Virusgarde & spyware-secure - RESOLU -

[ARDECHOIS]

Bonjour ,

j'ai windows xp pro sp2 et depuis quelques temps une fenetre spyreware secure apparait tres souvent plus rarement virusgarde egalement , je n'ai pas telecharge ces logitiels proposes mais cela est agacant .je dispose de adaware sybot search & destroy mais ces pages reviennent frequement , je poste le rapport hijack si cela peut vous aider , ainsi que le rapport smithfraudfix Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 14:35:23, on 16/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Alwil Software\Avast4\aswUpdSv.exe

C:\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

D:\TELECH~1\CONTRO~1\backweb\2338637\Program\SERVIC~1.EXE

D:\Telechargements\Controle parental\backweb\2338637\program\fsbwsys.exe

D:\Telechargements\Controle parental\Common\FSMA32.EXE

D:\Telechargements\Controle parental\backweb\2338637\Program\fspex.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

D:\Telechargements\Controle parental\Common\FSMB32.EXE

C:\WINDOWS\system32\svchost.exe

D:\Telechargements\Controle parental\Common\FCH32.EXE

C:\Antipub\antipub.exe

D:\Telechargements\Controle parental\Common\FAMEH32.EXE

D:\Telechargements\Controle parental\FSPC\fspc.exe

C:\Alwil Software\Avast4\ashMaiSv.exe

C:\Alwil Software\Avast4\ashWebSv.exe

C:\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\Program Files\Ahead\Nero\nero.exe

D:\Telechargements\emule\eMule.exe

C:\WINDOWS\system32\mmc.exe

C:\WINDOWS\system32\DfrgNtfs.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Admin.XPSP2-0B64072FE\Bureau\HiJackThis_v2.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

F3 - REG:win.ini: load= c:\quickenw\MEMENTO.EXE

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-18\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [schmaili] C:\Schmaili84\schmaili.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User 'Default user')

O4 - Startup: Anti-Pub.lnk = C:\Antipub\antipub.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Pack Sécurité TELE2 Internet.lnk = D:\Telechargements\Controle parental\backweb\2338637\Program\fspex.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\MICROS~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1AD7696C-6E61-49AD-940E-CAD00DF6619B}: NameServer = 212.151.137.170 212.151.136.246

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Pack Sécurité TELE2 Internet (BackWeb Plug-in - 2338637) - F-Secure Corp. - D:\TELECH~1\CONTRO~1\backweb\2338637\Program\SERVIC~1.EXE

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: FSBWSYS - Unknown owner - D:\Telechargements\Controle parental\backweb\2338637\program\fsbwsys.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - D:\Telechargements\Controle parental\Common\FSMA32.EXE

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

 

--

End of file - 7413 bytes

 

 

 

 

SmitFraudFix v2.127

 

Rapport fait à 14:36:08,98, 16/06/2007

Executé à partir de D:\Telechargements\SMITFRAUD\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Admin.XPSP2-0B64072FE

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Admin.XPSP2-0B64072FE\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMIN~1.XPS\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

merci par avance pour votre aide

Modifié le 26 juin 2007 par ARDECHOIS

[regis56]

SAlut !

 

Télécharge fixnavilog de IL-MAFIOSO

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

 

Installe le programme et lance le !

 

A l'invite de commande choisit l'option 1

 

Et poste le rapport

 

A plus.

[ARDECHOIS]

SAlut !

 

Télécharge fixnavilog de IL-MAFIOSO

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

 

Installe le programme et lance le !

 

A l'invite de commande choisit l'option 1

 

Et poste le rapport

 

A plus.

 

Merci pour ta reponse rapide , bien plus rapide que mpn pc .Ccale fait 20 mn que le scan a demarré et bien qu'il est indique que cela peut etre long ,toujours pas de rapport !!!!!!!!!!!!!!!!j'attends encore un peu

[ARDECHOIS]

eh bien c'est bien bloqué , toujours scan en cours cela fait plus d'une heure , mon pc rame mais la est ce normal .

[ARDECHOIS]

ca y est j'ai le rapport ( en fait j'ai arrete le 1er scan desinstallé le logitiel , reinstallé le log et ca a marché!!! )

voici donc le rapport :

Search Navipromo version 2.0.3 commencé le 16/06/2007 à 16:39:00,98

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO

 

Executé en mode normal

 

*** Recherche Programmes installes ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users.WINDOWS\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\Admin.XPSP2-0B64072FE\Application Data ***

 

 

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

 

c:\WINDOWS\system32\zcdphdneq.dat

C:\windows\system32\zcdphdneq.exe

c:\WINDOWS\system32\zcdphdneq_nav.dat

c:\WINDOWS\system32\zcdphdneq_navps.dat

 

Processus caché(s) dans C:\WINDOWS\system32 :

 

C:\windows\system32\zcdphdneq.exe

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\pack.epk trouvé !

C:\WINDOWS\system32\nvs2.inf trouvé !

 

 

*** Recherche cles registre ***

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

 

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

 

 

 

Recherche Clé Magic Control

 

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche Heuristique :

*

**

C:\WINDOWS\system32\zcdphdneq.dat trouvé !

***

****

*****

******

*******

********

 

 

*** Analyse Terminé le 16/06/2007 à 16:42:58,75 ***

[regis56]

Salut !

 

Relance fixnavilog et choisit l'option 2

 

Poste le rapport stp

 

A plus.

[ARDECHOIS]

Salut !

 

Relance fixnavilog et choisit l'option 2

 

Poste le rapport stp

 

A plus.

 

 

ce fut long mais voici le rapport ( mon pc a fait un arret redemarrage a a commade de l'execution de l'option 2 )

 

Clean Navipromo version 2.0.3 commencé le 17/06/2007 à 0:28:43,48

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO

 

Mode suppression automatique avec prise en charge résultats Blacklight

 

 

*** Creation backups fichiers trouvés par Blacklight ***

 

Copie vers "C:\Program Files\navilog1\Backupnavi"

 

 

*** Suppression des fichiers trouvés avec Blacklight ***

 

c:\WINDOWS\system32\zcdphdneq.dat supprimé !

C:\windows\system32\zcdphdneq.exe supprimé !

c:\WINDOWS\system32\zcdphdneq_nav.dat supprimé !

c:\WINDOWS\system32\zcdphdneq_navps.dat supprimé !

 

** 2ème passage **

 

C:\WINDOWS\system32\zcdphdneq.exe absent !

C:\WINDOWS\system32\zcdphdneq.dat absent !

C:\WINDOWS\system32\zcdphdneq_nav.dat absent !

C:\WINDOWS\system32\zcdphdneq_navps.dat absent !

C:\WINDOWS\system32\zcdphdneq_navup.dat absent !

C:\WINDOWS\system32\zcdphdneq_navtmp.dat absent !

C:\WINDOWS\system32\zcdphdneq_m2s.xml absent !

 

 

C:\WINDOWS\prefetch\zcdphdneq*.pf trouvé !

Copie C:\WINDOWS\prefetch\zcdphdneq*.pf réalise avec succes !

C:\WINDOWS\prefetch\zcdphdneq*.pf supprimé !

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\All Users.WINDOWS\Application Data ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\Admin.XPSP2-0B64072FE\Application Data ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\pack.epk supprimé !

C:\WINDOWS\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Admin.XPSP2-0B64072FE\Local Settings\Temp effectué !

 

 

*** Sauvegarde du registre vers dossier Backupnavi***

 

 

sauvegarde du registre réalise avec succes !

 

 

*** Nettoyage registre ***

 

 

Nettoyage registre Ok

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche et Suppression Heuristique :

 

*

**

***

****

*****

******

*******

********

 

3)Contrôle présence clés Rootkit dans le registre :

 

Aucune autre clés présente dans le registre !

 

*** Nettoyage termine le 17/06/2007 à 0:32:00,92 ***

[regis56]

Salut !

 

Trsè bien !

 

Continu comme ceci stp :

 

Télécharge SpySweeper - Télécharge SpySweeper - Aide SpySweeper

- Clic sur sur le lien "Free Trial" pour le télécharger tout à droite

- Installe le et démare le

- Il va te demander de télécharger la dernière définition, accepte

- Ensuite, clic sur le bouton Options à gauche

- Clic sur l'onglet Options

- Assure toi que les options suivantes sont cochées :

o Windows Registery

o Memory Object

o Cookies

o System Restore Folder

o Plus bas :

o Sweep all users accounts

o Sweep for rootkis

 

-- Redémarre en mode sans échec, si tu sais pas comment on fait lis ceci

- Démarre SpySweeper

- Clic sur "Sweep Now" à gauche

- Clic sur le bouton "Start"

- Quand le scan est terminé, clic sur le bouton "Next"

- Assure toi que tout est coché et clic sur le bouton "Next"

- Lorsque tous les éléments trouvés ont été supprimés

- Clic sur "Session Log" en haut à droite, copie tous les élements du log.

- Ferme les fenêtres et colle tout le log ici ainsi qu'un log HijackThis

 

 

Aide : N'hésite pas à consulter l'Aide de SpySweeper

 

A plus.

[vevette85]

bonjour

 

voila j'ai la meme chose que toi en plus de toutes ces pages X ou autres qui s'ouvrent sans arret je ne peux meme pas laisser mes enfants sur l'ordi avec ca

 

mais voila moi quand j'ai vu virusgarde qui m'a "soit disant" detecte 14 virus dans mon ordi j'ai telechargé le logiciel, donc ma question est : virusgarde est il un virus ou un VRAI logiciel pour enrayer le virus ?

 

il arrete pas de m'ouvrir des pages d'alerte de virus et m'nvoie vers une page de registre pour payer car cb le logiciel à 39.95 que dois je faire ???

[Thanos]

salut vevette,regis

 

vevette, il faut te créer un sujet spécifique stp sinon on va tout mélanger!

 

J'ai créé un sujet pour toi ici > http://forum.zebulon.fr/index.php?showtopic=124400

 

Répond dans le sujet en question et pas sur celui ci stp

 

edit: de rien regis

Modifié le 22 juin 2007 par charles ingals