[Résolu] Virus et Trojans après réinstall complète

[comval]

Salut tout le monde, et merci d'avance de votre aide!

Je travaille sur un PC HP, sous Win XP SP2.

 

J'ai décidé de faire un formatage afin de régler des problèmes de son et d'affichage.

 

Après formatage (en utilisant la partition system restore de HP) j'ai eu un mal fou à me reconnecter à internet en haut débit, un trojan me zappait systématiquement ma connection.

Ma solution a été de me connecter via un modem bas débit pour faire toutes les mises à jour de Windows sur Win Update.

Ceci fait, jai pu profiter de la connection à internet, mais je pense que le virus initial est toujours dans le dossier de restauration et je voudrais nettoyer au max l'ordi !

Merci d'avance si quelqu'un peut m'aider :

 

J'ai fait le tuto complet de pré-nettoyage du PC, je mets ci-dessous les logs de Antivir puis de HijackThis :

 

 

 

 

AntiVir PersonalEdition Classic

Report file date: mercredi 28 février 2007 10:19

 

Scanning for 686080 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: Propriétaire

Computer name: ORDI

 

Version information:

BUILD.DAT : 217 12749 Bytes 05/12/2006 17:00:00

AVSCAN.EXE : 7.0.3.5 208936 Bytes 28/02/2007 00:59:47

AVSCAN.DLL : 7.0.3.1 35880 Bytes 05/12/2006 16:00:22

LUKE.DLL : 7.0.3.2 143400 Bytes 31/10/2006 16:07:46

LUKERES.DLL : 7.0.2.0 9256 Bytes 05/12/2006 16:00:22

ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 15:30:06

ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23/02/2007 00:59:48

ANTIVIR2.VDF : 6.37.1.152 2048 Bytes 23/02/2007 00:59:48

ANTIVIR3.VDF : 6.37.1.172 58368 Bytes 27/02/2007 00:59:48

AVEWIN32.DLL : 7.3.1.38 2322944 Bytes 28/02/2007 00:59:48

AVPREF.DLL : 7.0.2.0 23592 Bytes 03/11/2006 10:53:44

AVREP.DLL : 6.37.1.100 1142824 Bytes 28/02/2007 00:59:48

AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30/03/2006 08:43:31

AVPACK32.DLL : 7.2.0.5 368680 Bytes 23/10/2006 15:21:31

AVREG.DLL : 7.0.1.2 30760 Bytes 28/02/2007 00:59:47

NETNT.DLL : No Information!

RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08/11/2006 12:26:26

RCTEXT.DLL : 7.0.12.1 77864 Bytes 05/12/2006 16:00:21

 

Configuration settings for the scan:

Jobname..........................: Manual Selection

Configuration file...............: C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: off

Scan boot sector.................: on

Boot sectors.....................: C:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Skipped archive types............: BSD Mailbox, Netscape/Mozilla Mailbox, Eudora Mailbox, Squid cache, Pegasus Mailbox, MS Outlook Mailbox,

Macro heuristic..................: on

File heuristic...................: high

Different risk categories........: +GAME,+JOKE,+PCK,+SPR,

 

Start of the scan: mercredi 28 février 2007 10:19

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Modules have been scanned

Scan process 'avcenter.exe' - '1' Modules have been scanned

Scan process 'explorer.exe' - '1' Modules have been scanned

Scan process 'svchost.exe' - '1' Modules have been scanned

Scan process 'svchost.exe' - '1' Modules have been scanned

Scan process 'svchost.exe' - '1' Modules have been scanned

Scan process 'lsass.exe' - '1' Modules have been scanned

Scan process 'services.exe' - '1' Modules have been scanned

Scan process 'winlogon.exe' - '1' Modules have been scanned

Scan process 'csrss.exe' - '1' Modules have been scanned

Scan process 'smss.exe' - '1' Modules have been scanned

11 processes with 11 modules were scanned

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( 17 files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\' <HP_PAVILION>

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\System Volume Information\_restore{845A621C-47AF-4FF1-980D-74451E21E351}\RP18\A0009594.exe

[DETECTION] Contains signature of the worm WORM/Sdbot.59356

[iNFO] The file was deleted!

 

 

End of the scan: mercredi 28 février 2007 11:14

Used time: 55:17 min

 

The scan has been done completely.

 

1819 Scanning directories

152180 Files were scanned

1 viruses and/or unwanted programs were found

1 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

1 Files cannot be scanned

152179 Files not concerned

11336 Archives were scanned

1 Warnings

0 Notes

 

 

 

Log HijackThis :

Logfile of HijackThis v1.99.1

Scan saved at 11:23:45, on 28/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\system32\pctspk.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\hp center\137903\Program\BackWeb-137903.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr3.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr3.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr3.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr3.hpwis.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1172605707998

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

 

 

Le 'KBD', les pages 'http://srch-fr3.hpwis.com' et le 'BackWeb-137903.exe' ne me semblent pas de bon augure !!

 

Merci d'avance de vos conseils

Modifié le 3 mars 2007 par comval

[bruce lee]

Bonjour comval,

 

Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8.
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
  

Déroule la liste des instructions ci-dessous :

• En mode sans échec, fais un clic droit sur le fichier SDFix.zip et choisis extraire tout,
  
• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
  
• Appuie sur Y pour commencer le script.
  
• Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  
• Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
  

N.B.: Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.

[comval]

Merci de ton aide BruceLee!

 

Comme demandé, ci-dessous le rapport SDFix puis un nouveau rapport HijackThis :

 

SDFix :

 

SDFix: Version 1.68

 

Run by Propri‚taire - 28/02/2007 @ 14:44:28,51

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\SDFix

 

Safe Mode:

Checking Services:

 

Name:

 

Path:

 

 

Restoring Windows Registry Entries

Restoring Default Hosts File

 

 

Rebooting...

 

Normal Mode:

Checking Files:

 

Below files will be copied to Backups folder then removed:

 

C:\WINDOWS\system32\i - Deleted

C:\WINDOWS\system32\TFTP1404 - Deleted

 

 

 

ADS Check:

 

C:\WINDOWS\system32

No streams found.

 

 

Final Check:

 

Remaining Services:

------------------

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\hp center\\137903\\Program\\BackWeb-137903.exe"="C:\\Program Files\\hp center\\137903\\Program\\BackWeb-137903.exe:*:Disabled:BackWeb-137903"

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

 

 

Remaining Files:

---------------

 

Backups Folder: - C:\SDFix\backups\backups.zip

 

 

Checking For Files with Hidden Attributes :

 

 

Add/Remove Programs List:

 

Adobe Acrobat 5.0

Avira AntiVir PersonalEdition Classic

hp center

FoneSync

Free - Kit de connexion

HijackThis 1.99.1

HSP56 World MicroModem Drivers

KBD

Mozilla Firefox (2.0.0.2)

NVIDIA Windows 2000/XP Display Drivers

PS2

Python 1.5 combined Win32 extensions

Python 1.5.2 (final)

S3 Gamma

S3 Savage4 Family Display Switch2 Utility

Shockwave

Adobe Flash Player 9 ActiveX

Studio

Tcl 8.0.5 for Windows

Windows XP Service Pack 2

Installation de Microsoft Works Suite 2001

Microsoft Word 2000 SR-1

Atlas mondial Microsoft Encarta 2001

Macro compl‚mentaire Microsoft Word pour Works Suite

OS Pack Works Suite

Connexion facile … Internet

Synchronisation de Works

Microsoft AutoRoute 2001

Microsoft Works 6.0

HP RecordNow

InterVideo WinDVD

Microsoft Money 2001

Microsoft Picture It! Photo 2001

 

Finished

 

 

HijackThis :

Logfile of HijackThis v1.99.1

Scan saved at 14:49:08, on 28/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\system32\pctspk.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\hp center\137903\Program\BackWeb-137903.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr3.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr3.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr3.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr3.hpwis.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1172605707998

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

 

Merci encore de ton aide !

[bruce lee]

Bonjour comval,

 

Fais un scan en ligne avec http://webscanner.kaspersky.fr/kavwebscan.html

 

dans la nouvelle fenetre qui s'affiche clique sur J'accepte

 

On va te demander de télécharger un ou deux contôle active x, accepte . Laisse le faire les mises à jour puis quand il aura finit clique sur Suivant

 

Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .

Le scan va commencer.Poste le rapport qui sera généré stp.

 

Si il y a un problème, assure toi que les contrôles active x soient bien configurés dans les options internet comme

 

décrit sur ce lien=> http://www.inoculer.com/activex.php3

 

NOTE: le scan est a faire avec Internet Explorer

[comval]

Salut,

 

Je ne parviens pas à faire le scan antivirus demandé.

Tous mes controles ActiveX sont bien activés et j'utilise IE pour cette analyse, mais quand je clique sur 'j'accepte', il m'indique en bas 'erreur sur la page' et rien ne se passe...

 

Y aurait-il un autre moyen?

Merci d'avance

[bruce lee]

Salut,

 

Essaye celui la:

 

http://www.pandasoftware.com/activescan/fr...n_principal.htm

tuto pour panda http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm

 

a la fin du scan tu cliques sur "consulter le rapport",tu le sauvegardes et tu le posts.

[comval]

Salut,

 

J'ai finalement réussi avec Kaspersky, en faisant les mises à jour Windows, le rapport ici :

 

Friday, March 02, 2007 9:22:39 PM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 2/03/2007

Enregistrements dans la base antivirus Kaspersky : 259946

 

 

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie vrai

 

Cible de l'analyse Poste de travail

A:\

C:\

D:\

E:\

 

Statistiques de l'analyse

Total d'objets analysés 45241

Nombre de virus trouvés 0

Nombre d'objets infectés 0 / 0

Nombre d'objets suspects 0

Durée de l'analyse 00:40:52

 

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Temp\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\Propriétaire\Cookies\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\Propriétaire\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Propriétaire\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\Propriétaire\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Program Files\hp center\137903\Users\Default\Data\chandir.dat L'objet est verrouillé ignoré

 

C:\Program Files\hp center\137903\Users\Default\Data\chandir.idx L'objet est verrouillé ignoré

 

C:\Program Files\hp center\137903\Users\Default\Data\chn.dat L'objet est verrouillé ignoré

 

C:\Program Files\hp center\137903\Users\Default\Data\chn.idx L'objet est verrouillé ignoré

 

C:\Program Files\hp center\137903\Users\Default\Data\D0000000.FCS L'objet est verrouillé ignoré

 

C:\Program Files\hp center\137903\Users\Default\Data\inuse.txt L'objet est verrouillé ignoré

 

C:\Program Files\hp center\137903\Users\Default\Data\L0000001.FCS L'objet est verrouillé ignoré

 

C:\Program Files\hp center\137903\Users\Default\Data\main.log L'objet est verrouillé ignoré

 

C:\Program Files\hp center\137903\Users\Default\Data\prs.dat L'objet est verrouillé ignoré

 

C:\Program Files\hp center\137903\Users\Default\Data\prs.idx L'objet est verrouillé ignoré

 

C:\Program Files\hp center\137903\Users\Default\Data\prs_die.dat L'objet est verrouillé ignoré

 

C:\Program Files\hp center\137903\Users\Default\Data\prs_die.idx L'objet est verrouillé ignoré

 

C:\Program Files\hp center\137903\Users\Default\Data\prs_dnd.dat L'objet est verrouillé ignoré

 

C:\Program Files\hp center\137903\Users\Default\Data\prs_dnd.idx L'objet est verrouillé ignoré

 

C:\Program Files\hp center\137903\Users\Default\Data\prs_ext.dat L'objet est verrouillé ignoré

 

C:\Program Files\hp center\137903\Users\Default\Data\prs_ext.idx L'objet est verrouillé ignoré

 

C:\Program Files\hp center\137903\Users\Default\Data\prs_rcv.dat L'objet est verrouillé ignoré

 

C:\Program Files\hp center\137903\Users\Default\Data\prs_rcv.idx L'objet est verrouillé ignoré

 

C:\Program Files\hp center\137903\Users\Default\Data\storydb.dat L'objet est verrouillé ignoré

 

C:\Program Files\hp center\137903\Users\Default\Data\storydb.idx L'objet est verrouillé ignoré

 

C:\System Volume Information\_restore{845A621C-47AF-4FF1-980D-74451E21E351}\RP20\change.log L'objet est verrouillé ignoré

 

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

 

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\CatRoot2\edb.log L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\config\AppEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\config\default L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\config\default.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\config\SAM L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\config\SAM.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\config\SecEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\config\SECURITY L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\config\SECURITY.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\config\software L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\config\software.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\config\SysEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\config\system L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\config\system.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\h323log.txt L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

 

C:\WINDOWS\SYSTEM32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

 

Analyse terminée.

[bruce lee]

Re,

 

Le rapport est clean

 

As tu encore des problemes avec ton PC?

[comval]

Salut,

 

Apparemment, je ne rencontre plus de problèmes pour naviguer !

Est-ce que "BackWeb-137903.exe" et "http://srch-fr3.hpwis.com/" ne sont pas des virus ou des spywares??

Si non, alors je pense que tout est clean !!!

 

Je passe en résolu dans le sujet quand tu m'as dit ok!!

 

Merci beaucoup de ton aide et bon week-end !!

[bruce lee]

Re,

 

non ce n'est pas des bestioles.

 

content que tu n'es plus de problemes

 

Pense a mettre la question en resolu, pour se faire tu edites ton

titre (premier message) et tu mets devant [résolu]

 

***

 

- Windows Update parfaitement à jour (catégories critique, Services Pack et Services Release)

- pare-feu bien paramétré

- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)

- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

- scan hebdomadaire antispyware

- un contôle régulier de la console JAVA pour s'assurer qu'elle est à jour

Pour en savoir plus, consulte la page de Ipl_001 : http://IPL001.free.fr/IT/IT-AM0.html

 

***

 

1)- Voici les utilitaires et programmes que tu peux installer pour sécuriser ton PC :

 

 

Navigateurs

• => Firefox, un vrai navigateur que tu pourras sécuriser avec les conseils de Megataupe :
  - Téléchargement :

http://www.mozilla-europe.org/fr/products/firefox/
- Tutorial : http://forum.zebulon.fr/index.php?showtopic=69628
Je te le recommande vivement !
 
=> Opera
- Téléchargement : http://www.opera.com/download/
- Tutorial par Pitcat : http://speedweb1.ovh.org/forum-tesgaz/view...ae5af52b512dbab
- Fonctionnalitées et Astuces par Lordtoniok : http://forum.zebulon.fr/index.php?showtopic=73742
 
Si tu veux toujours utiliser IE ! :
 
=> IE-SPYAD : (ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu atterris sur un site douteux)
Pour Internet Explorer uniquement ! (une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg : les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit !)
- Téléchargement : http://www.spywarewarrior.com/uiuc/resource.htm

 

Sécurisation des ports

• => ZebProtect (pour sécuriser les ports de ton PC, très simple) :
  - Téléchargement :

http://telechargement.zebulon.fr/123.html
- Tutorial par Tesgaz : http://www.zebulon.fr/articles/zebprotect.php
 
=> Si tu veux tester ton firewall :
- scanner les ports du PC : http://www.pcflank.com/

 

Sécurisation de la navigation

• => SpywareBlaster :
  - Téléchargement :

http://www.javacoolsoftware.com/downloads.html
- Tutorial : http://www.ordi-netfr.org/tutorialspywareblaster.php
Freeware permettant d'empêcher l'installation de spywares (logiciels espions) et autres adwares (insertion de publicité) sur ton PC. Contrairement à des logiciels comme Spybot - Search & Destroy ou Ad-aware, SpywareBlaster est un logiciel préventif qui est surtout utile pour Internet Explorer
 
=> Le fichier Hosts :
Souvent négligé par les internautes, il est pourtant très recommandé de savoir l'exploiter.
- Télécharger le fichier Hosts de Tesgaz régulièrement mis à jour : http://speedweb1.free.fr/download/secu/hosts.ZIP
- Télécharger les listes hosts du forum Assiste.com par Pierre Pinard : http://assiste.forum.free.fr/viewtopic.php?t=11318
- Explications sur le Hosts : http://speedweb1.free.fr/frames2.php?page=securite10
- Conversations sur le Hosts sur Zebulon : http://forum.zebulon.fr/index.php?showtopic=88615

Verifie si ta console Java est à jour:

 

Java Sun et télécharge la dernière version (si ta version actuelle n'est pas à jour)

 

Après installation et redémarrage (toujours si elle n'etait pas à jour), va dans panneau de configuration/Ajouter-Supprimer des programmes afin de désinstaller l'ancienne version, ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version.

 

Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

 

En cas de problèmes chez Sun, tu peux aller télécharger la dernière version chez File Hippo

 

canned fait par liegeois

 

 

Outils de détection et de désinfection non résidents

• => Ad-Aware SE de Lavasoft :
  - Téléchargement :

http://www.ordi-netfr.com/adawarese.html
- Téléchargement 2 : http://www.lavasoft.de/support/download/#free
- Tutorial : http://home.tiscali.be/schouppeguy/adawarese/adawase.htm
- Tutorial 2 par Patarien : http://tutopat.hostonet.org/viewtopic.php?t=207
 
 
=>AVG anti-spyware :
- Téléchargement : http://download.grisoft.cz/softw/70/filedi..._4.0.0.172a.exe
- Tutorial par Malekal_morte :
AVG anti-spyware est un antimalware très efficace. Certaines fonctions ne sont gratuites que 30 jours, mais il est très performant en analyse en mode sans échec.

 

Contrôleurs d'intégrité - Résidents / pour utilisateurs avancés

• =>Winpooch projet Opensources :
  - Téléchargement : http://winpooch.free.fr/page/home.php?lang=fr&page=home
  - Conversation sur Zebulon par Jack Burton :

http://forum.zebulon.fr/index.php?showtopi...amp;hl=Winpooch
 
=>WinPatrol de BillP Studios :
- Téléchargement : http://www.winpatrol.com/download.html
- Tutorial par Krigou : http://www.libellules.ch/weblog/comments.php?id=46_0_1_0_C
 
=>ProcessGuard de DiamondCS :
- Téléchargement : http://www.diamondcs.com.au/processguard/i...p?page=download
- Conversation sur Zebulon par Megataupe : http://forum.zebulon.fr/index.php?showtopic=66717
- tutorial par Odsen : http://benoit.aun.free.fr/securite-facile-...rocessguard.php
 
=>Icesword - IDS de la Xfocus Team :
- Téléchargement : http://www.open-files.com/forum/index.php?...st&p=459692
- tutorial par Txon : http://www.open-files.com/forum/index.php?showtopic=29383
- Tutorial sur Zebulon par Horus Agressor : http://forum.zebulon.fr/index.php?showtopic=96713

 

 

2)- Les utilitaires pour nettoyer le PC :

• => EasyCleaner de Toni Helenius :
  - Téléchargement :

http://personal.inet.fi/business/toniarts/ecleane.htm
- Tutorial - temporaires par DarkBG : http://www.uptoopc.net/nettoyer/temporaires.php
- Tutorial - registre : http://www.uptoopc.net/nettoyer/registre.php
- Tutorial - autres fonctions : http://www.uptoopc.net/nettoyer/autresfonctions.php
Easy cleaner est un utilitaire de nettoyage.
 
=> ATF Cleaner de Atribune :
- Téléchargement : http://www.atribune.org/ccount/click.php?id=1
- Tutorial par Lomaster : http://lomaster.freehostia.com/atfcleaner.html
 
=> JV16 :
- Téléchargement : http://telechargement.zebulon.fr/201-jv16-powertools.html
- Tutorial par Tesgaz : http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

3)- Pour aller plus loin dans l'optimisation et la sécurisation - quelques pistes par Tesgaz :

• =>Configurez vos services :
  

http://speedweb1.free.fr/frames2.php?page=service3
http://speedweb1.free.fr/frames2.php?page=service4
 
=>Optimiser la protection de son PC pour Internet en toute sécurité :
http://speedweb1.free.fr/frames2.php?page=securite1
 
=>Autorisation et restriction des Dossiers et fichiers avec NTFS :
http://speedweb1.free.fr/frames2.php?page=securite4
 
=>Améliorer votre sécurité grâce aux restrictions :
http://speedweb1.free.fr/frames2.php?page=securite6
 
=>Les mots de passe :
http://speedweb1.free.fr/frames2.php?page=securite7

 

 

4)- Pour finir, il y a possibilité de réagir et de faire avancer les choses au niveau de la lutte antimalware :

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5

- Après t'être enregistré à l'aide du bouton en haut register

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

---> http://www.malwarecomplaints.info/viewforum.php?f=10

 

Plus d'info sur MalwareComplaints ici : http://forum.zebulon.fr/index.php?showtopic=88688

canned de Malekal_morte : http://www.malekal.com/

 

Plus d'info sur le topic d'Ipl_001 ici (merci à Kimberly!!) =>

http://forum.zebulon.fr/index.php?showtopic=88688

 

 

J'espère t'avoir été assez clair, et je reste à ta disposition si tu as une question sur ce que je viens de te recommmander. Tu as beaucoup d'informations d'un coup, prends le temps de les digérer. Zebulon est une mine d'informations concernant l'optimisation, la sécurisation et la prévention, il ne faut pas hésiter à y poser des questions.

• Pense à éditer ton premier post pour rajouter "Résolu" dans le titre. Pour cela clique sur "Editer" à la gauche de " Citer " et "Répondre " sur le tout premier post du sujet, puis sélectionne "édition complète". Tu pourras alors changer le titre et y rajouter " Résolu".
  

 

A bientot sur les forums de