Au secours !

Mâalin · le 12 février 2008

Je n'ai pas fais attention, et j'ai bêtement cliqué sur un lien msn que m'envoyais une amie.

Depuis, plus rien ne va snif.

Pouvez vous m'aider?

voici le rapport hijackThis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:21:07, on 12/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\GameFace Messenger\GameFace.exe

C:\Program Files\Microsoft IntelliType Pro\itype.exe

C:\Program Files\Microsoft IntelliPoint\ipoint.exe

C:\Program Files\Club-Internet\Agent Wifi\AgentWifi.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\WDBtnMgr.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Veoh Networks\Veoh\VeohClient.exe

C:\Program Files\NETGEAR\WPN311\wlancfg5.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\ATKKBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe

C:\Documents and Settings\Mâalin\Bureau\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [GameFace Messenger] C:\Program Files\GameFace Messenger\GameFace.exe

O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [MPSWiFiManager] C:\Program Files\Club-Internet\Agent Wifi\AgentWifi.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe

O4 - Global Startup: NETGEAR WPN311 Wireless Assistant.lnk = C:\Program Files\NETGEAR\WPN311\wlancfg5.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{4BD1C4B9-12A9-4904-8B2F-699F5DF2695F}: NameServer = 85.255.116.27,85.255.112.70

O17 - HKLM\System\CCS\Services\Tcpip\..\{BD9F03C5-0B41-459E-86B9-9559F0073CD3}: NameServer = 85.255.116.27,85.255.112.70

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70

O17 - HKLM\System\CS1\Services\Tcpip\..\{4BD1C4B9-12A9-4904-8B2F-699F5DF2695F}: NameServer = 85.255.116.27,85.255.112.70

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70

O17 - HKLM\System\CS2\Services\Tcpip\..\{4BD1C4B9-12A9-4904-8B2F-699F5DF2695F}: NameServer = 85.255.116.27,85.255.112.70

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70

O20 - Winlogon Notify: LogCrypt - C:\WINDOWS\SYSTEM32\LogCrypt.dll

O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--

End of file - 7350 bytes

Merci d'avance.

Mélusine46 · le 12 février 2008

Bonjour,

Les lignes intitulées 017 sont générées par un virus "WareOut".

Il faut les supprimer .... et installer un antivirus un peu plus performant.

@+

sheilla · le 12 février 2008

bonjour ton log et pas bon coche ses lignes

C:\Program Files\Microsoft IntelliType Pro\itype.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [GameFace Messenger] C:\Program Files\GameFace Messenger\GameFace.exe a desinstaller

O17 - HKLM\System\CCS\Services\Tcpip\..\{4BD1C4B9-12A9-4904-8B2F-699F5DF2695F}: NameServer = 85.255.116.27,85.255.112.70

O17 - HKLM\System\CCS\Services\Tcpip\..\{BD9F03C5-0B41-459E-86B9-9559F0073CD3}: NameServer = 85.255.116.27,85.255.112.70

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70

O17 - HKLM\System\CS1\Services\Tcpip\..\{4BD1C4B9-12A9-4904-8B2F-699F5DF2695F}: NameServer = 85.255.116.27,85.255.112.70

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70

O17 - HKLM\System\CS2\Services\Tcpip\..\{4BD1C4B9-12A9-4904-8B2F-699F5DF2695F}: NameServer = 85.255.116.27,85.255.112.70

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70

O20 - Winlogon Notify: LogCrypt - C:\WINDOWS\SYSTEM32\LogCrypt.dll sa je ne sais pas trop se renseigner mais pas mechant

cordialement par contre sur google pack tu a norton scan gratuit il suprime les virus et spyware tu peut le prendre il et pas mal

Modifié le 12 février 2008 par sheilla

Gothic_Ted · le 12 février 2008

Il faut les supprimer .... et installer un antivirus un peu plus performant.

Antivir n'est pas assez performant pour toi ? c'est pourtant l'un des meilleurs...

Amicalement.

Jorginho67 · le 12 février 2008

Bonjour !

Sans vouloir contredire les membres habitués du Forum, avant de fixer les lignes, il faut d'abord traiter l'infection avec le fix adéquat !

Mâalin, tu tiens une infection Ware out !

Je te conseille d'enregistrer la procédure qui suit en sélectionnant toutes les lignes, puis de copier/coller cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.

Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.

FixWareout de LonnyRJones

1) Télécharge FixWareout de LonnyRJones sur le bureau a partir d'un de ces deux liens :

http://download.bleepingcomputer.com/lonny/Fixwareout.exe

http://downloads.subratam.org/Fixwareout.exe

2) Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran.

Il te sera demandé de redémarrer ton ordinateur, fais le.

Ton système mettra un peu plus de temps au démarrage, c'est normal.

Sauvegarde sur ton Bureau le contenu du rapport qui va s'afficher à l'écran (report.txt) afin de le retrouver facilement plus tard.

3) Relance HijackThis, choisis "do a scan only"

Coche la case devant toutes les lignes suivantes :

O17 - HKLM\System\CCS\Services\Tcpip\..\{4BD1C4B9-12A9-4904-8B2F-699F5DF2695F}: NameServer = 85.255.116.27,85.255.112.70

O17 - HKLM\System\CCS\Services\Tcpip\..\{BD9F03C5-0B41-459E-86B9-9559F0073CD3}: NameServer = 85.255.116.27,85.255.112.70

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70

O17 - HKLM\System\CS1\Services\Tcpip\..\{4BD1C4B9-12A9-4904-8B2F-699F5DF2695F}: NameServer = 85.255.116.27,85.255.112.70

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70

O17 - HKLM\System\CS2\Services\Tcpip\..\{4BD1C4B9-12A9-4904-8B2F-699F5DF2695F}: NameServer = 85.255.116.27,85.255.112.70

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70

Clique sur Fix Checked

4) Télécharge Clean.zip de Malekal.

http://www.malekal.com/download/clean.zip << ici

http://mickael.barroux.free.fr/securite/clean.php << Comment l'utiliser

Dézippe-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd

une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

Choisis l'option 1 puis patiente

Poste le rapport obtenu

S’il te demande d’uploader un fichier, tu le fais…

pour retrouver le rapport : double clique sur => C => double clique sur " rapport_clean txt.

et copie/colle le sur ta prochaine réponse .

Fais ceci tranquilement, ça parait compliqué mais il n'en est rien

@ +

Mâalin · le 12 février 2008

Merci pour vos réponses, je me sent un peu moins seul face à ces p*** de virus

Alors, j'ai installé Fixwareout, dont voici le rapport :

Username "Mƒalin" - 12/02/2008 13:12:44 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

HKLM\SOFTWARE\~\Winlogon\ "System"="kdhoh.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

"nameserver"="85.255.116.27 85.255.112.70" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{4BD1C4B9-12A9-4904-8B2F-699F5DF2695F}

"nameserver"="85.255.116.27,85.255.112.70" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{BD9F03C5-0B41-459E-86B9-9559F0073CD3}

"nameserver"="85.255.116.27,85.255.112.70" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{4BD1C4B9-12A9-4904-8B2F-699F5DF2695F}

"DhcpNameServer"="85.255.116.27,85.255.112.70" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{56D1D28E-3071-4236-8D10-C7C1B0C96414}

"DhcpNameServer"="85.255.116.27,85.255.112.70" <Value cleared.

Cache de résolution DNS vidé.

System was rebooted successfully.

~~~~~ Postrun check

HKLM\SOFTWARE\~\Winlogon\ "system"=""

....

~~~~~ Misc files.

....

~~~~~ Checking for older varients.

....

~~~~~ Current runs (hklm hkcu "run" Keys Only)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="C:\\Program Files\\Analog Devices\\SoundMAX\\SMax4PNP.exe"

"SoundMAX"="\"C:\\Program Files\\Analog Devices\\SoundMAX\\Smax4.exe\" /tray"

"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

"nwiz"="nwiz.exe /install"

"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"

"GameFace Messenger"="C:\\Program Files\\GameFace Messenger\\GameFace.exe"

"itype"="\"C:\\Program Files\\Microsoft IntelliType Pro\\itype.exe\""

"IntelliPoint"="\"C:\\Program Files\\Microsoft IntelliPoint\\ipoint.exe\""

"MPSWiFiManager"="C:\\Program Files\\Club-Internet\\Agent Wifi\\AgentWifi.exe"

"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_03\\bin\\jusched.exe\""

"WD Button Manager"="WDBtnMgr.exe"

"Adobe Reader Speed Launcher"="\"C:\\Program Files\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\""

"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"

"avgnt"="\"C:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

"ASUS SmartDoctor"="C:\\Program Files\\ASUS\\SmartDoctor\\SmartDoctor.exe /start"

"MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"

"Veoh"="\"C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe\" /VeohHide"

....

Hosts file was reset, If you use a custom hosts file please replace it...

~~~~~ End report ~~~~~

Ensuite, j'ai fait un HjT mais lors du rapport, plus de lignes 017, je n'ai donc rien fixé.

Voici le rapport qu'il me donne à présent :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:29:19, on 12/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\ATKKBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\notepad.exe