trojan - au secours - Sécurité - Windows & Software
Marsh Posté le 04-07-2006 à 19:06:25
bonsoir
et où en sont tes problèmes, maintenant que tu as abattu 95% du boulot ?
Marsh Posté le 04-07-2006 à 22:26:06
bonsoir,
merci de m'avoir répondu
eh bien je peux manier IE comme je veux (les options comme la page d'accueil fonctionnent de nouveau)
mais le pc est toujours très lent. Sais-tu comment je peux vérifier que je suis bien débarassée de cette saleté ?
merci encore
Marsh Posté le 04-07-2006 à 23:17:15
Bonjour, vu tout les progs qui se lancent au boot, ca ne m'étonne pas, télécharges ewido et poste un log de scan
Marsh Posté le 04-07-2006 à 23:18:38
panneau de configuration / options internet -> "supprimer les fichiers", "supprimer les cookies"
puis poste un rapport Panda
http://www.pandasoftware.com/activ [...] ncipal.htm (il faut utiliser internet explorer)
"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.
Marsh Posté le 05-07-2006 à 00:35:57
eZula,
voila le rapport de Panda ci-dessous
Med 365, je m'y mets - mais une question:
ewido, Panda, HiJackthis, SmitFraud... et Kaspersky que j'ai acheté et bien installé: ne doublonnent-ils pas ? je m'y perds !
Marsh Posté le 05-07-2006 à 00:36:18
rapport PANDA:
Incident Statut Analyse
Adware:adware/emediacodec No Désinfecté c:\program files\Media-Codec
Adware:adware/xpasswordmanager No Désinfecté Registre Windows
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Anne Hanoteau\Bureau\SmitfraudFix\SmitfraudFix\Process.exe
Virus:W32/Bagle.pwdzip Désinfecté C:\Documents and Settings\Anne Hanoteau\Bureau\SmitfraudFix.zip
Marsh Posté le 05-07-2006 à 01:23:25
Panda est facilement désinstallable
Supprime ce dossiers :
c:\program files\Media-Codec
C:\Documents and Settings\Anne Hanoteau\Bureau\SmitfraudFix
et vide la corbeille
est-ce que tu penses que ton pb est réglé à présent ?
Marsh Posté le 05-07-2006 à 01:42:07
Voici aussi le scan ewido:
---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------
+ Created at: 01:37:10 05/07/2006
+ Scan result:
C:\Program Files\Media-Codec -> Trojan.Small : No action taken.
C:\Program Files\Media-Codec\uninst.exe -> Trojan.Small : No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\\kernel32.dll -> Trojan.Small : No action taken.
::Report end
ça n'a pas l'air résolu... chaque scan me dit qu'il reste un trojan
Marsh Posté le 05-07-2006 à 01:42:58
oups pardon j'avais mal lu ton conseil suite à scan Panda - je fais ça tout de suite - merci
Marsh Posté le 05-07-2006 à 01:45:05
si tu n'as pas saisi mon dernier message, en gros il dit que
- le dossier c:\program files\Media-Codec est hostile -> il faut donc le supprimer
-il y a une trace de adware/xpasswordmanager dans ton registre, mais ce n'est pas bien méchant (en outre, il ne donne pas le chemin de la clé, c'est une grande faiblesse de Panda, ça)
- ensuite il te dit que le dossier smitfraudfix contient un fichier potentiellement dangereux, process.exe. Ce fichier n'est pas dangereux en réalité, il est nécessaire pour que le Fix fasse ses suppressions tranquillement. De toutes façons, supprime ce dossier quand même car cet utilitaire est mis à jour très souvent.
Marsh Posté le 05-07-2006 à 01:47:29
est-ce que je peux creuser le pb adware/xpasswordmanager avec un autre anti spyware ? par exemple ewido ?
sinon j'ai bien supprimé SmitFraudfix (néanmoins tu me confirmes que c'est bien SmitFraudFix qui m'a supprimé la majeure partie du pb au début? que SmitFraudFix c'était bien un "ami"?)
Marsh Posté le 05-07-2006 à 01:51:29
Citation : néanmoins tu me confirmes que c'est bien SmitFraudFix qui m'a supprimé la majeure partie du pb au début? que SmitFraudFix c'était bien un "ami"? |
oui oui tout à fait, cet utilitaire est tout sauf dangereux.
En fait je pense que Ewido donne le chemin du malware dans le registre
démarrer/exécuter, tape regedit
va à la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
dans le panneau de droite, supprime la valeur "kernel32.dll"
Marsh Posté le 05-07-2006 à 02:17:14
dans cette clé je ne trouve pas kernel32.dll
je n'y vois que:
(par defaut) (valeur non définie)
dcomcfg.exe
regperf.exe
Marsh Posté le 05-07-2006 à 02:19:31
par contre je trouve kernel32.dll dans c:\windows\system32
ce qui est normal, non??
Marsh Posté le 05-07-2006 à 02:22:27
supprime ces deux valeurs à cette clé de registre
dcomcfg.exe
regperf.exe
par contre le fichier kernel32.dll dans c:\windows\system32 est légitime, n'y touche pas.
Marsh Posté le 05-07-2006 à 02:28:38
ok merci - peux-tu m'expliquer en 2 mots ce que sont dcomcfg.exe et regperf.exe ??
Marsh Posté le 05-07-2006 à 02:31:56
ces deux fichiers appartiennent à cette famille de faux utilitaires de sécurité qui détournent les pages internet, ou provoquent ces faux messages d'alerte dont tu as fait les frais.
Ils sont détectés par le SmitfraudFix (qui est l'utilitaire par excellence ppour ce genre d'infection), d'ailleurs tu peux voir ici tout ce qu'il supprime http://siri.urz.free.fr/Fix/ChangeLog.php
Marsh Posté le 05-07-2006 à 02:34:35
ok merci beaucoup
incroyable: pendant qu'on parlait, regperf.exe a disparu (tout seul) et à la place je vois wininet.dll
dcomcfg.exe est toujours là.
Je supprime aussi dcomcfg.exe et wininet.dll ??
Marsh Posté le 05-07-2006 à 02:38:37
relance quand même le SmitfraudFix option 1, c'est bizarre tout ça
Marsh Posté le 05-07-2006 à 02:51:59
voici le rapport:
SmitFraudFix v2.67
Rapport fait à 2:51:37,04, 05/07/2006
Executé à partir de C:\Documents and Settings\Anne Hanoteau\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Anne Hanoteau\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ANNEHA~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Marsh Posté le 05-07-2006 à 02:53:32
merci d'avoir été là si tard.... à bientôt et bonne nuit :-)
Marsh Posté le 05-07-2006 à 19:09:47
Salut, ne supprime pas le fichier Process.exe du dossier smitfraudfix, il est détecté comme application à risque par certains progs de secu car il pourrait servir à désactiver les systemes de protection.
Marsh Posté le 06-07-2006 à 01:49:08
ok med365 - et merci à tous
une toute dernière question: les derniers rapports que j'ai posté montrent bien que le pc n'est plus infecté, n'est-ce pas ?
merci
Marsh Posté le 06-07-2006 à 09:10:05
bonjour
à partir du moment où tu n'as plus besoin du SmitfraudFix, tu peux supprimer son dossier (et donc process.exe)
apparemment tout a l'air ok. Mais si tu veux tu peux refaire un dernier scan Panda.
Marsh Posté le 07-07-2006 à 10:42:08
horreur - nouveau scan panda annonce 1 virus, 13 objets malveillant et 1 trojan...
Incident Statut Analyse
Adware:adware/emediacodec No Désinfecté Registre Windows
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Anne Hanoteau\Application Data\Mozilla\Firefox\Profiles\245n8k2h.default\cookies.txt[.xiti.com/]
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Anne Hanoteau\Application Data\Mozilla\Firefox\Profiles\245n8k2h.default\cookies.txt[.weborama.fr/]
Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\Anne Hanoteau\Application Data\Mozilla\Firefox\Profiles\245n8k2h.default\cookies.txt[.247realmedia.com/]
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Anne Hanoteau\Application Data\Mozilla\Firefox\Profiles\245n8k2h.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Anne Hanoteau\Application Data\Mozilla\Firefox\Profiles\245n8k2h.default\cookies.txt[.atdmt.com/]
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Anne Hanoteau\Application Data\Mozilla\Firefox\Profiles\245n8k2h.default\cookies.txt[.bluestreak.com/]
Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\Anne Hanoteau\Cookies\anne hanoteau@247realmedia[1].txt
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Anne Hanoteau\Cookies\anne hanoteau@atdmt[2].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Anne Hanoteau\Cookies\anne hanoteau@bluestreak[1].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Anne Hanoteau\Cookies\anne hanoteau@doubleclick[2].txt
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Anne Hanoteau\Cookies\anne hanoteau@weborama[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Anne Hanoteau\Cookies\anne hanoteau@xiti[1].txt
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Anne Hanoteau\Mes documents\PC & Internet\SmitfraudFix\SmitfraudFix\Process.exe
Virus:W32/Bagle.pwdzip Désinfecté C:\RECYCLER\S-1-5-21-1179001135-1024208226-3939802731-1006\Dc1.zip
Marsh Posté le 08-07-2006 à 10:01:06
Salut, il serait préférable que tu effetues cette manip en mode sans échecs :
1/ vide les cookies, l'historique et le cache internet
2/ Vide la corbeille
3/ Fait démarrer/éxécuter et tapes Regsvr32 /u wininet.dll
@+
Marsh Posté le 09-07-2006 à 00:23:57
salut, j'ai fait 1/2/3/ malheureusement le message est:
'Wininet.dll a été chargé mais le point d'entrée DllUnregisterServer est introuvable. Ce fichier ne peut pas être enregistré.
Marsh Posté le 09-07-2006 à 11:55:55
ReplyMarsh Posté le 09-07-2006 à 13:57:48
salut
med365 a écrit : Salut, éssaies comme ca : |
quel est l'intérêt de cette manip ?
Marsh Posté le 09-07-2006 à 14:11:29
Essayer de virer les entrées wininet du registre, si ca foire on verra avec JV16 peut etre
Marsh Posté le 09-07-2006 à 23:33:18
on me demande d'"Ouvrir avec"... et de choisir un programme... kezako ?
Marsh Posté le 10-07-2006 à 00:19:33
bonsoir
télécharge RegSearch http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Dézippe-le sur ton bureau.
Double-clique sur le fichier .vbs et dans la petite boite de dialogue entre ce terme :
mediacodec
Clique "ok" et patiente. Quand il a terminé, le bloc-notes va s'ouvrir avec les résultats de la recherche dans le registre, poste son contenu
Puis recommence avec ces 3 noms :
atmclk
dcomcfg
regperf
Marsh Posté le 11-07-2006 à 02:51:39
search completed in 30 seconds. No instances of 'mediacodec' found.
search completed in 29 seconds. No instances of 'atmclk' found.
search completed in 29 seconds. No instances of 'dcomcfg' found.
search completed in 29 seconds. No instances of 'regperf' found.
Marsh Posté le 11-07-2006 à 02:53:07
????????????
Marsh Posté le 11-07-2006 à 02:54:13
que fait-on Docteur ?
Marsh Posté le 11-07-2006 à 18:14:00
où en sont tes pbs ?
une nouvelle version de smitfraudfix est sortie, ce serait peut etre une bonne occasion de la tester
option 1 -> poste le rapport, pour voir
Marsh Posté le 11-07-2006 à 19:10:59
Salut, on dirait qu'il n'y a plus de trace de regperf mais que ca s'est changé en cette dll wininet, recherche dans le registre avec.
eZula ? Media Gateway d'apres toi ?
Marsh Posté le 04-07-2006 à 18:43:10
Hello hello, .... et au secours !!
j'ai choppé la même un saleté de trojean que tof007 (obligée de demarrer ma page internet par www.sysnetsecurity.com au lieu de google comme spécifié dans l'option de IE). De temps en temps j'ai des pages internet qui s'ouvrent toutes seules et des icones qui apparaissent en bas à droite de XP qui me disent que mon PC est infecté de pop up. Mon PC rame etc.
j'ai commencé à suivre la procédure conseillée par the bruce lee à tof007, mais comme je suis assez naze en informatique, j'ai peur de faire plus de mal que de bien à mon pauvre pc, si je la mène jusqu'au bout alors qu'elle ne correspond par exactement à ma cochonnerie de trojan...
Si quelqu'un avait la gentillesse de me dire ce que je dois faire.... je lui serai éternellement reconnaissante !!
j'ai lancé mon appel au secours à the bruce lee, mais au cas où il soit en vacances ou ai autre chose à faire que sauver tout le monde... svp le premier qui a 10 minutes pour moi.................
MERCI !!!
voici les rapports
hijackthis tout d'abord:
Logfile of HijackThis v1.99.1
Scan saved at 04:23:28, on 04/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\ICO.EXE
C:\Program Files\Sony\VAIO Camera Utility\VCUServe.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Program Files\Sony\ISB Utility\ISBMgr.exe
C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Sony\VAIO Camera Utility\VCUSet.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ANNEHA~1\LOCALS~1\Temp\Rar$EX00.594\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.com/fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\system32\hp100.tmp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [VAIOCameraUtility] "C:\Program Files\Sony\VAIO Camera Utility\VCUServe.exe"
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [VAIO Update 2] "C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/fr/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - https://extranet.accetys.com/Remote/msrdp.cab
O16 - DPF: {FA9740A2-5802-42E2-B509-81186EEB3C42} (WABControl Class) - http://www.linkedin.com/cab/wabctrl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Program Files\Sony\Image Converter 2\IcVzMon.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Unknown owner - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-IntegratedServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\IntegratedServer\HTTP (file missing)
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Unknown owner - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe" /Service=VAIOMediaPlatform-Mobile-Gateway /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Addons\Packages\Mobile\Gateway" /DisplayName="VAIO Media Gateway Server (file missing)
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Program Files\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
puis smitfraudfix en mode sans échec:
SmitFraudFix v2.67
Rapport fait à 16:19:50,25, 04/07/2006
Executé à partir de C:\Documents and Settings\Anne Hanoteau\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\atmclk.exe PRESENT !
C:\WINDOWS\system32\dcomcfg.exe PRESENT !
C:\WINDOWS\system32\hp???.tmp PRESENT !
C:\WINDOWS\system32\hp????.tmp PRESENT !
C:\WINDOWS\system32\ld???.tmp PRESENT !
C:\WINDOWS\system32\ld????.tmp PRESENT !
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\regperf.exe PRESENT !
C:\WINDOWS\system32\simpole.tlb PRESENT !
C:\WINDOWS\system32\stdole3.tlb PRESENT !
C:\WINDOWS\system32\ts.ico PRESENT !
C:\WINDOWS\system32\1024\ PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Anne Hanoteau\Application Data
puis smitfraudfix en mode nettoyage:
SmitFraudFix v2.67
Rapport fait à 16:48:00,34, 04/07/2006
Executé à partir de C:\Documents and Settings\Anne Hanoteau\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\WINDOWS\system32\atmclk.exe supprimé
C:\WINDOWS\system32\dcomcfg.exe supprimé
C:\WINDOWS\system32\hp???.tmp supprimé
C:\WINDOWS\system32\ld???.tmp supprimé
C:\WINDOWS\system32\ot.ico supprimé
C:\WINDOWS\system32\regperf.exe supprimé
C:\WINDOWS\system32\simpole.tlb supprimé
C:\WINDOWS\system32\stdole3.tlb supprimé
C:\WINDOWS\system32\ts.ico supprimé
C:\WINDOWS\system32\1024\ supprimé
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
A TRES TRES BIENTOT J'ESPERE
Message édité par pouloua le 23-07-2006 à 01:55:24