infection par gpedits!

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

infection par gpedits!

Messagepar dezh » 04 Aoû 2008 19:59

Bonjour à tous! :-D
J'expose la raison qui m'a amené à recourir à votre aide: après avoir réalisé plusieurs téléchargements, une fenêtre appelée "gpedits" est apparue dans l'écran.. impossible de m'en débarrasser puisqu'elle reparait à chaque fois que je clique sur OK ou que je ferme le message. La fenêtre comporte le message suivant, en anglais: "Patch applied successfully! If your software is still trial maybe you need to install it before you patch it". J'ai identifié le fichier responsable de ce problème grâce à l'antivirus, mais l'éliminer ne sert à rien puisque la fenêtre est toujours là, et cliquer une fois plus sur OK fait apparaître à nouveau le fichier en question :| Tout ce que j'ai tenté pour résoudre ce problème n'a pas marché...
Une petite recherche m'a mené dans ce forum, où un problème concernant également cette fenêtre "gpedits" semble avoir été résolu...
Je mets en dessous le rapport Hijackthis obtenu à l'aide tu tutoriel du forum, en espérant qu'une solution à ce problème existe..
merci infiniment! :)

avant de copier le contenu de rapport, je vous signale juste qu'un message est apparu juste avant le début de la création du logfile, je ne peux pas assurer qu'il n'affecte en rien le rapport, alors je l'inclus ci-dissous:
Image

voilà donc le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:53:05, on 04/08/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Nuevas instalaciones\Programas\Misc\avast!\ashDisp.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Nuevas instalaciones\Programas\P2P\Ares\Ares.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\System32\gpedits.exe
C:\Users\SYL\HiJackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9d.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.es/ig/dell?hl=es&clie ... bd=6070930
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer provided by Dell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ECenter] C:\Dell\E-Center\EULALauncher.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "c:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [dscactivate] c:\dell\dsca.exe 3
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [DNS7reminder] "C:\Program Files\Nuevas instalaciones\Programas\Misc\Dragon NaturallySpeaking\Ereg\Ereg.exe" -r "C:\ProgramData\Nuance\NaturallySpeaking9\Ereg.ini
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\NUEVAS~1\PROGRA~1\Misc\avast!\ashDisp.exe
O4 - HKCU\..\Run: [DellSupport] "C:\Program Files\DellSupport\DSAgnt.exe" /startup
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ares] "C:\Program Files\Nuevas instalaciones\Programas\P2P\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [ares destiny] "C:\Program Files\Nuevas instalaciones\Programas\P2P\Ares Destiny\Ares.exe" -h
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] gpedits.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3197FF9-1E6F-4446-988E-349A14D9D756}: NameServer = 62.151.8.100,62.151.2.8
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Nuevas instalaciones\Programas\P2P\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Nuevas instalaciones\Programas\Misc\avast!\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Nuevas instalaciones\Programas\Misc\avast!\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Nuevas instalaciones\Programas\Misc\avast!\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Nuevas instalaciones\Programas\Misc\avast!\ashWebSv.exe
O23 - Service: DSBrokerService - Unknown owner - C:\Program Files\DellSupport\brkrsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

--
End of file - 6889 bytes
dezh
 
Messages: 10
Inscription: 04 Aoû 2008 18:27

Re: infection par gpedits!

Messagepar Falkra » 04 Aoû 2008 20:08

Bonsoir, bienvenue sur libellules, section sécurité.
Tu as installé un virus déguisé en truc gentil... il t'a eu.

Télécharge OTMoveIt2 par OldTimer.
  • Enregistre ce fichier sur le Bureau.
  • Fais un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  • Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
    Code: Tout sélectionner
    C:\Windows\System32\gpedits.exe
    EmptyTemp
  • Retourne dans la fenêtre de OTMoveIt2, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller.
  • Clique sur le bouton rouge Moveit!.
  • Ferme OTMoveIt2
  • Poste dans ta prochaine réponse le rapport de OTMoveIt2 (contenu du fichier SystemDrive\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
    [SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: infection par gpedits!

Messagepar dezh » 04 Aoû 2008 20:29

Waah, véloce! Merci infiniment pour cette réponse si rapide :king: Je vais pas être capable de faire mieux, un quart d'heure et je n'ai toujours rien envoyé lol
J'ai suivi tes instructions, tout en redémarrant l'ordinateur car le message demandant le redémarrage est apparu..voila le rapport obtenu..ça n'a pas l'air d'avoir réussi :?

File move failed. C:\Windows\System32\gpedits.exe scheduled to be moved on reboot.
< EmptyTemp >
File delete failed. C:\Users\SYL\AppData\Local\Temp\~DF88B5.tmp scheduled to be deleted on reboot.
Temp folders emptied.
IE temp folders emptied.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08042008_211243
dezh
 
Messages: 10
Inscription: 04 Aoû 2008 18:27

Re: infection par gpedits!

Messagepar Falkra » 04 Aoû 2008 20:32

Il a programmé ça. Redémarre on dirait que cela n'a pas été fait, et poste le nouveau rapport. :wink:
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: infection par gpedits!

Messagepar dezh » 04 Aoû 2008 20:43

il s'est encore taulé j'ai l'impression :shock: nooon!!

File move failed. C:\Windows\System32\gpedits.exe scheduled to be moved on reboot.
< EmptyTemp >
File delete failed. C:\Users\SYL\AppData\Local\Temp\~DF88B5.tmp scheduled to be deleted on reboot.
Temp folders emptied.
IE temp folders emptied.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08042008_211243

Files moved on Reboot...
File move failed. C:\Windows\System32\gpedits.exe scheduled to be moved on reboot.
C:\Users\SYL\AppData\Local\Temp\~DF88B5.tmp moved successfully.
dezh
 
Messages: 10
Inscription: 04 Aoû 2008 18:27

Re: infection par gpedits!

Messagepar Falkra » 04 Aoû 2008 20:53

Ha oui, en effet.

Ilk était chargé en mémoire, ça explique la chose sans doute.

Ouvre le gestionnaire des tâches (ctrl+alt+suppr).
Va dans l'onglet processus. Trie par ordre alphabétique en cliqunt sur nom de l'image (un des titres de colonnes).
Clique sur gpedits.exe pour le sélectionner, puis fais "terminer le processus" sur le bouton, et confirme.

Ensuite refais la procédure OtMoveIT.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: infection par gpedits!

Messagepar dezh » 04 Aoû 2008 21:19

désolé d'avoir mis longtemps..j'ai recommencé après avoir éliminé gpedits comme tu m'as demandé, mais je sens que ça marche toujours pas!

File move failed. C:\Windows\System32\gpedits.exe scheduled to be moved on reboot.
< EmptyTemp >
Temp folders emptied.
IE temp folders emptied.
dezh
 
Messages: 10
Inscription: 04 Aoû 2008 18:27

Re: infection par gpedits!

Messagepar Falkra » 04 Aoû 2008 21:30

Redémarre et vois le rapport.

Méthode forte si ça rate. :wink:
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: infection par gpedits!

Messagepar dezh » 04 Aoû 2008 21:36

euh..pareil..le rapport n'a pas changé..mdr

méthode forte? pourquoi j'ai peur maintenant? :lol:
la solution serait peut-être éliminer le fichier qui lance moveit et le retélécharger?
dezh
 
Messages: 10
Inscription: 04 Aoû 2008 18:27

Re: infection par gpedits!

Messagepar Falkra » 04 Aoû 2008 21:41

Tu auras sans doute besoin d'afficher les fichiers cachés et ceux du système :
http://www.libellules.ch/afficher_fichiers.php

Désactive l'UAC-User Account Control -contrôle des comptes utilisateurs (surtout, bien penser à le réactiver après la désinfection).

* Démarrer > Panneau de Configuration
* Double clique sur l'icône Comptes d'utilisateurs
* Clique ensuite sur Désactiver et valide.

Désactive le processus gpedits.exe comme précédemment.
Puis mets le fichier C:\Windows\System32\gpedits.exe à la corbeille. (clic droit, supprimer). Ne vide pas la corbeille tout de suite.

Réactive l'UAC.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: infection par gpedits!

Messagepar dezh » 04 Aoû 2008 21:55

Voila!...j’ai du redémarrer pour appliquer définitivement les changements..
mais ça a l'air de marcher avec cette méthode!! le message gpedits n'apparait plus!! :crazy:
dezh
 
Messages: 10
Inscription: 04 Aoû 2008 18:27

Re: infection par gpedits!

Messagepar Falkra » 04 Aoû 2008 21:58

Ya interêt.

Poste un nouveau rapport HijackThis, et on termine (le plus gros est fait).
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: infection par gpedits!

Messagepar dezh » 04 Aoû 2008 22:08

Voila mon rapport chef :learn:
Si le problème persiste, il est plus évident que c'est à toi de décider quand laisser tomber...il se fait assez tard..le temps a volé, et c'est pas vraiment à cause de s'être amusé..lol

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:04:27, on 04/08/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Nuevas instalaciones\Programas\Misc\avast!\ashDisp.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Nuevas instalaciones\Programas\P2P\Ares\Ares.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9d.exe
C:\Users\SYL\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.es/ig/dell?hl=es&clie ... bd=6070930
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer provided by Dell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ECenter] C:\Dell\E-Center\EULALauncher.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "c:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [dscactivate] c:\dell\dsca.exe 3
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [DNS7reminder] "C:\Program Files\Nuevas instalaciones\Programas\Misc\Dragon NaturallySpeaking\Ereg\Ereg.exe" -r "C:\ProgramData\Nuance\NaturallySpeaking9\Ereg.ini
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\NUEVAS~1\PROGRA~1\Misc\avast!\ashDisp.exe
O4 - HKCU\..\Run: [DellSupport] "C:\Program Files\DellSupport\DSAgnt.exe" /startup
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ares] "C:\Program Files\Nuevas instalaciones\Programas\P2P\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [ares destiny] "C:\Program Files\Nuevas instalaciones\Programas\P2P\Ares Destiny\Ares.exe" -h
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] gpedits.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3197FF9-1E6F-4446-988E-349A14D9D756}: NameServer = 62.151.8.100,62.151.2.8
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Nuevas instalaciones\Programas\P2P\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Nuevas instalaciones\Programas\Misc\avast!\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Nuevas instalaciones\Programas\Misc\avast!\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Nuevas instalaciones\Programas\Misc\avast!\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Nuevas instalaciones\Programas\Misc\avast!\ashWebSv.exe
O23 - Service: DSBrokerService - Unknown owner - C:\Program Files\DellSupport\brkrsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

--
End of file - 7014 bytes
Dernière édition par dezh le 05 Aoû 2008 09:43, édité 1 fois.
dezh
 
Messages: 10
Inscription: 04 Aoû 2008 18:27

Re: infection par gpedits!

Messagepar Falkra » 04 Aoû 2008 22:11

Relance HijackThis, coche les lignes suivantes et clique sur le bouton Fix checked, en bas à gauche :
O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] gpedits.exe

(pas de panique, c'est normal qu'elle soit là, c'est un résidu, il n'y a plus de fichier en face)

Tu as choppé ça par le p2p, non ?
Note qu'avast n'a pas protégé la machine. Antivir connaît cette infection. Le problème d'Avast est qu'il ne prend aps assez vite en charge les nouvelles infections. Ca laisse le temps de se faire infecter, comme dans ton cas.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: infection par gpedits!

Messagepar dezh » 04 Aoû 2008 22:26

c'est vrai?..mea culpa, la plupart des messages que j'avais lu dans un forum dont j'ai oublié le nom conseillaient avast..je me suis basé sur la popularité de l'antivirus pour le télécharger :plaf: ...je vais de ce pas m'appropier d'antivir, j'avais déjà lu quelque part dans le forum qu'il été recommandé :king:
oui, c'est par ares que j'avais opéré pour le téléchargement
merci infiniment pour t'être occupé de mon cas pénible pendant je ne sais combien de temps..merci d'avoir tué gpedits :twisted: lol..je commence déjà à plus me souvenir si on l'écrit vraiment de cette façon..
très bonne nuit Falkra!! :-D :-D bonne chance pour la suite
a +
dezh
 
Messages: 10
Inscription: 04 Aoû 2008 18:27

Re: infection par gpedits!

Messagepar Falkra » 04 Aoû 2008 22:32

Tu n'y es pour rien, tu t'informes bien en allant chercher les infos (et ton cas n'est en rien pénible), et la plupart des sites encensent bêtement Avast parce qu'il est en français (argument tout sauf technique) et par habitude.

Attention, un seul antivirus à la fois sur la machine (sinon ça pompe trop de ressources).
Vire Avast et remplace le par Antivir. Tu peux le faire par le panneau de configuration / ajout-suppression de programmes.
Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel :
http://www.avast.com/fre/avast-uninstall-utility.html
Au besoin en mode sans échec, si ça rouspète.

Pour Antivir voici un lien de téléchargement direct :
http://dl1.avgate.net/down/windows/anti ... u_en_h.exe
Tuto : http://www.libellules.ch/tuto_antivir.php

Prends ton temps, le plus gros est fait.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: infection par gpedits!

Messagepar dezh » 04 Aoû 2008 22:47

cool, j'étais déjà en train d'essayer de le trouver..merci de t'occuper de ça aussi...! :-D :-D
je vais garder précieusement en mémoire votre forum..et laisser un peu tomber yahoo questions-réponses lol..je ne nie pas la présence de nombreux érudits en la matière, mais ce problème était un peu trop concret...
une fois de plus, merci beaucoup!!!!!!...avant de trouver ce forum, je commencer déjà à penser à une restauration du système lol
juste un ptit verre pour célébrer la victoire sur gpedits..lol 8) 8) 8)
Image
je prendrai mon temps, maintenant que tout est revenu à la normale...merci mille fois encore!!
a+
dezh
 
Messages: 10
Inscription: 04 Aoû 2008 18:27

Re: infection par gpedits!

Messagepar Falkra » 04 Aoû 2008 23:03

N'hésite pas en cas de questions pendant le processus ou juste "pour comprendre", etc...
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: infection par gpedits!

Messagepar Revjones » 05 Aoû 2008 11:51

Au passage, il n'est pas inutile de rappeler que tout contenu illégal (ou pas) en provenance de réseaux P2P, d'autant plus si il s'agit d'exécutables, doit impérativement être considéré comme suspect. La plupart sont des usines à virus/spywares, et il ne faut surtout pas compter sur un antivirus pour assurer plus qu'une protection très limitée.
Avatar de l’utilisateur
Revjones
Modérateur
Modérateur
 
Messages: 5591
Inscription: 04 Fév 2003 17:59
Localisation: Suisse

Re: infection par gpedits!

Messagepar dezh » 05 Aoû 2008 21:40

merci pour ce rappel!...il est vrai qu'au moment de m'être servi d'un logiciel P2P pour la première fois, je le faisais souvent armé de prudence et de méfiance...avec le temps et l'habitude, on tend à gagner de la confiance et à penser de moins en moins aux risques de ce genre de logiciels... Je tenterai d'y aller plus mollo avec ares et de recourir le moins possible à son utilisation.. :!:
dezh
 
Messages: 10
Inscription: 04 Aoû 2008 18:27

Suivante

Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 6 invités
cron