Date d'inscription : 09/04/2008
| Sujet: Re: Section virus ou autres menace Ven 4 Juil - 5:32 | |
| Salut, Alors voila de mes nouvelles : J'ai voulu réinstaller windows comme conseillé sur la page microsoft, seulement la réinstallation ne marchait pas, Et le PC redémarrer sans cesse. J'ai alors décider de formater mon disque C et de réinstallez windows dans la foulée... Chose que j'ai réussi. Mon PC redémarre... et la 2 ou 3 fenetres MSDOS avec des messages d'erreurs... je ferme les fenetres. Je n'ai plus de prtection internet apres ce formatage, j'appuis sur L'IE afin de télécharger mes pilotes graphiques et son, Antivir, firefox etc... et la PAF, le message Autorité NT system, comme il y a quelque mois.. J'ai passé ma soirée à sauver tout ce que j'avais sur mon disque D. Est-ce que je suis retourné au point de départ, à savoir le Virus Virtob.gen.5.... ? Si oui, comment est-ce possible ? Ce virus trouve t'il l'IP de mon PC ? j'aimerais bien comprendre comment il se propage sur mon PC ? Fonctionne t'il par rapport à l'adresse de mon PC ou à l'adresse de ma freebox ? Si je change de PC, est-ce qu'il tentera encore de m'infecter ? Merci à vous de m'expliquer tout ca, j'ai envie de comprendre mieux, afin de savoir vers quels solutions m'orienter. Pour éradiquer ce nouveau problème, faut il à nouveau que je passe par killdisk. D'ailleurs je pensais qu'avec killdisk, le virus était éradiqué. Comment se fait il que je suis réinfecté après killdisk. Est ce que ce virus tentait constemment de m'oinfecter, même apres killdisk, et que ce sont juste mes logiciles de protections qui l'empechait de se propager sur mon PC ? Si oui, même avec killdisk, ces virus tentent de "revenir"... je préfererais alors acheter une nouvelle tour, parceque si c'est pour recommencer tous les 4 mois....
Merci de répondre à toutes questions, j'ai hate de vous lire... A plus !! | |
|
| |
Jal Admin
Nombre de messages : 393 Localisation : Québec Date d'inscription : 29/03/2008
| Sujet: Re: Section virus ou autres menace Ven 4 Juil - 14:13 | |
| salut rapide Laurent. A moins que sur ton disk D tu aies un fichier cracké viral contenant Virtob et que tu aies pas supprimé tout , je ne crois pas a une infection similaire surtout pas avec Killdisk , puis avec un tel retard a se manifester. Sinon en activant par l'infecté dD ? Il est entendu que tu ne dois jamais te connecter nu ! Même pas pour tes pilotes, non condom avant ! Car virtob et virut collent aux connections comme une mouche sur un tas de fumier G!ily va sûrement te donner la suite. PS: Si jamais tu en as marre de XP est ses conneries, dis-moi et j'ai des solutions bien meilleurs pour toi . @+ Jal | |
|
| |
Jal Admin
Nombre de messages : 393 Localisation : Québec Date d'inscription : 29/03/2008
| Sujet: Re: Section virus ou autres menace Lun 21 Juil - 12:15 | |
| Salut Laurent. Les nouvelles se font plutôt rares ... Je suis bourré de boulôt en reconstruction d,un vieux campement de bucherons et je ne suis pas souvent sur l'ordi. Mais j'attends toujours ta suite. Ou en es-tu avec tout ça là ? @+ jal | |
|
| |
Contenu sponsorisé
| Sujet: Re: Section virus ou autres menace | |
| |
|
| |
| Section virus ou autres menace | |
|