virus

[Apollo]

Re,

 

Lance Hijackthis "Do a system scan ONLY" et coche les cases devant les lignes suivantes:

 

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe

O4 - Global Startup: forteManager.lnk = ?

 

Ferme toutes les applications ouvertes et clique sur "Fix Checked"; valide par Ok juste après.

 

Tu auras besoin d'installer un Firewall pour plus de sécurité mais on voit ça plus tard si tu le veux bien.

************

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à être redémarré, reboote le pc.

 

Poste un nouveau log Hijackthis après le redémarrage de la machine stp.

 

PS: le boulot c'est le boulot, tu viens quand tu le peux

 

@ + tard.

[coolaxa]

voici le rapport,apparement tout va bien.

 

Malwarebytes' Anti-Malware 1.28

Version de la base de données: 1214

Windows 5.1.2600 Service Pack 2

 

27/09/2008 19:40:32

mbam-log-2008-09-27 (19-40-32).txt

 

Type de recherche: Examen complet (C:\|D:\|E:\|)

Eléments examinés: 79285

Temps écoulé: 33 minute(s), 26 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[coolaxa]

le hijack this le voila

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:57:26, on 27/09/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

C:\Program Files\Controle Parental\bin\optproxy.exe

C:\WINDOWS\system32\IoctlSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Orange\Systray\SystrayApp.exe

C:\Program Files\Orange\Launcher\Launcher.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Orange\Deskboard\deskboard.exe

C:\Program Files\Orange\connectivity\connectivitymanager.exe

C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe

C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe

C:\Program Files\Orange\browser\browser.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/bin/frame.cgi?u=http%...0.php%3Fdub%3D1

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [systrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"

O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [indxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.orange.fr

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1220212458436

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1221293393764

O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://plugin.driveragent.com/files/driveragent.cab

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: Orange Contrôle Parental (OPTENET_FILTER) - Orange - C:\Program Files\Controle Parental\bin\optproxy.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

 

--

End of file - 5798 bytes

[Apollo]

Rebonsoir coolaxa.

 

Bon boulot!

 

Garde MBAM pour des analyses ponctuelles sans oublier de le mettre à jour avant de scanner.

 

On va parfaire la protection de ton ordinateur en installant un Firewall (ou pare-feu); c'est la première des protections à avoir sur un pc; on s'y habitue vite.

 

Tu as besoin d'un Firewall, je te propose celui-ci avec son tuto de configuration: http://www.malekal.com/tutorial_COMODO_Firewall.php

 

Pendant le téléchargement et l'installation, pense à décocher les cases proposant Toolbars et autres gadgets inutiles.

 

***************

 

Installe IExplorer 7 qui est mieux sécurisé qu'IE6, très vulnérable.

 

http://www.microsoft.com/france/windows/do...e/getitnow.mspx

 

*******************

 

Après IE7, tu peux aussi installer Le SP3 (service pack 3) pour XP, en allant par le menu Démarrer/tous les programmes/Windows Update (ou Microsoft Update, selon).

 

Ce sera le dernier pack mis à disposition pour le système XP.

 

Retourner autant de fois qu'il faut par après pour installer les mises à jour qui découleront de l'installation du SP3.

 

Je reste à ta disposition pour toute info supplémentaire

 

@++

[coolaxa]

merci pour le coup main c'est vraiment sympa! et ça me touche vraiment au fond de moi ca me rassure de se dire

après tout le monde regorge de chevalier blanc et vous en faites parti alors continu sur le chemin de la droiture et que dieu

vous accompagne.

je vous posterais un rapport kaspersky en ligne et vous me dites si tout est rentrée dans l'ordre

merci!

Modifié le 28 septembre 2008 par coolaxa

[Apollo]

Re,

 

Merci coolaxa, ça fait plaisir de voir des gens contents de nous.

 

Tu peux faire un scan Kaspersky si tu veux vraiment te rassurer, je regarderai.

 

Je vais te laisser les quelques commentaires de fin pour surfer plus sereinement.

 

Pour sécuriser au maximum ton PC, il faut:

 

Que tu connaisses les pièges d'Internet et la façon de les éviter.

Pour cela, consulte ce document au format PDF. Tout y est expliqué.

Jusqu'à présent Vista a été épargné par les virus et troyens essentiellement développés pour XP. Mais il va vite devenir la cible des menaces en tout genre. Donc, autant savoir à l'avance comment se protéger.

 

J'ajoute que maintenant Vista est autant touché par les infections que XP.

Donc la prudence reste de mise.

 

Bonne fin de soirée.

@++

[coolaxa]

rebonsoir appolo,

je reviens vers vous avec mon rapport que voici!

 

KASPERSKY ON-LINE SCANNER REPORT

Saturday, September 27, 2008 10:16:40 PM

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.84.2

Dernière mise à jour de la base antivirus Kaspersky : 27/09/2008

Enregistrements dans la base antivirus Kaspersky : 1131556

 

 

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie vrai

 

Cible de l'analyse Poste de travail

A:\

C:\

D:\

E:\

F:\

 

Statistiques de l'analyse

Total d'objets analysés 46566

Nombre de virus trouvés 2

Nombre d'objets infectés 4 / 0

Nombre d'objets suspects 0

Durée de l'analyse 01:11:40

 

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\ntuser.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\WAHIM\Cookies\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\WAHIM\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\WAHIM\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\WAHIM\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\WAHIM\Local Settings\Historique\History.IE5\MSHist012008092720080928\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\WAHIM\Local Settings\temp\~DF2F78.tmp L'objet est verrouillé ignoré

 

C:\Documents and Settings\WAHIM\Local Settings\temp\~DF3B1D.tmp L'objet est verrouillé ignoré

 

C:\Documents and Settings\WAHIM\Local Settings\temp\~DFBE0B.tmp L'objet est verrouillé ignoré

 

C:\Documents and Settings\WAHIM\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\WAHIM\ntuser.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\WAHIM\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Program Files\Orange\Config\User0\Browser\Links.db L'objet est verrouillé ignoré

 

C:\QooBox\Quarantine\Registry_backups\Legacy_SROSA.reg.dat Infecté : Trojan-Downloader.Win32.Bagle.hp ignoré

 

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

 

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

 

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

 

E:\emule\eMule\Temp\010.part/Microsoft Office 2008 Final Edition/setup.exe/is154073.exe Infecté : Trojan.Win32.Monder.gen ignoré

 

E:\emule\eMule\Temp\010.part/Microsoft Office 2008 Final Edition/setup.exe Infecté : Trojan.Win32.Monder.gen ignoré

 

E:\emule\eMule\Temp\010.part ISOimage: infecté - 2 ignoré

 

Analyse terminée.

[Apollo]

Re,

Tu peux me tutoyer je ne suis pas un baron

 

Tu as utilisé ComboFix?

Cet outil ne doit pas être utilisé sans avis très éclairé.

 

S'il est encore présent sur le bureau, tu vas le désinstaller comme ceci:

 

 

Désinstalle ComboFix de cette manière en copiant/collant la ligne ci-dessous dans exécuter et valide:

 

ComboFix /u

 

Vire ce dossier: C:\Qoobox puis vide la corbeille.

 

** Cherche et élimine le dossier indiqué en gras:

 

E:\emule\eMule

 

S'il résiste: utilise Unlocker: Télécharger

 

Rends-toi ensuite dans les options Internet d'Explorer, onglet sécurité et règle les paramètres par défaut pour pouvoir installer un Active X.

 

Fais ensuite ce scan qui désinfecte en ligne: (coche la case AutoClean ainsi que toutes les lettres de tes lecteurs.)

 

http://www.secuser.com/outils/antivirus_installation.htm

 

@ + tard, c'est presque fini.

[coolaxa]

bonjour apollo,

eh oui ! je n'ai toujours pas régler mon problème.

primo: je n'arrive pas à trouver les fichiers en question?

secondo: aprés téléchargement de unlocker refuse de démarrer?

alors je fais appel à toi afin de m'éclairer

merci

Modifié le 28 septembre 2008 par coolaxa

[Apollo]

Bonjour,

 

Unlocker s'utilise avec le clic droit sur un fichier/dossier qui s'obstinerait à être liquidé

 

 

Mais ce n'est pas grave, je te prépare une autre solution pour virer ces trucs.

Je reviens.

Modifié le 28 septembre 2008 par Apollo