Bonjour,
Même punitions que mes petit camarades, j'ai été infecté par ce virus.
Pas sur le même site que dlm (post du 19/08/2008) mais de la même manière.
Malheureusement je suis moins bon que lui pour résoudre mon probléme.
-En faisant msconfig, j'ai vu comme lui que le svchost ainsi que le .scr se sont mis au démarrage.
-J'ai installé hijackthis et je vous joint le rapport.
Merci de votre aide.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:21:28, on 21/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\Logi_MwX.Exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\lphctu8j0en1r.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\PASCAL\Bureau\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [lphctu8j0en1r] C:\WINDOWS\system32\lphctu8j0en1r.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F594AB5D-A468-4B72-8629-C0E36E314345}: NameServer = 80.10.246.130 81.253.149.10
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 5344 bytes
Ecran bleu "Warning spyware"
Modérateur: Modérateurs
Règles du forum
Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
Voir le premier message non lu • 9 messages
• Page 1 sur 1
Ecran bleu "Warning spyware"
par Nao72 » 21 Aoû 2008 18:44
-
Nao72 - Messages: 6
- Inscription: 21 Aoû 2008 18:26
Re: Ecran bleu "Warning spyware"
par chermositto » 21 Aoû 2008 18:50
Bonjour. Quand c'est pas trop indiscret serait-il possible quand vous êtes infectés de dire ce que vous avez fait et où vous avez chopé ce virus pour qu'on puisse s'en protéger ?
Dernière édition par Falkra le 21 Aoû 2008 23:32, édité 1 fois.
Raison: /Falkra : n'hésitez pas à ouvrir un sujet dans la section discussions, on vous explique ça plus en détail. ;) Mais dans l'autre section.
Raison: /Falkra : n'hésitez pas à ouvrir un sujet dans la section discussions, on vous explique ça plus en détail. ;) Mais dans l'autre section.
Rien de spécial
-
chermositto - Maître Libellulien
- Messages: 655
- Inscription: 06 Déc 2007 12:31
- Localisation: France
Re: Ecran bleu "Warning spyware"
par Nao72 » 21 Aoû 2008 18:54
Simple surf sur internet avec Firefox sur un blog de mangas.
-
Nao72 - Messages: 6
- Inscription: 21 Aoû 2008 18:26
Re: Ecran bleu "Warning spyware"
par Loup Blanc » 21 Aoû 2008 22:45
Bonsoir Nao72,
Bienvenu sur Libellules.
Tu es effectivement infecté par cette saleté, mais ce n'est pas vraiment une surprise, ton système n'est pas parfaitement à jour et cette infection arrive souvent grâce aux failles de sécurité. La version 6 de IE en est bourrée, il faut passer à la version 7, même si tu ne l'utilises pas pour surfer (attend la fin de la désinfection pour faire cette mise à jour).
Pour commencer la désinfection, fait ceci :
Ensuite poste un nouveau rapport Hijackthis
Bienvenu sur Libellules.
Tu es effectivement infecté par cette saleté, mais ce n'est pas vraiment une surprise, ton système n'est pas parfaitement à jour et cette infection arrive souvent grâce aux failles de sécurité. La version 6 de IE en est bourrée, il faut passer à la version 7, même si tu ne l'utilises pas pour surfer (attend la fin de la désinfection pour faire cette mise à jour).
Pour commencer la désinfection, fait ceci :
- Télécharge SDFix (de Andy Manchesta) sur ton bureau
- Double clique sur SDFix.exe puis sur Install, clique ensuite sur Browse pour installer Sdfix sur ton bureau.
- Redémarre ton PC en mode sans échecs (Touche F8 au démarrage du PC juste avant l'apparition du chenillard de Windows)
- Ouvre le dossier SDFix qui se trouve maintenant sur ton bureau et lance le script en faisant un double clic sur le fichier RunThis.bat .
- Accepte le lancement en appuyant sur Y.
- Ton bureau va disparaître pendant le nettoyage,
- A la fin du scan accepte le redémarrage de ton PC et laisse le nettoyage se poursuivre jusqu'à la fin.
- Le rapport de nettoyage va s'ouvrir, copie/colle tout son contenu dans ton prochain message (tu pourras trouver ce rapport dans le répertoire de Sdfix : report.txt).
Ensuite poste un nouveau rapport Hijackthis
Loup blanc
-
Loup Blanc - Libellulien Junior
- Messages: 308
- Inscription: 10 Juil 2008 20:36
- Localisation: Dans les Alpes
Re: Ecran bleu "Warning spyware"
par Nao72 » 22 Aoû 2008 13:00
Bonjour,
Et déjà un grand MERCI.
A première vu, le virus n'apparait plus. Le Logiciel SDFix est très efficace donc merci aussi à AndyManchesta.
Je vous poste le rapport SDFix et ensuite le rapport HisjackThis pour savoir si il y a d'autres infections ou problèmes.
J'attends tous vos commentaires pour la suite ayant déjà compris de mettre IE7 et plutôt Antivir (il y a un tuto en francais quelque part?) à la place d'Avast.
SDFix: Version 1.218
Run by PASCAL on 22/08/2008 at 09:01
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Restoring Default Desktop Wallpaper
Restoring Default ScreenSaver value
Rebooting
Checking Files :
Trojan Files Found:
C:\WINDOWS\system32\lphctu8j0en1r.exe - Deleted
C:\WINDOWS\SYSTEM32\PHCTU8~1.BMP - Deleted
C:\WINDOWS\system32\blphctu8j0en1r.scr - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt1.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt2.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt3.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt4.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt5.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt6.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt7.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt8.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt9.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.ttA.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.ttB.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.ttC.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt1.tmp.vbs - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt2.tmp.vbs - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt5.tmp.vbs - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt6.tmp.vbs - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt9.tmp.vbs - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.ttA.tmp.vbs - Deleted
C:\WINDOWS\system32\drivers\tdssserv.sys - Deleted
C:\WINDOWS\system32\tdssadw.dll - Deleted
C:\WINDOWS\system32\tdssinit.dll - Deleted
C:\WINDOWS\system32\tdssl.dll - Deleted
C:\WINDOWS\system32\tdsslog.dll - Deleted
C:\WINDOWS\system32\tdssmain.dll - Deleted
C:\WINDOWS\system32\tdssservers.dat - Deleted
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-22 09:06:08
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40]
"khjeh"=hex:20,02,00,00,d2,e2,55,43,72,19,74,9d,16,a6,92,8f,c7,03,09,51,4e,..
"hj34z0"=hex:4f,9d,07,ad,b9,fb,84,fb,a9,2b,1e,25,de,bb,c5,fa,6e,13,f6,05,a0,..
"hj34z1"=hex:d2,c0,4b,ab,c1,45,d0,fd,a8,62,42,23,df,6f,a0,fc,6e,4d,98,03,2d,..
"hj34z2"=hex:d2,b8,e6,a0,c1,e9,6d,f6,a8,d4,ef,28,df,50,3d,f7,6e,ec,f6,0b,2d,..
"hj34z3"=hex:d2,46,0a,b8,c1,9f,91,ee,a8,c5,03,30,df,c3,e1,ef,6e,11,da,10,2d,..
"hj34z4"=hex:d2,00,de,b6,c1,29,64,e0,a8,2c,f7,3e,df,80,2a,e1,6e,63,00,1e,2d,..
"hj34z5"=hex:d2,44,5c,8f,c1,38,e6,d9,a8,86,76,07,df,2c,b5,d8,6e,92,81,27,2d,..
"hj34z6"=hex:d2,95,9a,85,c1,4b,27,d3,a8,73,b5,0d,df,bb,74,d2,6e,b4,41,2d,2d,..
"hj34z7"=hex:d2,f9,a3,83,c1,2b,2e,d5,a8,16,ae,0b,df,12,72,d4,6e,05,48,2b,2d,..
"hj34z8"=hex:d2,54,70,99,c1,fb,fa,cf,a8,1c,9b,11,df,d5,4f,ce,6e,b6,66,31,2d,..
"hj34z9"=hex:d2,87,1b,97,c1,da,a6,c1,a8,0c,37,1f,df,96,eb,c0,6e,27,c2,3f,2d,..
"hj34z10"=hex:d2,14,92,92,c1,99,1f,c4,a8,17,be,1a,df,ad,62,c5,6e,e3,5a,3a,2d,..
"hj34z11"=hex:d2,29,e0,e9,c1,9d,69,bf,a8,3c,ec,61,df,73,3d,be,6e,6a,08,41,2d,..
"hj34z12"=hex:d2,25,12,e7,c1,bf,9f,b1,a8,e4,3f,6f,df,e0,e3,b0,6e,f5,dd,4f,2d,..
"hj34z13"=hex:d2,d4,25,e2,c1,49,a3,b4,a8,30,32,6a,df,38,f7,b5,6e,ff,c1,4a,2d,..
"hj34z14"=hex:d2,7b,08,f9,c1,d5,91,af,a8,5d,05,71,df,05,da,ae,6e,14,d3,51,2d,..
"hj34z15"=hex:d2,09,e7,f5,c1,45,61,a3,a8,c3,f5,7d,df,a9,35,a2,6e,2f,03,5d,2d,..
"hj34z16"=hex:d2,c1,91,f0,c1,92,1f,a6,a8,5c,bf,78,df,3e,60,a7,6e,81,5c,58,2d,..
"hj34z17"=hex:d2,4c,35,cf,c1,3f,b3,99,a8,9c,23,47,df,11,84,98,6e,8e,b0,67,2d,..
"hj34z18"=hex:d2,15,b0,cb,c1,99,38,9d,a8,16,de,43,df,ac,03,9c,6e,e2,3c,63,2d,..
"hj34z19"=hex:d2,4e,22,c6,c1,6d,ae,90,a8,72,30,4e,df,a0,f1,91,6e,cd,ce,6e,2d,..
"hj34z20"=hex:d2,95,78,c2,c1,4f,07,94,a8,4a,97,4a,df,b6,48,95,6e,aa,67,6a,2d,..
"hj34z21"=hex:d2,d9,c3,de,c1,20,4c,88,a8,59,d2,56,df,b1,17,89,6e,b2,20,76,2d,..
"hj34z22"=hex:d2,10,f1,da,c1,eb,7f,8c,a8,b8,e0,52,df,ad,c1,82,6e,89,fe,7d,2d,..
"hj34z23"=hex:d2,4a,11,d1,c1,bc,9f,87,a8,9c,00,59,df,9c,e1,86,6e,8b,de,79,2d,..
"hj34z24"=hex:d2,66,22,2d,c1,a2,ae,7b,a8,93,31,a5,df,ad,f6,7a,6e,67,c1,85,2d,..
"hj34z25"=hex:d2,49,23,29,c1,db,ad,7f,a8,46,32,a1,df,01,f4,7e,6e,14,c0,81,2d,..
"hj34z26"=hex:d2,93,13,25,c1,b0,9c,73,a8,ac,03,ad,df,78,e5,72,6e,13,d3,8d,2d,..
"hj34z27"=hex:d2,ec,f3,26,c1,66,7c,70,a8,e1,e3,ae,df,4d,c5,76,6e,30,f3,89,2d,..
"hj34z28"=hex:d2,9d,07,ad,c1,fb,84,fb,a8,2b,1f,25,df,bb,c5,fa,6e,13,f6,05,2d,..
"hj34z29"=hex:d2,9d,07,ad,c1,fb,84,fb,a8,2b,1f,25,df,bb,c5,fa,6e,13,f6,05,2d,..
"hj34z30"=hex:d2,9d,07,ad,c1,fb,84,fb,a8,2b,1f,25,df,bb,c5,fa,6e,13,f6,05,2d,..
"hj34z31"=hex:d2,9d,07,ad,c1,fb,84,fb,a8,2b,1f,25,df,bb,c5,fa,6e,13,f6,05,2d,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:0004dce9
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{F594AB5D-A468-4B72-8629-C0E36E314345}]
"NTEContextList"=str(7):""
"DhcpIPAddress"="0.0.0.0"
"DhcpSubnetMask"="0.0.0.0"
"NameServer"=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\tdssserv.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\tdssserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\tdssserv.sys"
scanning hidden registry entries ...
scanning hidden files ...
C:\WINDOWS\Temp\_av_proI.tm~a02784
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 1
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\SuperCopier\\SuperCopier.exe"="C:\\Program Files\\SuperCopier\\SuperCopier.exe:*:Enabled:SuperCopier"
"C:\\Program Files\\AvRack\\rtlrack.exe"="C:\\Program Files\\AvRack\\rtlrack.exe:*:Enabled:AvRack"
"C:\\Program Files\\MSN\\MSNCoreFiles\\msn6.exe"="C:\\Program Files\\MSN\\MSNCoreFiles\\msn6.exe:*:Enabled:MSN Explorer"
"C:\\Program Files\\Outlook Express\\msimn.exe"="C:\\Program Files\\Outlook Express\\msimn.exe:*:Enabled:Outlook Express"
"C:\\Program Files\\Adobe\\Acrobat 6.0\\Reader\\plug_ins\\Printme\\ConsoleApp.exe"="C:\\Program Files\\Adobe\\Acrobat 6.0\\Reader\\plug_ins\\Printme\\ConsoleApp.exe:*:Enabled:Pilote de t‚l‚chargement"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Lavalys\\EVEREST Home Edition\\everest.exe"="C:\\Program Files\\Lavalys\\EVEREST Home Edition\\everest.exe:*:Enabled:EVEREST Home Edition"
"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kav.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kav.exe:*:Enabled:Kaspersky Anti-Virus Personal"
"C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942.exe"="C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942.exe:*:Enabled:BF1942"
"C:\\Program Files\\WinRAR\\WinRAR.exe"="C:\\Program Files\\WinRAR\\WinRAR.exe:*:Enabled:WinRAR"
"C:\\Program Files\\Cpuz\\cpuz.exe"="C:\\Program Files\\Cpuz\\cpuz.exe:*:Enabled:cpuz.exe"
"C:\\Program Files\\Valve\\Half Life 2\\hl2.exe"="C:\\Program Files\\Valve\\Half Life 2\\hl2.exe:*:Enabled:hl2"
"C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942_w32ded.exe"="C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942_w32ded.exe:*:Enabled:BF1942_w32ded"
"C:\\Program Files\\EA GAMES\\La Bataille pour la Terre du Milieu(tm)\\game.dat"="C:\\Program Files\\EA GAMES\\La Bataille pour la Terre du Milieu(tm)\\game.dat:*:Enabled:La Bataille pour la Terre du Milieu(tm)"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Empire Interactive\\FlatOut\\flatout.exe"="C:\\Program Files\\Empire Interactive\\FlatOut\\flatout.exe:*:Enabled:flatout"
"\\\\Nao\\Games\\Ski.Racing.2006.Feat.Hermann.Maier-RELOADED\\Ski Racing 2006\\SR2006.exe"="\\\\Nao\\Games\\Ski.Racing.2006.Feat.Hermann.Maier-RELOADED\\Ski Racing 2006\\SR2006.exe:*:Enabled:SR2006"
"C:\\Program Files\\Crazy Browser\\Crazy Browser.exe"="C:\\Program Files\\Crazy Browser\\Crazy Browser.exe:*:Enabled:Crazy Browser"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\GIGABYTE\\@BIOS\\gwflash.exe"="C:\\Program Files\\GIGABYTE\\@BIOS\\gwflash.exe:*:Enabled:gwflash"
"C:\\Program Files\\Free Music Zilla\\FMZilla.exe"="C:\\Program Files\\Free Music Zilla\\FMZilla.exe:*:Enabled:FMZilla Module"
"C:\\WINDOWS\\system32\\drivers\\svchost.exe"="C:\\WINDOWS\\system32\\drivers\\svchost.exe:*:Disabled:svchost"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
Remaining Files :
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes :
Fri 26 May 2006 4,789,792 ...H. --- "C:\Program Files\Picasa2\setup.exe"
Sun 26 Jun 2005 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 8 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\71fa8e4b1f1c72b0e3a5d30a0a049f55\BIT2.tmp"
Finished!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:58:14, on 22/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\Logi_MwX.Exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\PASCAL\Bureau\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F594AB5D-A468-4B72-8629-C0E36E314345}: NameServer = 80.10.246.1 81.253.149.2
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 5022 bytes
Et déjà un grand MERCI.
A première vu, le virus n'apparait plus. Le Logiciel SDFix est très efficace donc merci aussi à AndyManchesta.
Je vous poste le rapport SDFix et ensuite le rapport HisjackThis pour savoir si il y a d'autres infections ou problèmes.
J'attends tous vos commentaires pour la suite ayant déjà compris de mettre IE7 et plutôt Antivir (il y a un tuto en francais quelque part?) à la place d'Avast.
SDFix: Version 1.218
Run by PASCAL on 22/08/2008 at 09:01
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Restoring Default Desktop Wallpaper
Restoring Default ScreenSaver value
Rebooting
Checking Files :
Trojan Files Found:
C:\WINDOWS\system32\lphctu8j0en1r.exe - Deleted
C:\WINDOWS\SYSTEM32\PHCTU8~1.BMP - Deleted
C:\WINDOWS\system32\blphctu8j0en1r.scr - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt1.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt2.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt3.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt4.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt5.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt6.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt7.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt8.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt9.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.ttA.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.ttB.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.ttC.tmp - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt1.tmp.vbs - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt2.tmp.vbs - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt5.tmp.vbs - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt6.tmp.vbs - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.tt9.tmp.vbs - Deleted
C:\DOCUME~1\PASCAL\LOCALS~1\Temp\.ttA.tmp.vbs - Deleted
C:\WINDOWS\system32\drivers\tdssserv.sys - Deleted
C:\WINDOWS\system32\tdssadw.dll - Deleted
C:\WINDOWS\system32\tdssinit.dll - Deleted
C:\WINDOWS\system32\tdssl.dll - Deleted
C:\WINDOWS\system32\tdsslog.dll - Deleted
C:\WINDOWS\system32\tdssmain.dll - Deleted
C:\WINDOWS\system32\tdssservers.dat - Deleted
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-22 09:06:08
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40]
"khjeh"=hex:20,02,00,00,d2,e2,55,43,72,19,74,9d,16,a6,92,8f,c7,03,09,51,4e,..
"hj34z0"=hex:4f,9d,07,ad,b9,fb,84,fb,a9,2b,1e,25,de,bb,c5,fa,6e,13,f6,05,a0,..
"hj34z1"=hex:d2,c0,4b,ab,c1,45,d0,fd,a8,62,42,23,df,6f,a0,fc,6e,4d,98,03,2d,..
"hj34z2"=hex:d2,b8,e6,a0,c1,e9,6d,f6,a8,d4,ef,28,df,50,3d,f7,6e,ec,f6,0b,2d,..
"hj34z3"=hex:d2,46,0a,b8,c1,9f,91,ee,a8,c5,03,30,df,c3,e1,ef,6e,11,da,10,2d,..
"hj34z4"=hex:d2,00,de,b6,c1,29,64,e0,a8,2c,f7,3e,df,80,2a,e1,6e,63,00,1e,2d,..
"hj34z5"=hex:d2,44,5c,8f,c1,38,e6,d9,a8,86,76,07,df,2c,b5,d8,6e,92,81,27,2d,..
"hj34z6"=hex:d2,95,9a,85,c1,4b,27,d3,a8,73,b5,0d,df,bb,74,d2,6e,b4,41,2d,2d,..
"hj34z7"=hex:d2,f9,a3,83,c1,2b,2e,d5,a8,16,ae,0b,df,12,72,d4,6e,05,48,2b,2d,..
"hj34z8"=hex:d2,54,70,99,c1,fb,fa,cf,a8,1c,9b,11,df,d5,4f,ce,6e,b6,66,31,2d,..
"hj34z9"=hex:d2,87,1b,97,c1,da,a6,c1,a8,0c,37,1f,df,96,eb,c0,6e,27,c2,3f,2d,..
"hj34z10"=hex:d2,14,92,92,c1,99,1f,c4,a8,17,be,1a,df,ad,62,c5,6e,e3,5a,3a,2d,..
"hj34z11"=hex:d2,29,e0,e9,c1,9d,69,bf,a8,3c,ec,61,df,73,3d,be,6e,6a,08,41,2d,..
"hj34z12"=hex:d2,25,12,e7,c1,bf,9f,b1,a8,e4,3f,6f,df,e0,e3,b0,6e,f5,dd,4f,2d,..
"hj34z13"=hex:d2,d4,25,e2,c1,49,a3,b4,a8,30,32,6a,df,38,f7,b5,6e,ff,c1,4a,2d,..
"hj34z14"=hex:d2,7b,08,f9,c1,d5,91,af,a8,5d,05,71,df,05,da,ae,6e,14,d3,51,2d,..
"hj34z15"=hex:d2,09,e7,f5,c1,45,61,a3,a8,c3,f5,7d,df,a9,35,a2,6e,2f,03,5d,2d,..
"hj34z16"=hex:d2,c1,91,f0,c1,92,1f,a6,a8,5c,bf,78,df,3e,60,a7,6e,81,5c,58,2d,..
"hj34z17"=hex:d2,4c,35,cf,c1,3f,b3,99,a8,9c,23,47,df,11,84,98,6e,8e,b0,67,2d,..
"hj34z18"=hex:d2,15,b0,cb,c1,99,38,9d,a8,16,de,43,df,ac,03,9c,6e,e2,3c,63,2d,..
"hj34z19"=hex:d2,4e,22,c6,c1,6d,ae,90,a8,72,30,4e,df,a0,f1,91,6e,cd,ce,6e,2d,..
"hj34z20"=hex:d2,95,78,c2,c1,4f,07,94,a8,4a,97,4a,df,b6,48,95,6e,aa,67,6a,2d,..
"hj34z21"=hex:d2,d9,c3,de,c1,20,4c,88,a8,59,d2,56,df,b1,17,89,6e,b2,20,76,2d,..
"hj34z22"=hex:d2,10,f1,da,c1,eb,7f,8c,a8,b8,e0,52,df,ad,c1,82,6e,89,fe,7d,2d,..
"hj34z23"=hex:d2,4a,11,d1,c1,bc,9f,87,a8,9c,00,59,df,9c,e1,86,6e,8b,de,79,2d,..
"hj34z24"=hex:d2,66,22,2d,c1,a2,ae,7b,a8,93,31,a5,df,ad,f6,7a,6e,67,c1,85,2d,..
"hj34z25"=hex:d2,49,23,29,c1,db,ad,7f,a8,46,32,a1,df,01,f4,7e,6e,14,c0,81,2d,..
"hj34z26"=hex:d2,93,13,25,c1,b0,9c,73,a8,ac,03,ad,df,78,e5,72,6e,13,d3,8d,2d,..
"hj34z27"=hex:d2,ec,f3,26,c1,66,7c,70,a8,e1,e3,ae,df,4d,c5,76,6e,30,f3,89,2d,..
"hj34z28"=hex:d2,9d,07,ad,c1,fb,84,fb,a8,2b,1f,25,df,bb,c5,fa,6e,13,f6,05,2d,..
"hj34z29"=hex:d2,9d,07,ad,c1,fb,84,fb,a8,2b,1f,25,df,bb,c5,fa,6e,13,f6,05,2d,..
"hj34z30"=hex:d2,9d,07,ad,c1,fb,84,fb,a8,2b,1f,25,df,bb,c5,fa,6e,13,f6,05,2d,..
"hj34z31"=hex:d2,9d,07,ad,c1,fb,84,fb,a8,2b,1f,25,df,bb,c5,fa,6e,13,f6,05,2d,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:0004dce9
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{F594AB5D-A468-4B72-8629-C0E36E314345}]
"NTEContextList"=str(7):""
"DhcpIPAddress"="0.0.0.0"
"DhcpSubnetMask"="0.0.0.0"
"NameServer"=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\tdssserv.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\tdssserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\tdssserv.sys"
scanning hidden registry entries ...
scanning hidden files ...
C:\WINDOWS\Temp\_av_proI.tm~a02784
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 1
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\SuperCopier\\SuperCopier.exe"="C:\\Program Files\\SuperCopier\\SuperCopier.exe:*:Enabled:SuperCopier"
"C:\\Program Files\\AvRack\\rtlrack.exe"="C:\\Program Files\\AvRack\\rtlrack.exe:*:Enabled:AvRack"
"C:\\Program Files\\MSN\\MSNCoreFiles\\msn6.exe"="C:\\Program Files\\MSN\\MSNCoreFiles\\msn6.exe:*:Enabled:MSN Explorer"
"C:\\Program Files\\Outlook Express\\msimn.exe"="C:\\Program Files\\Outlook Express\\msimn.exe:*:Enabled:Outlook Express"
"C:\\Program Files\\Adobe\\Acrobat 6.0\\Reader\\plug_ins\\Printme\\ConsoleApp.exe"="C:\\Program Files\\Adobe\\Acrobat 6.0\\Reader\\plug_ins\\Printme\\ConsoleApp.exe:*:Enabled:Pilote de t‚l‚chargement"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Lavalys\\EVEREST Home Edition\\everest.exe"="C:\\Program Files\\Lavalys\\EVEREST Home Edition\\everest.exe:*:Enabled:EVEREST Home Edition"
"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kav.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kav.exe:*:Enabled:Kaspersky Anti-Virus Personal"
"C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942.exe"="C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942.exe:*:Enabled:BF1942"
"C:\\Program Files\\WinRAR\\WinRAR.exe"="C:\\Program Files\\WinRAR\\WinRAR.exe:*:Enabled:WinRAR"
"C:\\Program Files\\Cpuz\\cpuz.exe"="C:\\Program Files\\Cpuz\\cpuz.exe:*:Enabled:cpuz.exe"
"C:\\Program Files\\Valve\\Half Life 2\\hl2.exe"="C:\\Program Files\\Valve\\Half Life 2\\hl2.exe:*:Enabled:hl2"
"C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942_w32ded.exe"="C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942_w32ded.exe:*:Enabled:BF1942_w32ded"
"C:\\Program Files\\EA GAMES\\La Bataille pour la Terre du Milieu(tm)\\game.dat"="C:\\Program Files\\EA GAMES\\La Bataille pour la Terre du Milieu(tm)\\game.dat:*:Enabled:La Bataille pour la Terre du Milieu(tm)"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Empire Interactive\\FlatOut\\flatout.exe"="C:\\Program Files\\Empire Interactive\\FlatOut\\flatout.exe:*:Enabled:flatout"
"\\\\Nao\\Games\\Ski.Racing.2006.Feat.Hermann.Maier-RELOADED\\Ski Racing 2006\\SR2006.exe"="\\\\Nao\\Games\\Ski.Racing.2006.Feat.Hermann.Maier-RELOADED\\Ski Racing 2006\\SR2006.exe:*:Enabled:SR2006"
"C:\\Program Files\\Crazy Browser\\Crazy Browser.exe"="C:\\Program Files\\Crazy Browser\\Crazy Browser.exe:*:Enabled:Crazy Browser"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\GIGABYTE\\@BIOS\\gwflash.exe"="C:\\Program Files\\GIGABYTE\\@BIOS\\gwflash.exe:*:Enabled:gwflash"
"C:\\Program Files\\Free Music Zilla\\FMZilla.exe"="C:\\Program Files\\Free Music Zilla\\FMZilla.exe:*:Enabled:FMZilla Module"
"C:\\WINDOWS\\system32\\drivers\\svchost.exe"="C:\\WINDOWS\\system32\\drivers\\svchost.exe:*:Disabled:svchost"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
Remaining Files :
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes :
Fri 26 May 2006 4,789,792 ...H. --- "C:\Program Files\Picasa2\setup.exe"
Sun 26 Jun 2005 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 8 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\71fa8e4b1f1c72b0e3a5d30a0a049f55\BIT2.tmp"
Finished!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:58:14, on 22/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\Logi_MwX.Exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\PASCAL\Bureau\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F594AB5D-A468-4B72-8629-C0E36E314345}: NameServer = 80.10.246.1 81.253.149.2
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 5022 bytes
-
Nao72 - Messages: 6
- Inscription: 21 Aoû 2008 18:26
Re: Ecran bleu "Warning spyware"
par Nao72 » 22 Aoû 2008 19:18
Re-bonjour,
J'ai oublié de mentionner lors de mon dernier message que XP m'a signalé un rapportd'erreur pour CALMAIN.EXE
Cordialement.
J'ai oublié de mentionner lors de mon dernier message que XP m'a signalé un rapportd'erreur pour CALMAIN.EXE
Cordialement.
-
Nao72 - Messages: 6
- Inscription: 21 Aoû 2008 18:26
Re: Ecran bleu "Warning spyware"
par Loup Blanc » 22 Aoû 2008 21:19
Sdfix a bien bossé, le rapport Hijackthis est propre.
Pour CALMAIN.EXE, si l'erreur se reproduit, tu peux réinstaller les drivers de ton appareil Canon.
On peut maintenant sécuriser un peu mieux ton PC :
Voilà , il ne te restera plus qu'a désinstaller Sdfix dans "Ajout/Suppression de programmes"
Pour CALMAIN.EXE, si l'erreur se reproduit, tu peux réinstaller les drivers de ton appareil Canon.
On peut maintenant sécuriser un peu mieux ton PC :
- Il faut mettre et maintenir ton système à jour (OS + Java + IE), les failles de sécurités sont souvent exploitées par les malwares pour s'installer sur le PC.
Avec un système à jour, ce risque est moindre.
Tu peux récupérer IE7 ici : http://www.microsoft.com/france/windows ... itnow.Mspx - Installer un bon antivirus : je te conseille Avira Antivir, gratuit et très performant (attention tout de même, il ne faut pas avoir deux antivirus actif en même temps, il faudra donc désinstaller Avast),
Avast est à oublier pour le moment, il n'est pas suffisamment efficace pour te protéger. - Installer un pare-feu plus efficace que celui de XP, comme Sunbelt Personnal Firewall (ex Kerio) ou Zone alarm qui sont relativement simple à configurer. Plus tard si tu veux aller plus loin, tu pourras essayer un pare-feu un peu plus complexes comme Commodo, Oneline Armor...
- Installer un bon Antispyware : Malwarebyte Antimalwares s'améliore de jour en jour. Il ne te protégera pas en temps réel dans sa version gratuite, mais pour vérifier ton disque régulièrement il est vraiment très bon, il faut juste penser à le mettre à jour manuellement avant chaque utilisation.
- Dernière chose, comme les malwares et les protections évoluent très vite, il ne faut pas te contenter d'installer tout ça, il faut aussi suivre un peu l'actualité dans ce domaine, les protections que je te propose si elle sont efficace en ce moment ne le seront peut-être plus assez dans 6 mois, donc un petit tour dans les forums de sécurité régulièrement ne sera pas une perte de temps
Voilà , il ne te restera plus qu'a désinstaller Sdfix dans "Ajout/Suppression de programmes"
Loup blanc
-
Loup Blanc - Libellulien Junior
- Messages: 308
- Inscription: 10 Juil 2008 20:36
- Localisation: Dans les Alpes
Re: Ecran bleu "Warning spyware" (Résolu)
par Nao72 » 22 Aoû 2008 22:45
Bonsoir,
Encore merci Loup BLanc, et merci à libellules.
Pour info :
IE7 fait.
MAM en cours.
Antivir à suivre.
Etc...
Bravo, vous faites un travail formidable.
Encore merci Loup BLanc, et merci à libellules.
Pour info :
IE7 fait.
MAM en cours.
Antivir à suivre.
Etc...
Bravo, vous faites un travail formidable.
-
Nao72 - Messages: 6
- Inscription: 21 Aoû 2008 18:26
Re: Ecran bleu "Warning spyware"
par Loup Blanc » 23 Aoû 2008 00:26
Pour Antivir, ne tarde pas trop, Avast est une vrai passoire depuis un certain temps.
Tu peux aussi, si tu préfères un AV payant, utiliser Kaspersky, il est au top
Tu peux aussi, si tu préfères un AV payant, utiliser Kaspersky, il est au top
Loup blanc
-
Loup Blanc - Libellulien Junior
- Messages: 308
- Inscription: 10 Juil 2008 20:36
- Localisation: Dans les Alpes
9 messages
• Page 1 sur 1
Retourner vers Désinfections et demandes d'analyse
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité
A consulter aussi : The Site Oueb - Forum ADSL - Tutoriels vidéo - Annuaire phpBB SEO - Windows 7 - Windows Vista
