[Résolu] Comment se débarrasser des trojans trouvés par Antivir ?

[Falkra]

Re. On va faire une manip un peu décliate, mais sans grand risque (impossible de crasher le système).

 

Je vais te donner 2 scripts à passer, la méthode est la même que pour le premier.

Le premier script va supprimer une clé important de windows, le 2eme va la restaurer, sans certaines saletés bien incrustées.

Entre temps, tu vas avoir un démarrage où il te manquera 2-3 programmes qui ne démarreront pas avec windows, mais ça ne durera qu'un démarrage et ne plantera pas windows.

 

Voici le premier script, même méthode que plus haut : un fichier Cfscript à faire dans le blocnotes, et faire glisser sur combofix.exe, suivre les instructions, redémarrer si nécessaire.

 

Registry::

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

 

Voici le 2eme script, même topo. Poste le 2eme rapport qui s'affichera, tu le trouveras dans c:\combofix.txt si jamais.

 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray.exe"="C:\\Windows\\ehome\\ehTray.exe"

"ISUSPM Startup"="C:\\Program Files\\Common Files\\InstallShield\\UpdateService\\ISUSPM.exe"

"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"

 

Et ajoute un rapport HJT après tout ça stp.

N'hésite pas en cas de doute à poser des questions.

[jocepa]

bonsoir

comme je l'ai déjà dis , mon niveau en info n'est pas loin de 0

mais j'aimerais comprendre ce que je fais,....estce que tu pourrais m'orienter sur des articles/tutos./sites ou le B.A.ba est expliqué???

autre chose, j'ai l'impression que ma connection est plus mauvaise de puis 2jours(je me connecte toujours sur le meme hotspot, meme crenaux horaire), et l'odi a meme plante hier(ecran bleu/arret/redemarrage...)

ça peut avoir un rapport avec le dernier script???

et pis j'aimerais bien savoir pourquoi tu dis " manip un peu décliate" ....je risque quoi????

[jocepa]

Pour ce que tu m as demandé, voila les raports.......

 

 

ComboFix 08-05-09.1 - joelle 2008-05-13 20:46:44.4 - NTFSx86

Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.301 [GMT 2:00]

Endroit: C:\Users\joelle\Desktop\ComboFix.exe

Command switches used :: C:\Users\joelle\Desktop\CFScript.txt

* Création d'un nouveau point de restauration

.

 

((((((((((((((((((((((((((((( Fichiers créés 2008-04-13 to 2008-05-13 ))))))))))))))))))))))))))))))))))))

.

 

Pas de nouveau fichier créé dans cet espace de temps

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-13 18:26 --------- d-----w C:\Program Files\Windows Mail

2008-05-13 17:28 13,072 ----a-w C:\Users\joelle\AppData\Roaming\nvModes.dat

2008-05-09 07:14 --------- d-----w C:\Users\joelle\AppData\Roaming\XnView

2008-05-08 14:55 --------- d-----w C:\Program Files\Astrocycle3

2008-05-08 00:05 --------- d-----w C:\Users\joelle\AppData\Roaming\Auslogics

2008-05-05 10:45 --------- d-----w C:\Users\joelle\AppData\Roaming\dvdcss

2008-05-05 07:31 --------- d-----w C:\ProgramData\DVD Shrink

2008-05-05 02:23 --------- d-----w C:\Program Files\FairUse Wizard 2

2008-05-01 19:06 --------- d-----w C:\Users\joelle\AppData\Roaming\App Launcher Gadget

2008-04-30 06:44 --------- d-----w C:\Program Files\CCleaner

2008-04-27 08:38 --------- d-----w C:\Users\joelle\AppData\Roaming\fretsonfire

2008-04-26 23:26 --------- d-----w C:\Users\joelle\AppData\Roaming\Voca

2008-04-23 08:09 --------- d-----w C:\Program Files\VideoLAN

2008-04-17 22:05 --------- d-----w C:\Program Files\WinTV

2008-04-17 17:04 --------- d-----w C:\Users\joelle\AppData\Roaming\GlarySoft

2008-04-17 17:02 --------- d-----w C:\ProgramData\NtiDvdCopy

2008-04-17 16:33 --------- d-----w C:\Program Files\Glary Utilities

2008-04-10 12:20 --------- d-----w C:\Program Files\SlySoft

2008-04-09 20:46 --------- d-----w C:\Users\joelle\AppData\Roaming\gtk-2.0

2008-04-09 19:58 123,939 ----a-w C:\Windows\system32\drivers\kqemu.sys

2008-04-08 11:15 --------- d-----w C:\Users\joelle\AppData\Roaming\ESBCalc

2008-04-05 03:19 --------- d-----w C:\Users\joelle\AppData\Roaming\profette

2008-03-26 11:17 --------- d-----w C:\Program Files\Google

2008-03-25 23:32 --------- d-----w C:\Program Files\Java

2008-03-25 23:30 --------- d-----w C:\Program Files\Common Files\Java

2008-03-24 22:47 --------- d-----w C:\ProgramData\WindowsSearch

2008-03-23 14:09 --------- d-----w C:\ProgramData\CyberLink

2008-03-20 16:29 0 ---ha-w C:\Windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf

2008-03-19 13:30 174 --sha-w C:\Program Files\desktop.ini

2008-03-19 13:18 --------- d-----w C:\Program Files\Windows Sidebar

2008-03-19 13:18 --------- d-----w C:\Program Files\Windows Photo Gallery

2008-03-19 13:18 --------- d-----w C:\Program Files\Windows Journal

2008-03-19 13:18 --------- d-----w C:\Program Files\Windows Defender

2008-03-19 13:18 --------- d-----w C:\Program Files\Windows Collaboration

2008-03-19 13:18 --------- d-----w C:\Program Files\Windows Calendar

2008-03-19 12:08 82,432 ----a-w C:\Windows\System32\axaltocm.dll

2008-03-19 12:08 101,888 ----a-w C:\Windows\System32\ifxcardm.dll

2008-03-18 06:43 --------- d-----w C:\Program Files\QuickTime

2008-03-18 06:42 --------- d-----w C:\ProgramData\Apple Computer

2008-03-18 06:41 --------- d-----w C:\ProgramData\Apple

2008-03-18 06:41 --------- d-----w C:\Program Files\Apple Software Update

2008-03-13 13:27 --------- d-----w C:\Users\joelle\AppData\Roaming\DAEMON Tools

2008-02-29 07:14 19,000 ----a-w C:\Windows\System32\kd1394.dll

2008-02-29 07:11 988,216 ----a-w C:\Windows\System32\winload.exe

2008-02-29 07:11 927,288 ----a-w C:\Windows\System32\winresume.exe

2008-02-29 06:53 46,592 ----a-w C:\Windows\System32\setbcdlocale.dll

2008-02-29 06:53 40,960 ----a-w C:\Windows\System32\srclient.dll

2008-02-29 06:53 378,368 ----a-w C:\Windows\System32\srcore.dll

2008-02-29 06:35 6,656 ----a-w C:\Windows\System32\kbd106n.dll

2008-02-29 04:21 2,032,128 ----a-w C:\Windows\System32\win32k.sys

2008-02-29 04:12 318,464 ----a-w C:\Windows\System32\rstrui.exe

2008-02-29 04:12 14,848 ----a-w C:\Windows\System32\srdelayed.exe

2008-02-22 05:05 615,992 ----a-w C:\Windows\System32\ci.dll

2008-02-22 05:01 826,880 ----a-w C:\Windows\System32\wininet.dll

2008-02-22 04:57 295,936 ----a-w C:\Windows\System32\gdi32.dll

2007-10-23 10:03 16,384 --sha-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

2007-10-23 10:03 32,768 --sha-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

2007-10-23 10:03 16,384 --sha-w C:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

.

 

------- Sigcheck -------

 

.

((((((((((((((((((((((((((((( snapshot_2008-05-13_20.38.38,88 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-05-13 18:33:51 6,225,920 ----a-w C:\Windows\ERDNT\Hiv-backup\schema.dat

+ 2008-05-13 18:46:30 6,225,920 ----a-w C:\Windows\ERDNT\Hiv-backup\schema.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2008-01-19 09:33 125952]

"ISUSPM Startup"="C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 15:30 249856]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-03-26 10:10 171448]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RtHDVCpl"="RtHDVCpl.exe" [2006-12-01 07:37 4186112 C:\Windows\RtHDVCpl.exe]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-10-23 05:00 815104]

"LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2006-12-08 14:35 614400]

"WarReg_PopUp"="C:\Acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 21:48 57344]

"LogitechCommunicationsManager"="C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 01:06 304664]

"LVCOMSX"="C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe" [2006-11-20 18:04 244512]

"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-11-17 08:26 453120]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-15 13:52 262401]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]

"EPGServiceTool"="C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe" [2007-08-01 05:26 675840]

"NvSvc"="C:\Windows\system32\nvsvc.dll" [2006-11-22 09:29 90191]

"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2006-11-22 09:29 7757824]

"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2006-11-22 09:29 81920]

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\

AutoStart IR.lnk - C:\Program Files\WinTV\Ir.exe [2008-02-21 09:41:11 110647]

Empowering Technology Launcher.lnk - C:\Acer\Empowering Technology\eAPLauncher.exe [2006-12-05 01:46:18 528384]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.mkdmp3enc"= C:\PROGRA~1\ACERAR~1\DVWIZA~1\Kernel\Burner\MKDMP3Enc.ACM

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcerOrbicamRibbon]

--a------ 2006-11-20 18:09 754712 C:\Program Files\Acer\OrbiCam10\OrbiCam.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

--a------ 2008-02-14 01:09 486856 C:\Program Files\DAEMON Tools Lite\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2008-02-22 05:25 144784 C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UacDisableNotify"=dword:00000001

"InternetSettingsDisableNotify"=dword:00000001

"AutoUpdateDisableNotify"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-180004561-2329296961-2839979958-1000]

"EnableNotificationsRef"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

"{616520CB-540E-43D3-B883-D9651CF05361}"= UDP:C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\MCE Deluxe Suite.exe:CyberLink MCE Deluxe Suite

"{58BC58A4-FE3F-42D3-81A1-B0978FE134F8}"= TCP:C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\MCE Deluxe Suite.exe:CyberLink MCE Deluxe Suite

 

R0 PSDFilter;PSDFilter;C:\Windows\system32\DRIVERS\psdfilter.sys [2006-11-10 15:10]

R0 PSDNServ;PSDNSERVER;C:\Windows\system32\drivers\PSDNServ.sys [2006-11-10 15:21]

R0 psdvdisk;psdvdisk;C:\Windows\system32\drivers\psdvdisk.sys [2006-11-08 16:11]

R2 eNet Service;eNet Service;C:\Acer\Empowering Technology\eNet\eNet Service.exe [2006-11-20 21:43]

R2 EPGService;EPGService;C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe [2007-09-05 18:46]

R2 eSettingsService;eSettings Service;C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe [2006-11-13 00:13]

R2 MobilityService;MobilityService;C:\Acer\Mobility Center\MobilityService.exe [2006-11-24 13:57]

R2 WMIService;ePower Service;C:\Acer\Empowering Technology\ePower\ePowerSvc.exe [2006-12-01 10:34]

R2 XAudio;XAudio;C:\Windows\system32\DRIVERS\xaudio.sys [2006-08-04 11:39]

R3 lv321av;Logitech USB PC Camera (VC0321);C:\Windows\system32\DRIVERS\lv321av.sys [2006-11-20 12:02]

S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;C:\Windows\system32\DRIVERS\b57nd60x.sys [2006-11-02 09:30]

S3 HauppaugeTVServer;HauppaugeTVServer;C:\PROGRA~1\WinTV\HCWTVS~1.EXE [2007-02-20 16:11]

S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;C:\Windows\system32\Drivers\hcw95bda.sys [2007-06-04 20:00]

S3 hcw95rc;Hauppauge MOD7700 IR Driver;C:\Windows\system32\DRIVERS\hcw95rc.sys [2007-06-04 20:02]

S3 SMSCIRDA;SMSC Infrared Device Driver;C:\Windows\system32\DRIVERS\SMSCirda.sys [2006-10-18 16:44]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs REG_MULTI_SZ BthServ

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-05-13 17:47:31 C:\Windows\Tasks\GlaryInitialize.job"

- C:\Program Files\Glary Utilities\initialize.exe

"2008-05-02 18:00:00 C:\Windows\Tasks\Norton Internet Security - Analyse système complète - joelle.job"

- C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exeB/TASK:

"2008-05-13 18:50:00 C:\Windows\Tasks\User_Feed_Synchronization-{9382FF5F-2B56-43B3-91C1-2042D738CD8E}.job"

- C:\Windows\system32\msfeedssync.exe

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-13 20:48:55

Windows 6.0.6001 Service Pack 1 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-05-13 20:50:31

ComboFix-quarantined-files.txt 2008-05-13 18:50:02

ComboFix2.txt 2008-05-13 18:39:23

ComboFix3.txt 2008-05-11 22:52:56

ComboFix4.txt 2008-05-11 22:09:19

 

Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.

Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.

 

175 --- E O F --- 2008-05-13 18:28:45

 

 

 

________________________________________________________________________________

__________________________

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:07:22, on 13/05/2008

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Launch Manager\LManager.exe

C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe

C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\WinTV\EPG Services\System\EPGClient.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Windows\System32\rundll32.exe

C:\Windows\ehome\ehmsas.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE

C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE

C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE

C:\Windows\system32\conime.exe

C:\Windows\Explorer.exe

C:\Users\joelle\Desktop\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://edit.europe.yahoo.com/config/mail?....=fr&.src=ym

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/def...://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O1 - Hosts: ::1 localhost

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe"

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [EPGServiceTool] C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [iSUSPM Startup] C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe

O4 - Global Startup: Empowering Technology Launcher.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O13 - Gopher Prefix:

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://charon888.free.fr/plugins/hardwared...on_2_0_4_13.cab

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe

O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe

O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe

O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe

O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)

O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

 

--

End of file - 7153 bytes

[Falkra]

Bonsoir, tout c'est bien passé, tu as fait impeccablement les manips.

 

Tu avais deux clés de registre de démarrage anormales, qu'on ne peut pas supprimer par des méthodes classiques (une histoire de jeux de caractères spéciaux), il a fallu retirer toute une partie des inscriptions du démarrage de windows pour les virer, ensuite j'ai restauré (avec le 2eme script) tes programmes pour ne pas poser de problèmes à ce que tu utilises couramment.

 

Le rapport hijackThis (le dernier) est clean. As-tu encore des symptômes anormaux ?

A priori la connexion n'y est pas liée, mais on peut vérifier d'autres choses. En tout cas ça doit aller mieux.

[arrial]

Salut,

 

En complément de AntiVir, utiliser

ZoneAlarm free !

 

 

 

@+

[Falkra]

Salut,

 

En complément de AntiVir, utiliser

ZoneAlarm free !

 

@+

 

Bonjour, n'allons pas si vite, d'autant que ZoneAlarm free n'est plus vraiment suffisant.

Edit, ne multiplie pas à l'infini ce message partout sur le forum, à cette dose c'est du spam.

[jocepa]

Bonsoir

tout d'abord merci pour les infos (par contre zone alarme je ne connais pas , est ce un anti spyware?? je pensais installer spybot et peut etre un truc style Threatfire...une fois que mon ordi sera ok mais je vais aller voir zone alarm d'un peu plus pres ...)

Falkra merci pour ton aide , je veux pas abuser mais j'ai encore qq petites question:

les "bestioles" trouvé par Antivir(dont je parlais dans mon 1er message) comment je peux m'en débarasser(en particulier le trojan horse TR/BHO.gen ) si j'ai fini par poster ce message c'est parcequ'en demandant de l'aide sur un autre forum( j'ai des problemes suite au passage de Regseeker qui a peut etre ete trop intrusif...) on m'a conseillé de faire d'abord un post a propos de"mes probemes d'infection", avant de voir le reste...

tout est en quarantaine mais je peux pas supprimer direct je suppose , ou les prog concernes ne fonctionneront plus...???

Pour les prog que tu m'as dis d'installer (HJTque j'ai endouble!, DSS, combofix )comment je supprime ceux qui ne sont pas dans le panneau de config??)

désolée de t'embeter encore ...

[Falkra]

Arf, tu te fais désinfecter en même temps sur un autre forum ?

Ca va mettre le bazar ça, si c'est le cas.

[jocepa]

bonjour,

 

non je me fais pas desinfecter dans un autre forum!!!

j'ai fait un autre post pour UN AUTRE PROBLEME (j'ai du supprimer des cles de registre en utilisant reg seeker ou easycleaner faut que je verifie) mais comme mon pc était infecté, on m'a dit d'editer un autre post pour le désinfecte et ensuite de retourner les voir pour mes problemes de registre.......... et c'est pour ça que je suis venu poster ici

est ce que je suis plus claire??

le truc c'est que les problèmes que j'avais initialement exitent toujours (le log permettant de faire un CD de restauration de vista, WMP qui n'affiche que le son des videos ....) que je n'arrive pas à la restaurer la sauvegardefaite par le nettoyeur de registre que j'ai utilisé (j'ai cru comprendre qu'il fallait le faire en mode "sans échec" mais j'ai pas encore trop chercher à savoir comment vu que la première chose à faire était la désinfection...et une fois encore à ce sujet je me suis pas amusée à essayer la méthode de s uns et des autres , je crois que c'est déjà assez le souk dans mon PC ...qui déconne de plus en plus pour la connection, s'arrète au lieu de redémarrer apres l'avoir mis en veille prolongée, et maintenant ne veut plus m'intaller les mises à jour de microsoft!!!

alors je sais pas si c'est lié ou pas au manip faites ces derniers jours , mais tout ce que je veux pour l'instant c'est un pc clean pour pouvoir m'attaquer ensuite au registre et enfin faire un cd de sauvegarde!!!!

je travaille sans filet et sans savoir ce que je fais (enfin ce qu'on me fait faire )et j'avoue que j'aime pas ça du tout, pace qu' 1 fausse manip et non seulement je plante mon"bebe", mais en plus je peux pas recup a partir du cd de sauvegarde( ...et pour cause!!)

Bon j'arrete de me plaindre , mais pourrais tu me dire comment je procede pour nettoyer la quarantaine ????

[Falkra]

Impec, sinon ça augmente la difficulté.

 

WMP c'est une histoire de codec à télécharger certainement, mais ça relève plus de software.

Je déconseille d'employer la veille prolongée, selon le matériel, ça plante +/- déjà en temps normal.

 

La quarantaine d'Antivir, tu peux la purger en allant dans administration, quarantine, et en sélectionnant le fichier, après tu cliques sur le bouton avec une poubelle. Je te joins une image ça sera plus pratique :

Une fois à l'intérieur de la quarantaine il n'y a pas de risque par contre.

 

Ton dernier rapport HijackThis est clean et ne présente pas d'infection active. Si entre temps il n'y avait pas eu de trolleries/spam sur Zonealarm on serait allés plus vite. En ce qui concerne l'infection : plus d'infection active. Antivir peut te trouver des restes éventuellement, si tu fais un scan complet. Mets en quarantaine en cas de doute.

 

Tu utilises AVG antispyware comme antispyware, il est bien et s'il te convient, tu peux le garder.

 

Pose toutes les questions nécessaires, elles sont bienvenues et utiles.