message " restriction en vigueur sur mon ordi " + Windows Se

wong · le 30 novembre 2007

Bonjour jlulu,

N'hésite pas à poser des questions si tu ne comprends pas quelque chose.

Est-ce que tu as bien suivi la procédure indiquée dans le message #6 :

Toute la procédure doit se faire en " mode sans échec ", sauf pour CCleaner.

Pour trouver les fichiers indiqués il faut avoir accès à tous les " dossiers/fichiers " ( comme indiqué ).

Si tu ne trouves pas C:\WINDOWS\xnnnav.exe, continue la procédure indiquée.

Le fichier xnnnav.exe est présent dans ton rapport HijackThis à l'emplacement C:\WINDOWS\.

Fais une recherche ( toujours en mode sans échec ) : Démarrer > Rechercher > Dans la fenêtre qui s'ouvre Clique sur Tous les fichiers et tous les dossiers > Dans la fenêtre qui s'ouvre Tape : xnnnav.exe dans l'espace du haut.

Clique sur " Options avancées " ( situées en dessous ) et Coche les 3 premières cases > Clique sur Rechercher.

Cordialement.

jlulu · le 30 novembre 2007

Alors , j'ai bien trouvé le fichier Xnnnav.exe mais il ne se nomme pas tout à fait comme cela !! je m'explique :

En lançant la recherche telle que tu me l'a indiquée j'ai trouvé XNNNAV.EXE-1A74D110.pf dans le Dossier C:/Windows/PREFETCH .

Dois je le renommer xnnnav-exe.anc ou bien xnnnav-exe-1A74D110.pf.anc ? en fait , je ne sais pas comment me débrouiller avec 1A74D110.pf !!

Autre petite question , dans Réglages de CCleaner Bouton Nettoyeur , onglet Windows j'ai une case Cache Tray Notification , je peux la décocher ou pas ? ça ne va pas me virer ce que j'ai à gauche de l'horloge ? ( Msn , Son , Alice ,Quicktime , ) j'ai envie d'avoir tjs cela dispo !! alors , je coche ou décoche ?

J'attends ta réponse pour mon fameux fichier et savoir comment je dois le renommer Exactement , aussi pour la Case et je me lance dans la procédure que tu m'a précédement indiquée !!

Cordialement ;

wong · le 30 novembre 2007

Bonjour jlulu,

Pour le fichier XNNNAV.EXE-1A74D110.pf qui se trouve dans le répertoire C:/Windows/PREFETCH tu le supprimes directement.

Pour la case Cache Tray Notification dans CCleaner > Onglet " Windows " tu peux ne pas la cocher ( c'est pour la remise à 0 du Cache Tray ) si tu es satisfait de la barre de lancement rapide.

Cordialement.

jlulu · le 30 novembre 2007

Salut , je te poste les 2 rapports !! Pffff, je ne peux tjs pas changer mon fond d'écran car il y a tjs ces restrictions !! et ne peux pas non plus accéder au panneau de Config dans le menu Démarrer .

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:23:46, on 30/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Symantec\LiveUpdate\AUPDATE.EXE

C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

C:\Program Files\Symantec\LiveUpdate\LuCallbackProxy.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\NppBho.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Afficher Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\UIBHO.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1185139285625

O20 - AppInit_DLLs: C:\WINDOWS\system32\sol629.txt

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

--

End of file - 7093 bytes

Rapport SmitFraudfix

SmitFraudFix v2.256

Rapport fait à 16:11:57,73, 30/11/2007

Executé à partir de C:\Documents and Settings\Hugot\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

192.168.200.3 ad.doubleclick.net

192.168.200.3 ad.fastclick.net

192.168.200.3 ads.fastclick.net

192.168.200.3 ar.atwola.com

192.168.200.3 atdmt.com

192.168.200.3 avp.ch

192.168.200.3 avp.com

192.168.200.3 avp.ru

192.168.200.3 awaps.net

192.168.200.3 banner.fastclick.net

192.168.200.3 banners.fastclick.net

192.168.200.3 ca.com

192.168.200.3 click.atdmt.com

192.168.200.3 clicks.atdmt.com

192.168.200.3 customer.symantec.com

192.168.200.3 dispatch.mcafee.com

192.168.200.3 download.mcafee.com

192.168.200.3 downloads-us1.kaspersky-labs.com

192.168.200.3 downloads-us2.kaspersky-labs.com

192.168.200.3 downloads-us3.kaspersky-labs.com

192.168.200.3 downloads1.kaspersky-labs.com

192.168.200.3 downloads2.kaspersky-labs.com

192.168.200.3 downloads3.kaspersky-labs.com

192.168.200.3 downloads4.kaspersky-labs.com

192.168.200.3 engine.awaps.net

192.168.200.3 f-secure.com

192.168.200.3 fastclick.net

192.168.200.3 ftp.avp.ch

192.168.200.3 ftp.downloads1.kaspersky-labs.com

192.168.200.3 ftp.downloads2.kaspersky-labs.com

192.168.200.3 ftp.downloads3.kaspersky-labs.com

192.168.200.3 ftp.f-secure.com

192.168.200.3 ftp.kasperskylab.ru

192.168.200.3 ftp.sophos.com

192.168.200.3 ids.kaspersky-labs.com

192.168.200.3 kaspersky-labs.com

192.168.200.3 kaspersky.com

192.168.200.3 liveupdate.symantec.com

192.168.200.3 liveupdate.symantecliveupdate.com

192.168.200.3 mast.mcafee.com

192.168.200.3 mcafee.com

192.168.200.3 media.fastclick.net

192.168.200.3 my-etrust.com

192.168.200.3 nai.com

192.168.200.3 networkassociates.com

192.168.200.3 norton.com

192.168.200.3 phx.corporate-ir.net

192.168.200.3 rads.mcafee.com

192.168.200.3 secure.nai.com

192.168.200.3 securityresponse.symantec.com

192.168.200.3 service1.symantec.com

192.168.200.3 sophos.com

192.168.200.3 spd.atdmt.com

192.168.200.3 symantec.com

192.168.200.3 trendmicro.com

192.168.200.3 update.symantec.com

192.168.200.3 updates.symantec.com

192.168.200.3 updates1.kaspersky-labs.com

192.168.200.3 updates2.kaspersky-labs.com

192.168.200.3 updates3.kaspersky-labs.com

192.168.200.3 updates4.kaspersky-labs.com

192.168.200.3 updates5.kaspersky-labs.com

192.168.200.3 us.mcafee.com

192.168.200.3 vil.nai.com

192.168.200.3 viruslist.com

192.168.200.3 viruslist.ru

192.168.200.3 virusscan.jotti.org

192.168.200.3 virustotal.com

192.168.200.3 www.avp.ch

192.168.200.3 www.avp.com

192.168.200.3 www.avp.ru

192.168.200.3 www.awaps.net

192.168.200.3 www.ca.com

192.168.200.3 www.f-secure.com

192.168.200.3 www.fastclick.net

192.168.200.3 www.grisoft.com

192.168.200.3 www.kaspersky-labs.com

192.168.200.3 www.kaspersky.com

192.168.200.3 www.kaspersky.ru

192.168.200.3 www.mcafee.com

192.168.200.3 www.my-etrust.com

192.168.200.3 www.nai.com

192.168.200.3 www.networkassociates.com

192.168.200.3 www.sophos.com

192.168.200.3 www.symantec.com

192.168.200.3 www.trendmicro.com

192.168.200.3 www.viruslist.com

192.168.200.3 www.viruslist.ru

192.168.200.3 www.virustotal.com

192.168.200.3 www3.ca.com

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\proper.exe supprimé

C:\WINDOWS\system32\winter.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4F6119B4-34B0-4E02-BB6A-B38C4CE74F74}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{4F6119B4-34B0-4E02-BB6A-B38C4CE74F74}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{4F6119B4-34B0-4E02-BB6A-B38C4CE74F74}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{4F6119B4-34B0-4E02-BB6A-B38C4CE74F74}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

wong · le 30 novembre 2007

Bonsoir jlulu,

Télécharge ComboFix (créé par sUBs) : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Sauvegarde le sur ton bureau et pas ailleurs !
Assure-toi que tous les programmes sont fermés avant de lancer le Fix.
Double clique sur Combofix.exe et suis les instructions.
Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
Ne touche a rien et attends que combofix ait terminé.
Quand il aura fini, un rapport sera créé.
Copie/Colle le rapport dans ta prochaine réponse.

NOTE : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Ensuite, indique-moi si tu as accès au panneau de configuration.

Cordialement.

jlulu · le 30 novembre 2007

Salut Wong ,

J'ai donc fait la manip avec Combofix et je t'indique que j'ai de nouveau accès à mon panneau de Configuration !! par là même , je peux aussi changer mon fond d'écran et ai retrouvé l'accès aussi à mes propriétés de IE , de mon poste de travail .

Je te joint le rapport de Combofix :

ComboFix 07-11-19.4C - Hugot 2007-11-30 23:31:12.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.259 [GMT 1:00]

Running from: C:\Documents and Settings\Hugot\Bureau\ComboFix.exe

* Created a new restore point

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-28 to 2007-11-30 ))))))))))))))))))))))))))))))))))))

.

2007-11-29 23:04 <REP> d-------- C:\Program Files\CCleaner

2007-11-28 15:32 17 --a------ C:\MAINMSG.DAT

2007-11-28 15:32 12 --a------ C:\DISKFREE.DAT

2007-11-28 15:32 1 --a------ C:\PROGRES.DAT

2007-10-30 19:55 145,968 --a------ C:\WINDOWS\system32\drivers\symfw.sys

2007-10-30 19:55 39,856 --a------ C:\WINDOWS\system32\drivers\symids.sys

2007-10-30 19:55 12,848 --a------ C:\WINDOWS\system32\drivers\symdns.sys

2007-10-13 19:53 <REP> d-------- C:\WINDOWS\ERUNT

2007-10-10 14:45 2,298 --a------ C:\WINDOWS\system32\tmp.reg

2007-10-10 13:27 <REP> d-------- C:\Program Files\Trend Micro

2007-10-09 18:40 582,656 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll

2007-10-09 12:06 15,073 --a------ C:\WINDOWS\ekdia113.exe

2007-10-07 12:46 <REP> d-------- C:\Program Files\Fichiers communs\HP

2007-10-07 12:46 <REP> d-------- C:\Documents and Settings\Hugot\Application Data\Printer Info Cache

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-11-30 22:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec

2007-11-30 19:44 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared

2007-11-22 10:39 --------- d-----w C:\Program Files\Norton Internet Security

2007-10-30 18:55 37,936 ----a-w C:\WINDOWS\system32\drivers\symndisv.sys

2007-10-30 18:55 35,120 ----a-w C:\WINDOWS\system32\drivers\symndis.sys

2007-10-30 18:55 27,696 ----a-w C:\WINDOWS\system32\drivers\symredrv.sys

2007-10-30 18:55 191,536 ----a-w C:\WINDOWS\system32\drivers\symtdi.sys

2007-10-30 18:24 12,963 ----a-w C:\WINDOWS\system32\drivers\SymRedir.cat

2007-10-30 18:24 1,358 ----a-w C:\WINDOWS\system32\drivers\SymRedir.inf

2007-10-12 11:47 --------- d-----w C:\Program Files\Microsoft Works

2007-10-12 11:47 --------- d-----w C:\Program Files\AOL 9.0

2007-10-10 18:02 --------- d-----w C:\Documents and Settings\Hugot\Application Data\Image Zone Express

2007-10-03 19:04 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF

2007-10-03 19:04 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS

2007-10-03 19:04 10,740 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT

2007-10-03 19:04 --------- d-----w C:\Program Files\Symantec

2007-09-19 21:23 20 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLec.DAT

2007-09-19 21:23 20 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLds.DAT

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]

"{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}"= C:\WINDOWS\system32\pbfrv2.dll [2004-03-17 11:22 820736]

[HKEY_CLASSES_ROOT\clsid\{4e7bd74f-2b8d-469e-a0e8-ed6ab685fa7d}]

[HKEY_CLASSES_ROOT\pbfrv2.PBFRV2]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 22:11]

"AliceSAV"="C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 17:57]

"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2007-01-09 21:59]

"osCheck"="C:\Program Files\Norton Internet Security\osCheck.exe" [2006-09-05 18:22]

"Symantec PIF AlertEng"="C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 09:22]

"nwiz"="nwiz.exe" [2005-03-05 11:26 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk

backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd]

ALCWZRD.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

2005-02-16 22:11 49152 --a------ C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]

C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

C:\Program Files\Messenger\msmsgs.exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

nwiz.exe /installquiet

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]

2005-01-28 10:10 110740 --a------ c:\Apps\Powercinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]

C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]

C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Raccourci vers la page des propriétés de High Definition Audio]

HDAudPropShortcut.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snpstd]

C:\WINDOWS\vsnpstd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2004-06-03 21:05 32881 --a------ C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"SNDSrvc"=2 (0x2)

"SLService"=2 (0x2)

"ose"=3 (0x3)

"NVSvc"=2 (0x2)

"MysqlInventime"=3 (0x3)

"GenericHidService"=2 (0x2)

"CyberLink Media Library Service"=2 (0x2)

"CLSched"=2 (0x2)

"AOL ACS"=2 (0x2)

"CLCapSvc"=2 (0x2)

*Newly Created Service* - COMHOST

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2007-11-30 11:00:01 C:\WINDOWS\Tasks\HPpromotions psc 1600 series.job"

- C:\Program Files\HP\Digital Imaging\bin\HP Promotions\AiOMVC\HPpromo.exe

"2007-11-23 20:35:34 C:\WINDOWS\Tasks\Norton Internet Security - Analyse système complète - Hugot.job"

"2007-11-30 21:49:00 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"

.

**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-11-30 23:36:11

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2007-11-30 23:37:32 - machine was rebooted

.

--- E O F ---

wong · le 1 décembre 2007

Bonjour jlulu,

Tu as retrouvé tes droits, mais tu es encore infecté.

On va faire un premier nettoyage.

1°) Téléchargement d'utilitaires :

1.1 - Télécharge ATF Cleaner par Atribune : http://www.atribune.org/ccount/click.php?id=1

Enregistre-le sur ton bureau ( ou mieux dans un répertoire dédié : C:\ATF\ATF Cleaner.exe ).

1.2 - Télécharge AVG Anti-Spyware de ewido/grisoft sur ton bureau : http://www.ewido.net/en/download/

Lance le depuis l'icône presente sur ton bureau.
Clique sur modifier l'état du bouclier résident et mise à jour automatique, pour désactiver ces deux fonctions.
Clique sur mise à jour, commence la mise à jour.
Clique sur analyse puis sur paramètres.
Clique sur actions recommandées puis sur quarantaine.
Ferme le programme.

Tuto Malekal : http://www.malekal.com/tutorial_AVG_AntiSpyware.html

2°) Redémarre en mode sans échec

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer la procédure ( ou, événtuellement, de l'enregistrer sur ton bureau dans un fichier texte ).

2.1 - Relance SmitFraudFix

Double clique sur SmitfraudFix.exe
Sélectionne 2 et presse Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
A la question: Voulez-vous nettoyer le registre ? répond O (OUI) et presse Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répond O (OUI) et presse Entrée pour remplacer le fichier corrompu.
Un redémarrage sera peut être nécessaire pour terminer la procedure de nettoyage.
Le rapport se trouve à la racine du disque système C:\rapport.txt
Copie/Colle le rapport dans ta prochaine réponse

2.2 - Nettoyage avec AVG Anti-Spyware

Procedure préalable à l'utilisation d'AVG Anti-Spyware : Très important pour bien supprimer les fichiers tmp ,cookies et autres, pour une meilleure lecture du rapport d'AVG Anti-Spyware.

Double-clique ATF Cleaner.exe afin de lancer le programme.

Main correspond à IE
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu principal, afin de fermer le programme.

Lance AVG Anti-Spyware

Clique sur scanner, puis sur scan complet du système.

Si des fichiers malveillants sont trouvés :

Clique sur Appliquer toutes les actions
Clique sur enregistrer le rapport d'analyse.
Colle le rapport dans ton prochain message

Pour t'aider tu as deux tutos à ta disposition:

ATFCleaner: http://pitcatsite.ovh.org/html/ATFCleaner.html

AVG Anti-Spyware: http://pitcatsite.ovh.org/html/avg_a-s.html

3°) Redémarre en mode normal

NOTE : Si tu n'as pas retrouvé ton fond d'écran, Clique droit sur une zone vide du bureau > Propriétés : Onglet Thèmes ( choisis ton thème ), Onglet Bureau ( Choisis ton arrière-plan ).

Remets ta page de démarrage Internet que tu as choisis ( ex: http://www.google.fr ).

Lance HijackThis :

Clique sur Do a scan system and save log file
Copie/Colle le rapport HijackThis dans ta prochaine réponse

J'attends 3 rapports ( celui de SmitFraudFix, de AVG AS, et celui de HijackThis ).

Cordialement.

jlulu · le 2 décembre 2007

Bonjour Wong,

Alors , j'ai effectué toute la procédure que tu m'a indiqué précédement et je te poste donc les 3 rapports demandés et encore Merciii de passer du temps sur mon Cas !!! :

SmitFraudFix :

SmitFraudFix v2.256

Rapport fait à 23:47:41,43, 01/12/2007

Executé à partir de C:\Documents and Settings\Hugot\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost