Se connecter / S'enregistrer
Votre question

[RESOLU] Poblème de PopUps & Messages Intempestifs !!

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
21 Juillet 2007 16:22:20

Bonjour a tous !!

Je sais que mon problème est plutôt "banal" mais en lisant d'autres sujet, je ne retrouve pas mon cas perso... :( 

Depuis quelques temps j'ai quelques Popups style Casino Online etc... qui viennent perturber ma tranquilité d'internaute lol, mais, à cela s'est ajouté une fenêtre windows, qui apparait de manière irrégulière, est me dit un truc dans le genre :
" Vous avez des virus, est DriveCleaner peut tout arranger." lol
Mais si je clic sur Ok ou Annuler, le résultat est le même : une page internet s'ouvre et me vente les merites de cette antivirus...

Je n'arrive pas à me débarsser de tous ca malgré AdAware, CCleaner, Et je ne trouve pa le soucis dans mon Log HijackThis...

Merci d'avance !! :) 

Autres pages sur : resolu pobleme popups amp messages intempestifs

21 Juillet 2007 16:54:18


Bonjour , telecharge Hijackthis <- ici sur ton Bureau

lance le programme , clique do a system scan and save a logfile

copie / colle le rapport généré dans ta reponse

-------------------------------------------------

Telecharge Navilog1 <- ici

enregistre le sur ton Bureau
double clic sur Navilog1.exe ( le .exe peut ne pas apparaitre )
Il s’éxécutera automatiquement
(Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau)
suis les invites et choisis l'option 1 puis valide

n'utilise pas les options 2,3 ou 4
attend jusqu'a " analyse terminé le ........... "
appuie sur une touche comme demandé

Copie / Coller le rapport généré ( C:\fixnavi.txt ) dans ta réponse
21 Juillet 2007 16:59:02

Bonjour !
Merci de prendre sur vôtre temps pour m'aider !
Voici pour commencer le Log HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 16:57:59, on 21/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOCUME~1\dynamics\LOCALS~1\Temp\tmp1F.tmp.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\qwerty12.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\dynamics\LOCALS~1\Temp\tmp6.tmp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\dynamics\Mes documents\Mes fichiers reçus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {3390eb25-ace9-4daa-88a8-92e02756d355} - C:\WINDOWS\system32\csserf.dll
O2 - BHO: (no name) - {938A8A03-A938-4019-B764-03FF8D167D79} - C:\WINDOWS\system32\tmpF.tmp.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CheckMedi8or] C:\Program Files\Mediator 7 Pro\CheckNewUser.exe
O4 - HKLM\..\Run: [BootService] rundll32.exe "C:\WINDOWS\iihhef.dll",realset
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [winehq.org] rundll32.exe "C:\WINDOWS\jkjghf.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SysRestore] "C:\DOCUME~1\dynamics\LOCALS~1\Temp\tmp1F.tmp.exe"
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: csserf - C:\WINDOWS\SYSTEM32\csserf.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\qwerty12.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe


Contenus similaires
21 Juillet 2007 17:03:17


Pas la peine d'utiliser Navilog1 , c'est du Vundo

Télécharge VundoFix <- ici
sur ton Bureau

Double-clique VundoFix.exe pour le lancer
lorsque il se lance à nouveau , clique sur Scan for Vundo
à la fin du scan , clique sur Remove Vundo
il te demandera si tu veux supprimer les fichiers , clique sur YES

ton Bureau va disparaitre lors de la suppression des fichiers

ensuite , il va t'annoncer que ton PC va s'éteindre , clique OK

Redémarre ton PC

Copie/colle le rapport ( C:\vundofix.txt )
et un nouveau rapport HijackThis

Il est possible que VundoFix ne puisse pas supprimer un fichier , dans ce cas, il se relancera au prochain redémarrage , il suffit de recommencer à partir de clique sur Scan for Vundo
21 Juillet 2007 17:08:53

Et voivi donc le Rapport Navilog:

Search Navipromo version 2.0.5 commencé le 21/07/2007 à 17:03:14,45

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\dynamics\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 07/21/07 at 17:03:18.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .....................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 07/21/07 at 17:05:36 (return code = 0).


*** Recherche fichiers ***




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********

3)Recherche Certificats :


*** Analyse Terminé le 21/07/2007 à 17:05:55,65 ***
21 Juillet 2007 17:11:45


Tu as loupé mon message ;) 
21 Juillet 2007 17:18:22

Oups !! Désolé !! J'explose Vundo et j'arrive !! lol
21 Juillet 2007 17:20:25

Le rapport de VundoFix :

VundoFix V6.5.6

Checking Java version...

Java version is 1.4.2.1
Old versions of java are exploitable and should be removed.

Scan started at 17:11:09 21/07/2007

Listing files found while scanning....

C:\WINDOWS\fehhii.ini
C:\WINDOWS\iihhef.dll
C:\WINDOWS\jkjghf.dll
C:\WINDOWS\system32\tmp15.tmp.dll
C:\WINDOWS\system32\tmp17.tmp.dll
C:\WINDOWS\system32\tmp2.tmp.dll
C:\WINDOWS\system32\tmpF.tmp.dll

Beginning removal...

Attempting to delete C:\WINDOWS\fehhii.ini
C:\WINDOWS\fehhii.ini Has been deleted!

Attempting to delete C:\WINDOWS\jkjghf.dll
C:\WINDOWS\jkjghf.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\tmp17.tmp.dll
C:\WINDOWS\system32\tmp17.tmp.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\tmpF.tmp.dll
C:\WINDOWS\system32\tmpF.tmp.dll Has been deleted!

Performing Repairs to the registry.
Done!
21 Juillet 2007 17:21:20

Le nouveau Log Hijack :

Logfile of HijackThis v1.99.1
Scan saved at 17:20:53, on 21/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\qwerty12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOCUME~1\dynamics\LOCALS~1\Temp\tmp1F.tmp.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\dynamics\Mes documents\Mes fichiers reçus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {3390eb25-ace9-4daa-88a8-92e02756d355} - C:\WINDOWS\system32\csserf.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CheckMedi8or] C:\Program Files\Mediator 7 Pro\CheckNewUser.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [winehq.org] rundll32.exe "C:\WINDOWS\mlkjkl.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SysRestore] "C:\DOCUME~1\dynamics\LOCALS~1\Temp\tmp1F.tmp.exe"
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: csserf - C:\WINDOWS\SYSTEM32\csserf.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\qwerty12.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

21 Juillet 2007 17:23:28


C'est mieux , mais il en reste , on va le virer :D 

Télécharge ComboFix <- ici

Engegistre le sur ton Bureau

Double clique combofix.exe ( le .exe peut ne pas apparaitre )

Pour demarrer , tape 1 puis valide , attend la fin du scan

Un rapport est généré , Copie / Colle le dans ta réponse

Tu peux aussi trouver ce rapport ici : C:\Combofix.txt
21 Juillet 2007 17:36:05

Oula mais je les attires !!! lol On va ce battre !! Héhé !!!
Tu vois pendant que je t'ecris ca, il y a une jolie petite fenêtre windows qui vient de s'ouvrir me demandant de téléchager "SystemDoctor" !!
21 Juillet 2007 17:36:36

Le Scan de ComboFix :

"dynamics" - 2007-07-21 17:27:51 - ComboFix 07-07-14.6 - Service Pack 2 FAT32


(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\mlkjkl.dll
C:\WINDOWS\opomnn.dll
C:\WINDOWS\nnklji.dll
C:\WINDOWS\pmlmji.dll
C:\WINDOWS\lkjklm.ini
C:\WINDOWS\nnmopo.ini
C:\WINDOWS\ijlknn.ini
C:\WINDOWS\ijmlmp.ini
C:\WINDOWS\system32\csserf.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOCUME~1\dynamics\APPLIC~1.\macromedia\Flash Player\#SharedObjects\CNK76U72\www.broadcaster.com
C:\DOCUME~1\dynamics\APPLIC~1.\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com
C:\DOCUME~1\dynamics\APPLIC~1.\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol
C:\WINDOWS\system32\qwerty12.exe
C:\WINDOWS\system32\tmp13.tmp.dll
C:\WINDOWS\system32\tmp1B.tmp.dll
C:\WINDOWS\system32\tmp1E.tmp.dll
C:\WINDOWS\system32\tmp32.tmp.dll
C:\WINDOWS\system32\tmp36.tmp.dll
C:\WINDOWS\system32\tmp38.tmp.dll
C:\WINDOWS\system32\tmp4.tmp.dll
C:\WINDOWS\system32\tmp4D.tmp.dll
C:\WINDOWS\system32\tmp68.tmp.dll
C:\WINDOWS\system32\tmp7.tmp.dll
C:\WINDOWS\system32\tmp76.tmp.dll
C:\WINDOWS\system32\tmp7C.tmp.dll
C:\WINDOWS\system32\tmp7F.tmp.dll


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_DOMAINSERVICE
-------\LEGACY_WINDOWS_LOG
-------\DomainService
-------\nm
-------\Windows Log


((((((((((((((((((((((((( Files Created from 2007-06-21 to 2007-07-21 )))))))))))))))))))))))))))))))


2007-07-21 17:27 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-21 17:11 <REP> d-------- C:\VundoFix Backups
2007-07-21 17:02 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-07-21 17:00 <REP> d-------- C:\Program Files\Navilog1
2007-07-21 12:58 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-07-21 11:12 <REP> d-------- C:\Program Files\AxBx
2007-07-21 10:59 <REP> d-------- C:\Program Files\Lavasoft
2007-07-21 10:59 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft
2007-07-21 10:58 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-07-19 20:39 <REP> d-------- C:\Program Files\CCleaner
2007-07-19 20:06 <REP> d-------- C:\WINDOWS\AU_Temp


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-19 18:07:10 267,845 ----a-w C:\WINDOWS\tsc.exe
2007-07-19 18:07:08 86,094 ----a-w C:\WINDOWS\BPMNT.dll
2007-07-19 18:07:08 71,749 ----a-w C:\WINDOWS\hcextoutput.dll
2007-07-19 18:07:08 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll
2007-06-04 13:18:48 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2007-06-04 13:17:02 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-06-04 13:14:56 6,272 ----a-w C:\WINDOWS\system32\drivers\AWRTPD.sys


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 C:\WINDOWS\system32\Ati2mdxx.exe]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" []
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" []
"AGRSMMSG"="AGRSMMSG.exe" [2003-11-19 15:41 C:\WINDOWS\AGRSMMSG.exe]
"LtMoh"="C:\Program Files\ltmoh\Ltmoh.exe" []
"AcerNotebookManager"="" []
"SoundMan"="SOUNDMAN.EXE" [2004-02-26 16:53 C:\WINDOWS\SOUNDMAN.EXE]
"LaunchAp"="C:\Program Files\Launch Manager\LaunchAp.exe" []
"PowerKey"="C:\Program Files\Launch Manager\PowerKey.exe" []
"LManager"="C:\Program Files\Launch Manager\HotkeyApp.exe" []
"CtrlVol"="C:\Program Files\Launch Manager\CtrlVol.exe" []
"LMgrOSD"="C:\Program Files\Launch Manager\OSDCtrl.exe" []
"Wbutton"="C:\Program Files\Launch Manager\Wbutton.exe" []
"CheckMedi8or"="C:\Program Files\Mediator 7 Pro\CheckNewUser.exe" []
"@"="" []
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" []

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\aawservice]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
AutoRun\command- setup.exe


**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-21 17:31:53
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-21 17:32:48 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-21 17:32

--- E O F ---
21 Juillet 2007 17:39:57


il a fait un gros ménage , reposte un Hijackthis
21 Juillet 2007 17:41:29

Voili Voilou :

Logfile of HijackThis v1.99.1
Scan saved at 17:41:06, on 21/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings\dynamics\Mes documents\Mes fichiers reçus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CheckMedi8or] C:\Program Files\Mediator 7 Pro\CheckNewUser.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

21 Juillet 2007 17:43:37


Ah , c'est plus propre :) 

Télécharge clean <- ici

décompresse-le sur ton bureau ( extraire tous les fichiers) , tu obtient un dossier clean

Ouvre le dossier clean, double-clique sur clean.cmd ( le .cmd peut ne pas apparaitre )

choisis l'option 1 puis patiente

un rapport est généré , poste ce rapport
21 Juillet 2007 17:50:21

21/07/2007 a 17:49:39,48

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
21 Juillet 2007 17:51:08

Si je me trompe pas je suis "Clean" ??? lol
21 Juillet 2007 17:55:23

Citation :
Si je me trompe pas je suis "Clean" ???

Pour clean , c'est clean :lol: 

Je suppose que ton PC se comporte mieux ?

Fais un scan en ligne Kaspersky avec Internet Explorer

Clique sur Demarrer Online-Scanner ( en bas à droite )
Clique sur J'accepte , si necessaire valide l'installation des ActiveX
laisse installer les Mises à jour , choisis l'analyse du Poste de travail

à la fin de l'analyse , Sauvegarde le rapport puis colle le dans ta réponse

Si tu vois ce message : La licence de Kaspersky On-line Scanner est périmée
vas dans Ajout / Suppression de programmes et désinstalle On-Line Scanner
retourne sur le site et retente le scan
21 Juillet 2007 18:01:33

J'ai fait un scan du poste de travail avec Kaspersky ce matin, ca a pris environ 1H15... J'espere que tu sera encore la !! lol
Sinon c'est vrai que pour l'instant aucun problème particulier n'est venu jusqu'a moi !!! Héhé !!!
21 Juillet 2007 18:05:53


Tu pensera aussi à installer un Antivirus , je n'en ais pas vu :D 

tu regarderas ici : > Sécuriser son ordinateur <

Choisis Antivir ( Avast! est une m**** )

Pas en même temps que le scan ( sinon il va planter :lol:  )
21 Juillet 2007 18:11:23

ouai j'y ai pensé mais j'ai pas les moyens d'en acheter... sinon j'en aurai un depuis longtemps !!! et vu que je suis pas un grand fan de la mule...
21 Juillet 2007 18:14:15


Celui que je te propose est entièrement GRATUIT :D 

il te propose de l'acheter à chaque mise à jour mais il suffit de ne pas cliquer sur BUY NOW , mais de cliquer sur Ok en bas de la page qui apparait durant la mise à jour :) 
21 Juillet 2007 18:18:27

ahhhh !! C'est sympa ca !!! je n'en trouvais point de gratuit !! (ou simplement des Spyware !! )
21 Juillet 2007 18:21:18


Pendant que tu y est installe aussi un Firewall , ils sont aussi GRATUITS , comme tout ce qui est dans cette page ;) 
21 Juillet 2007 18:42:53

Je suis à 50% du scan de Kaspersky est il me trouve déjà 3 Virus 7 Fichiers infectés...
21 Juillet 2007 18:48:46

Citation :
il me trouve déjà 3 Virus 7 Fichiers infectés...

Je lance un pari sur C:\Qoobox et C:\Vundofix backups :lol: 

C'est la quarantaine des logiciels utilisés :D 
21 Juillet 2007 18:51:21

mdr !!! j'espere que tu as raison !! mais les fichiers mis en quarantaine vons être suprimés automatiquement ??
21 Juillet 2007 18:55:41


Non , le scan ne supprime rien

Après , on vire à la main , ou en automatiquement si y'en a trop :D 

21 Juillet 2007 19:01:56

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, July 21, 2007 7:01:32 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 21/07/2007
Enregistrements dans la base antivirus Kaspersky : 343508
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
C:\
D:\
E:\

Statistiques de l'analyse:
Total d'objets analysés: 77542
Nombre de virus trouvés: 3
Nombre d'objets infectés: 10 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:01:54

Nom de l'objet infecté / Nom du virus / Dernière action
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware 2007\logs\AWProcessesLog.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware 2007\logs\CoreEngineCommunicationLog.log L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\dynamics\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\dynamics\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\dynamics\Local Settings\Historique\History.IE5\MSHist012007072120070722\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\dynamics\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\dynamics\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré
C:\Documents and Settings\dynamics\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\dynamics\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\dynamics\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\dynamics\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\dynamics\Application Data\Teleca\Telecalib\Logging\Application logs\SpecificUSB_log.txt L'objet est verrouillé ignoré
C:\Documents and Settings\dynamics\ntuser.dat L'objet est verrouillé ignoré
C:\System Volume Information\_restore{199CF0E7-01B3-41F3-BE00-6D1C8C9DF6F2}\RP297\A0098876.DLL Infecté : Trojan.Win32.Agent.agv ignoré
C:\System Volume Information\_restore{199CF0E7-01B3-41F3-BE00-6D1C8C9DF6F2}\RP299\A0098980.DLL Infecté : Trojan.Win32.Agent.agv ignoré
C:\System Volume Information\_restore{199CF0E7-01B3-41F3-BE00-6D1C8C9DF6F2}\RP304\A0099314.exe Infecté : Trojan.Win32.Agent.agv ignoré
C:\System Volume Information\_restore{199CF0E7-01B3-41F3-BE00-6D1C8C9DF6F2}\RP306\A0101707.exe Infecté : Trojan.Win32.Agent.aoy ignoré
C:\System Volume Information\_restore{199CF0E7-01B3-41F3-BE00-6D1C8C9DF6F2}\RP308\A0101819.exe Infecté : Trojan.Win32.Agent.aoy ignoré
C:\System Volume Information\_restore{199CF0E7-01B3-41F3-BE00-6D1C8C9DF6F2}\RP308\A0101847.EXE Infecté : Trojan.Win32.Agent.aoy ignoré
C:\System Volume Information\_restore{199CF0E7-01B3-41F3-BE00-6D1C8C9DF6F2}\RP308\A0101854.DLL Infecté : Trojan-Downloader.Win32.ConHook.ba ignoré
C:\System Volume Information\_restore{199CF0E7-01B3-41F3-BE00-6D1C8C9DF6F2}\RP308\change.log L'objet est verrouillé ignoré
C:\System Volume Information\_restore{199CF0E7-01B3-41F3-BE00-6D1C8C9DF6F2}\RP293\A0098760.DLL Infecté : Trojan.Win32.Agent.agv ignoré
C:\QooBox\Quarantine\C\WINDOWS\system32\qwerty12.exe.vir Infecté : Trojan.Win32.Agent.aoy ignoré
C:\QooBox\Quarantine\C\WINDOWS\system32\csserf.dll.vir Infecté : Trojan-Downloader.Win32.ConHook.ba ignoré
D:\System Volume Information\_restore{199CF0E7-01B3-41F3-BE00-6D1C8C9DF6F2}\RP308\change.log L'objet est verrouillé ignoré

Analyse terminée.
21 Juillet 2007 19:12:19


Ok , supprime ce dossier :

C:\QooBox

Les autres dans la réstauration du système :) 

il suffit de la Désactiver puis de la Réactiver comme ceci :

>> Réstauration du Système <<

Et c'est tout bon :) 
21 Juillet 2007 19:22:14

Et le VUNDO Fix Backups ??
21 Juillet 2007 19:24:26

Citation :
Et le VUNDO Fix Backups ??

tu peux le supprimer aussi :) 

Toujours des problèmes ?
21 Juillet 2007 19:32:16

Et bien Eric, je te dois bien un GRAND MERCI !!!! Car ce genre de conseils et manipulations, totalement GRATUIT et surtout TRES EFFICACE, aide visiblement enormément de personne !! Longue vie à IDN !!!
Maitenant il ne me reste plus qu'a suivre les conseils et faire attention à mes clics ... :D 
Encore MERCI !! :hello: 
21 Juillet 2007 19:35:42


De rien , ce fut un plaisir :) 

Une dernière chose :

Clique, dans ton premier message, sur le bouton "Editer"
Ajoute [Résolu] au titre
Clique ensuite sur "Valider votre message"

Bonne continuation ;) 

PS : pense à l'Antivirus :lol: 
21 Juillet 2007 19:37:00

Mdr !! Ok pour le "resolu" et pour l'antivirus je suis sur le sujet...
@@++
21 Juillet 2007 19:41:00


Ok , @ +
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS