rapports hijack et antivir

[GeLLuP]

je suis sur mon pc portable du boulot en effet... je n'ai pas été sur le réseau d'entreprise depuis mardi dernier... je regarde tout ca en fin de journée, desolé je doit y aller... merci

[Malekal_morte]

Ben l'infection (j'entends la dernière, pas celle de ndis.sys) en soit, elle est très facile à supprimer.

Le problème c'est qu'elle va certainement revenir.

 

Elle va revenir surement car tu as des utilisateurs Windows sans mots de passe.. Tu te connectes sur le réseau et une machine infectée va copier sur tes dossiers partagés un setup.exe.. Tu l'executes et pouf infection..

Si tu n'es pas allé à ton entreprise, cela a pu venir d'internet ou.. d'un ordinateur en réseau si tu as branché ton portable sur un réseau (chez toi ou un ami).

 

Donc là ce que tu peux faire, c'est de suivre les recommandations du liens que je t'ai données sur ce lien : http://www.malekal.com/Trojan-Proxy.Win32.Horst.php

à savoir enlever le partage des exceptions du pare-feu Windows.. le partage ne sera plus possible et il sera donc impossible de déposer le setup.exe

Par contre, ça signifie qu'à ton entreprise, tu ne pourras plus accéder aux dossiers partagés des autres ordinateurs (et inversement) donc ça peut être génant.

 

Au pire, si tu ne le fais pas, tu vas avoir des setup.exe qui vont se mettre sur les partages donc soit mes documents, soit C:\

Si tu ne l'executes pas.. ça ira bien...

 

M'enfin si tu as un responsable informatique dans ton entreprise et que ce portable appartient à ton entreprise, il serait bon qu'il jète un peu un coup d'oeil à la configuration des utilisateurs de ton poste, il doit y en avoir sans mot de passe..

 

D'autre part, tu ne sembles pas avoir d'antivirus.. ce qui est mal très mal...

car si tu en avais eu un... tu n'aurais pas pu lancer le setup.exe et donc tu n'aurait pas eu cette dernière infection.

 

Donc pour supprimer l'infection, il suffit de relancer SDFix.

 

[*]Redémarre ton ordinateur

[*]Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).

[*]A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.

[*]Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".

[*]Choisis ton compte.

 

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  
• Appuie sur Y pour commencer le processus de nettoyage.
  
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
  

Redémarre l'ordinateur

 

Télécharge & installe Antivir : http://www.malekal.com/tutorial_antivir.php

 

-- Copie/Colle ici les rapports :

- SDfix

- ainsi qu'un nouveau log HiJackThis

[GeLLuP]

en effet, mon pc demarre sans problemes depuis que tu ma fait faire tous ces trucs...

en fait, je n'ai pas de mot de passe sur le pc, mais je suis le seul a l'utiliser, par contre il y a bien un anti virus (trend micro) donc bizarre.... est il vraiment fiable ?

bon je vais suivre tes dernieres instructions et je scan tout ca...

merci encore pour ton implication dans mon probleme

 

 

donc voila les scans demandés:

 

sdfix :

 

SDFix: Version 1.79

 

Run by Administrateur - 22/04/2007 - 20:30:17,43

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\DOCUME~1\ADMINI~1\Bureau\SDFix

 

Safe Mode:

Checking Services:

 

 

 

 

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

 

Rebooting...

 

Normal Mode:

Checking Files:

 

Below files will be copied to Backups folder then removed:

 

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\autorun.inf - Deleted

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\setup.exe - Deleted

C:\WINDOWS\system\smss.exe - Deleted

 

 

 

Removing Temp Files

 

ADS Check:

 

Checking if ADS is attached to system32 Folder

C:\WINDOWS\system32

No streams found.

 

Checking if ADS is attached to svchost.exe

C:\WINDOWS\system32\svchost.exe

No streams found.

 

 

 

Final Check:

 

Remaining Services:

------------------

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Symantec\\pcAnywhere\\awhost32.exe"="C:\\Program Files\\Symantec\\pcAnywhere\\awhost32.exe:*:Disabled:pcAnywhere Host Service"

"C:\\Program Files\\ThinPrint Client\\Thnclnt32.exe"="C:\\Program Files\\ThinPrint Client\\Thnclnt32.exe:*:Enabled:ThinPrint Client 32"

"C:\\WINDOWS\\SYSTEM32\\FTP.EXE"="C:\\WINDOWS\\SYSTEM32\\FTP.EXE:*:Enabled:Logiciel de transfert de fichiers"

"D:\\Partage\\Puissance.exe"="D:\\Partage\\Puissance.exe:*:Enabled:Puissance"

"D:\\Seb\\Divers\\Mé docs\\Conneries\\Jeux\\Puissance.exe"="D:\\Seb\\Divers\\Mé docs\\Conneries\\Jeux\\Puissance.exe:*:Enabled:Puissance"

"C:\\Program Files\\Wolfenstein - Enemy Territory\\ET.exe"="C:\\Program Files\\Wolfenstein - Enemy Territory\\ET.exe:*:Enabled:ET"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"

"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe:*:Enabled:Logitech Desktop Messenger"

"C:\\Program Files\\Wolfenstein - Enemy Territory\\ETDED.exe"="C:\\Program Files\\Wolfenstein - Enemy Territory\\ETDED.exe:*:Enabled:ETDED"

"C:\\Program Files\\Wolfenstein - Patch 2.60\\ETDED.exe"="C:\\Program Files\\Wolfenstein - Patch 2.60\\ETDED.exe:*:Enabled:ETDED"

"C:\\Program Files\\Wolfenstein - Patch 2.60\\ET.exe"="C:\\Program Files\\Wolfenstein - Patch 2.60\\ET.exe:*:Enabled:ET"

"C:\\Program Files\\NetMeeting\\CONF.EXE"="C:\\Program Files\\NetMeeting\\CONF.EXE:*:Enabled:Windows® NetMeeting®"

"C:\\WINDOWS\\SYSTEM32\\[Emoticons-plus.com] Winkaa 1.0.exe"="C:\\WINDOWS\\SYSTEM32\\[Emoticons-plus.com] Winkaa 1.0.exe:*:Enabled:[Emoticons-plus.com] Winkaa 1.0"

"C:\\Program Files\\TYPSoft FTP Server\\ftpserv.exe"="C:\\Program Files\\TYPSoft FTP Server\\ftpserv.exe:*:Enabled:TYPSoft FTP Server"

"C:\\Program Files\\Xfire\\Xfire.exe"="C:\\Program Files\\Xfire\\Xfire.exe:*:Enabled:Xfire"

"C:\\Program Files\\Thomson SpeedTouch\\ST330\\service\\st330service.exe"="C:\\Program Files\\Thomson SpeedTouch\\ST330\\service\\st330service.exe:*:Enabled:ST330 service"

"C:\\Program Files\\mIRC\\mirc.exe"="C:\\Program Files\\mIRC\\mirc.exe:*:Enabled:mIRC"

"D:\\Divers\\Mé docs\\Jeux\\Puissance.exe"="D:\\Divers\\Mé docs\\Jeux\\Puissance.exe:*:Enabled:Puissance"

"C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"="C:\\Program Files\\Freeplayer\\vlc\\vlc.exe:*:Enabled:VLC media player"

"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"="C:\\Program Files\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Program Files\\MyFreeTV\\MyFreeTV.exe"="C:\\Program Files\\MyFreeTV\\MyFreeTV.exe:*:Enabled:MyFreeTV"

"C:\\Program Files\\Caplio Software\\RGateLXP.exe"="C:\\Program Files\\Caplio Software\\RGateLXP.exe:*:Enabled:RICOH Gate La for DSC"

"C:\\WINDOWS\\SYSTEM32\\RTCSHARE.EXE"="C:\\WINDOWS\\SYSTEM32\\RTCSHARE.EXE:*:Enabled:Partage de l'application RTC"

"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"

"C:\\Program Files\\freeBrowser\\freeBrowser\\freeBrowser.exe"="C:\\Program Files\\freeBrowser\\freeBrowser\\freeBrowser.exe:*:Enabled:FreeBrowser"

"C:\\Program Files\\freeBrowser\\vlc\\vlc.exe"="C:\\Program Files\\freeBrowser\\vlc\\vlc.exe:*:Enabled:VLC media player"

"C:\\Program Files\\SmartFTP Client 2.0\\SmartFTP.exe"="C:\\Program Files\\SmartFTP Client 2.0\\SmartFTP.exe:*:Enabled:SmartFTP Client 2.0"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\WINDOWS\\Explorer.EXE"="C:\\WINDOWS\\Explorer.EXE:*:Enabled:Explorer"

"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\74exinjs.a6.exe"="C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\74exinjs.a6.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\52exinjs.a6.exe"="C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\52exinjs.a6.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\62exinjs.a6.exe"="C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\62exinjs.a6.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\64exinjs.a6.exe"="C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\64exinjs.a6.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\79exinjs.a6.exe"="C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\79exinjs.a6.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\98exinjs.a6.exe"="C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\98exinjs.a6.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\19exinjs.a6.exe"="C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\19exinjs.a6.exe:*:Enabled:Microsoft Update"

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

 

Remaining Files:

---------------

 

Backups Folder: - C:\DOCUME~1\ADMINI~1\Bureau\SDFix\backups\backups.zip

 

Checking For Files with Hidden Attributes:

 

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\[email protected]\Sharing Folders\[email protected]\Thumbs.db

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\[email protected]\Sharing Folders\[email protected]\Thumbs.db

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\[email protected]\Sharing Folders\[email protected]\Thumbs.db

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Outlook Express\MSIMN.EXE

C:\tvvjawvh.sys

C:\WINDOWS\SYSTEM32\2000BEC469.sys

C:\WINDOWS\SYSTEM32\69C4BE0020.sys

C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp

 

Finished

 

 

Hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 20:43:35, on 22/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe

C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe

C:\WINDOWS\system32\basfipm.exe

C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe

C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe

C:\WINDOWS\TEMP\WYA088.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe

C:\Program Files\Trend Micro\OfficeScan Client\pccntupd.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program Files\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://applications.norisko

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://applications.norisko

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par NORISKO

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxyconf.norisko/proxy/config.pac

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [intelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - Global Startup: ThinPrint Client.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.fr/startpage/dialup/fr/

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gellup.spaces.live.com//PhotoUpload/MsnPUpld.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll

O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Service Elève pcAnywhere (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe

O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe

O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe

O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

 

 

merci

Modifié le 22 avril 2007 par GeLLuP

[Malekal_morte]

Ce serait bien de poster le rapport SDFix stp ainsi que le rapport HijackThis pour être certains que tu n'aies plus d'infection.

 

Je sais pas qui gère cet ordinateur, toi ou le responsable informatique de ta société mais les conseils que je puisse te donner sont :

- mettre un mot de passe sur les utilisateurs car là tu es vraiment vulnérable.

- Pour trend-micro.. il a pas l'air d'avoir trop réagi.. Antivir est un antivirus gratuit que je te conseille.

Maintenant je sais pas si tu as le droit de faire sans en parler au responsable informatique.

 

Merci de poster les rapports stp.

[GeLLuP]

re

j'ai inserer les rapports dans l'autre post, dsl

pour le mot de passe, je m'en charge de suite par contre en ce qui concerne antivir, je n'ai malheureusement pas le droit de l'installer (en theorie) mais bon, vu la protection qu'offre trend micro, je vais peut etre prendre le risque....

[Malekal_morte]

Oula.. je suis fatigué.. je sais pas ce que j'ai fabriqué je croyais que c'était d'ancien rapport.

Ca semble OK pour les infections.

Si tu vois un fichier setup.exe sur C:\ ou dans tes documents tu ne l'ouvres surtout pas.

 

Si tu as bien suivi les manips pour le parefeu, ils ne reviendront pas.. mais tu ne pourras pas accéder aux autres ordinateurs du réseau de ton entreprise et inversement.

Il faut mettre des mots de passe sur les utilisateurs de ton portable (surtout le compte admin), désactiver le compte invité et là tu pourras remettre l'exception sur le pare-feu.

Fais passer le mot à la personne qui gère le réseau de ta boite.

 

Pour Antivir, bha si c'est pour que tu te fasses engueuler, fais le pas.

 

 

 

C'est OK en suivant les dernières manipulations ci-dessous

 

Essaye de rapporter ton infection sur le site que je te donne ci-dessous, ce serait super cool

 

Ton infection : SpamTools / Trojan-Proxy.Win32.Wopla.ag / Email-Worm.Win32.Zhelatin / Trojan.spambot

 

Finir le nettoyage :

- Nettoye ton ordinateur avec CCleaner : http://www.malekal.com/tutorial_CCleaner.html

- Désactive puis réactive la restauration du système :

- Mode d'emploi Windows XP

- Tu peux ensuite désinstaller tous les programmes que l'on a utilisé.

 

 

 

je t'invite à jeter un coup d'oeil à ces liens dans la mesure du possible, essaye de rapporter ton infection :

 

Comment se protéger des virus : - Tout ceci est résume sur cette page : Sécuriser son ordinateur et connaître les menaces

Je t'invite aussi à mettre à jour tous les composants de ton système - Garde l'habitude de les maintenir à jour, un ordinateur avec des logiciels non à jour = infection ! tu peux scanner ton ordinateur pour vérifier quels sont les progammes non à jour en suivant les directives de cette page : http://www.malekal.com/scan_vulnerabilite.php

 

Faire bouger les choses :

 

Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection :

- Voir les règles de Malware-Complaints

- Enregistre sur le forum à partir du bouton register en haut :

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age

 

Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforu...e115fda8cee41a4

 

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10

 

Pour poster un message, clics sur le bouton "post reply" et remplir les informations - NE PAS CREER UN SUJET avec le bouton New Topic.

 

Pour toutes aides pour poster ton message, tu peux consulter ce lien : http://www.malekal.com/malwarecomplaints.html

Si tu as des questions ou des problèmes, n'hésites pas à me demander ici ou à contacter un des modérateurs du forum : Kimberly, AgnesD ou ipl_001.

[GeLLuP]

ok malekal_morte, alors vraiment un graannnnd graannd grand merci a toi et tout ceux qui se sont penché sur mon probleme, c vraiment super sympa

je v poster tout ca dés demain, après tout ce que tu a fait pour moi, je peux bien faire ca ^^

 

encore merci pour tout et bonne fin de soirée

++

[Malekal_morte]

Bonne fin de soirée à toi aussi