Site et forum d'assistance informatique - Réparation de Windows   Le forum Annuaire Plan du site Connexion
Index du forum Micro-Astuce !!
Web Micro-Astuce
La charte Accueil Portail Profil Rechercher Nos membres S'enregistrer Vérifier ses messages privés
[Résolu]DriveCleaner Free Winantivirus Pro 2007

 
Poster un nouveau sujet   Répondre au sujet    Index du forum Micro-Astuce -> Virus - Sécurité - Analyses HijackThis  Abonnez-vous Mascotte
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
dohita
Membre
Membre


Inscrit le: 06 Nov 2007
Messages: 16
MessagePosté le: 15 Nov 2007 20:20     Sujet du message: [Résolu]DriveCleaner Free Winantivirus Pro 2007 Répondre en citant
Rebonjour á tous,

dßesolée de ne pas avoir repondu plus tot.
J ai decouvert ce cheval de troie sur mon pc avant de partir en vacances, j ai
utilisé " The cleaner V5 free version"
mon pc plante, c est souvent sur la page mozilla firefox que j ai des problemes, ou alors lorsque j eteins mon pc, il redemarre tout seul alors que j ai selectionné " arreter"
des fois, j ai aussi une page bleue de windows qui apparait avant que mon ordinateur ne s´eteint mais je n ai pas le temps de le lire.
merci de me dire ce que je dois faire.

je fais tout de suite le rapport HijackThis et vous l envoie de suite.

encore merci pour tout.
Revenir en haut de page
Alertez un modérateur
Voir le profil de l'utilisateur Envoyer un message privé
dohita
Membre
Membre


Inscrit le: 06 Nov 2007
Messages: 16
MessagePosté le: 15 Nov 2007 20:34     Sujet du message: rapport HijackThis Répondre en citant
veuillez trouver ci dessous le rapport.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:32:50, on 15/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\DriveCleaner Free\UDC.exe
C:\Programme\DriveCleaner Free\UDC6cw.exe
C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcsdr.exe
C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcwap.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2007\uwa7pcw.exe
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2007\mav_startupmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WengoPhone\qtwengophone.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Winamp Remote\bin\Orb.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.drivecleaner.com/.freeware/order.php?v=2&ad=59idf95t_ed2_DE_fr&link=dc-p37&aff=keyin&rem=udc6v_0001_8_1539&err=5644
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: CIEIntegrator Object - {2178F3FB-2560-458F-BDEE-631E2FE0DFE4} - C:\Programme\WinAntiVirus Pro 2007\winpgi.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IEFW Object - {B5141620-C2B2-4D95-9F0F-134D99C87AB0} - C:\Programme\WinAntiVirus Pro 2007\IEFWBHO.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [DriveCleaner Free] "C:\Programme\DriveCleaner Free\UDC.exe" /min
O4 - HKLM\..\Run: [UDC6cw] "C:\Programme\DriveCleaner Free\UDC6cw.exe" -c
O4 - HKLM\..\Run: [SDR6V_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcsdr.exe"
O4 - HKLM\..\Run: [WA6PV_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcwap.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinAntiVirus Pro 2007] C:\Programme\WinAntiVirus Pro 2007\WinAV.exe
O4 - HKLM\..\Run: [uwa7pcw] "C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2007\uwa7pcw.exe" -c
O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2007\mav_startupmon.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\wianmpa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [WengoPhoneNG] C:\Programme\WengoPhone\qtwengophone.exe -b
O4 - HKCU\..\Run: [uwa7pcw] "C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2007\uwa7pcw.exe" -c
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?00d5910844574dc6b36460fc864df478
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?00d5910844574dc6b36460fc864df478
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

--
End of file - 9880 bytes
Revenir en haut de page
Alertez un modérateur
Voir le profil de l'utilisateur Envoyer un message privé
Marie
Intervenante VIP
Intervenante VIP


Inscrit le: 07 Mar 2006
Messages: 6850
Localisation: Toulon
MessagePosté le: 16 Nov 2007 18:24     Sujet du message: Répondre en citant
Bonsoir


Ensuite ... Est ce que tu as des pages publicitaires qui s'ouvrent quand tu es sur Internet?


Ensuite ... Affiche les fichiers cachés de XP: Pour afficher les fichiers cachés


Ensuite ... Télécharge SmitfraudFix de S!Rià partir de ce lien:
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

  • Double-clique sur le programme pour le lancer.
  • Passe le message d'avertissement en cliquant sur n'importe qu'elle touche du clavier.
  • Dans le menu, sélectionne 1.
  • A la fin du scan, un rapport va être généré: C\rapport.txt.
    Poste ce rapport dans ta prochaine réponse.



Ensuite ... Est ce que ces problèmes de redémarrages intempestifs et d'écrans bleus ne sont pas apparus à la suite de l'installation d'un logiciel particulier? WengoPhone ou Winamp Remote par exemple?
_________________
Revenir en haut de page
Alertez un modérateur
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
dohita
Membre
Membre


Inscrit le: 06 Nov 2007
Messages: 16
MessagePosté le: 16 Nov 2007 20:12     Sujet du message: cheval de troie Répondre en citant
en effet, je pense que ce cheval de troie est apparu aprés que j ai installé la nouvelle version de Winamp.
merci encore
a la suite le rapport:


SmitFraudFix v2.253

Scan done at 20:08:28,68, 16/11/2007
Run from C:\Programme\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcsdr.exe
C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcwap.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2007\uwa7pcw.exe
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2007\mav_startupmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\WengoPhone\qtwengophone.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Winamp Remote\bin\Orb.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Nat


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Nat\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Nat\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom 802.11b/g WLAN - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0F9CC544-CC75-42A3-B7B4-0C8580BEEFBC}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0F9CC544-CC75-42A3-B7B4-0C8580BEEFBC}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{0F9CC544-CC75-42A3-B7B4-0C8580BEEFBC}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
Revenir en haut de page
Alertez un modérateur
Voir le profil de l'utilisateur Envoyer un message privé
Marie
Intervenante VIP
Intervenante VIP


Inscrit le: 07 Mar 2006
Messages: 6850
Localisation: Toulon
MessagePosté le: 16 Nov 2007 21:45     Sujet du message: Répondre en citant
Ensuite ... Désinstalle par Ajout/Suppression de programmes les logiciels suivants si tu les trouves:

DriveCleaner Free
WinAntiVirus Pro 2007


Ensuite ... Appuie simultanément sur les touches Ctrl + Alt + Suppr pour lancer le gestionnaire de tâches. Sélectionne l'onglet Processus.
  • Clique sur la colonne Nom de l'image pour ranger les processus par ordre alphabétique.
  • Recherche les processus suivants:
    UDC.exe
    UDC6cw.exe
    udcsdr.exe
    udcwap.exe
    uwa7pcw.exe
    mav_startupmon.exe

  • Pour chacun de ces processus, clique droit sur le processus et choisis Terminer le processus



Ensuite ... Relance HijackThis et coche les lignes suivantes.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.drivecleaner.com/.freeware/order.php?v=2&ad=59idf95t_ed2_DE_fr&link=dc-p37&aff=keyin&rem=udc6v_0001_8_1539&err=5644
O2 - BHO: CIEIntegrator Object - {2178F3FB-2560-458F-BDEE-631E2FE0DFE4} - C:\Programme\WinAntiVirus Pro 2007\winpgi.dll
O2 - BHO: IEFW Object - {B5141620-C2B2-4D95-9F0F-134D99C87AB0} - C:\Programme\WinAntiVirus Pro 2007\IEFWBHO.dll
O4 - HKLM\..\Run: [DriveCleaner Free] "C:\Programme\DriveCleaner Free\UDC.exe" /min
O4 - HKLM\..\Run: [UDC6cw] "C:\Programme\DriveCleaner Free\UDC6cw.exe" -c
O4 - HKLM\..\Run: [SDR6V_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcsdr.exe"
O4 - HKLM\..\Run: [WA6PV_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcwap.exe"
O4 - HKLM\..\Run: [WinAntiVirus Pro 2007] C:\Programme\WinAntiVirus Pro 2007\WinAV.exe
O4 - HKLM\..\Run: [uwa7pcw] "C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2007\uwa7pcw.exe" -c
O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2007\mav_startupmon.exe"
O4 - HKCU\..\Run: [uwa7pcw] "C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2007\uwa7pcw.exe" -c

Clique sur Fix Checked et confirme le message qui suit.


Ensuite ... Supprime les répertoires suivants:

C:\Programme\WinAntiVirus Pro 2007
C:\Programme\DriveCleaner Free
C:\Programme\Gemeinsame Dateien\DriveCleaner Free
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2007

et vide ta corbeille.


Ensuite ... Redémarre le PC et poste un nouveau log HijackThis pour vérification.



Ensuite ... Tu n'as pas répondu à cette question:
Citation:
Est ce que tu as des pages publicitaires qui s'ouvrent quand tu es sur Internet?


Si tu as des pages publicitaires qui s'ouvre quand tu es sous Mozilla et surtout sous IE, alors la désinfection n'est pas terminée.


Citation:
en effet, je pense que ce cheval de troie est apparu aprés que j ai installé la nouvelle version de Winamp.


Je ne pense pas que Winamp soit responsable de cette infection. Tu l'as téléchargé à partir de quel site?
Le nom de l'exe est bizarre : wianmpa.exe au lieu de winampa.exe.

En fait, je pensais plutôt à un bug d'un logiciel (ou une mauvaise configuration) qui ferait redémarrer le PC au lieu de l'éteindre.
_________________
Revenir en haut de page
Alertez un modérateur
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
dohita
Membre
Membre


Inscrit le: 06 Nov 2007
Messages: 16
MessagePosté le: 17 Nov 2007 20:48     Sujet du message: suite cheval de troie Répondre en citant
bonsoir,

une fois encore merci pour cette aide, c est vraiment trés gentil.
veuillez trouver ci joint le raport une fois mon pc redamarré.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:53:00, on 17/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WengoPhone\qtwengophone.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Winamp Remote\bin\Orb.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\wianmpa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [WengoPhoneNG] C:\Programme\WengoPhone\qtwengophone.exe -b
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?00d5910844574dc6b36460fc864df478
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?00d5910844574dc6b36460fc864df478
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

--
End of file - 7971 bytes

aux questions, est ce que des pages publicaitaires s ouvrent: non
et a partir de quel site ai je telechargé le winamp??? je ne me rappelle plus
merci
Revenir en haut de page
Alertez un modérateur
Voir le profil de l'utilisateur Envoyer un message privé
Marie
Intervenante VIP
Intervenante VIP


Inscrit le: 07 Mar 2006
Messages: 6850
Localisation: Toulon
MessagePosté le: 18 Nov 2007 10:16     Sujet du message: Répondre en citant
Bonjour Content

Citation:
est ce que des pages publicaitaires s ouvrent: non


Même quand tu vas sur le net avec IE?
Ce type d'infection n'est pas visible dans un log HijackThis et est souvent présente lorsqu'il y a DriveCleaner et Winantivirus Pro sur le PC.


Ensuite ... Le log est propre.


Ensuite ... Fais un scan antivirus en ligne chez Kaspersky. A la fin du scan, sauvegarde le rapport et poste le dans ta prochaine réponse.
Si besoin, consulte ce tuto pour lancer le scan.


Ensuite ... Pour les problèmes d'extinction du PC, essaie de désinstaller ta version actuelle de Winamp (quitte à réinstaller l'ancienne version) et teste comme ça pendant quelques jours.
_________________
Revenir en haut de page
Alertez un modérateur
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
dohita
Membre
Membre


Inscrit le: 06 Nov 2007
Messages: 16
MessagePosté le: 18 Nov 2007 14:52     Sujet du message: cheval de troie Répondre en citant
a la question , est ce que des pages publicitaires s ouvrent sur IE : non,
je n utilise pas souvent IE
merci beaucoup

veuillez trouver ci joint le rapport

KASPERSKY ON-LINE SCANNER REPORT
Sunday, November 18, 2007 2:38:18 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 18/11/2007
Enregistrements dans la base antivirus Kaspersky : 432441
Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l'analyse Poste de travail
C:\
D:\
Statistiques de l'analyse
Total d'objets analysés 48575
Nombre de virus trouvés 1
Nombre d'objets infectés 5 / 0
Nombre d'objets suspects 0
Durée de l'analyse 02:01:36

Nom de l'objet infecté Nom du virus Dernière action
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft\Avg7Data\avg7log.log L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft\Avg7Data\avg7log.log.lck L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Anwendungsdaten\Microsoft\MSNLiveFav\LiveFavorites.xml L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Anwendungsdaten\Mozilla\Firefox\Profiles\qr3ac6by.default\cert8.db L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Anwendungsdaten\Mozilla\Firefox\Profiles\qr3ac6by.default\formhistory.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Anwendungsdaten\Mozilla\Firefox\Profiles\qr3ac6by.default\history.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Anwendungsdaten\Mozilla\Firefox\Profiles\qr3ac6by.default\key3.db L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Anwendungsdaten\Mozilla\Firefox\Profiles\qr3ac6by.default\parent.lock L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Anwendungsdaten\Mozilla\Firefox\Profiles\qr3ac6by.default\search.sqlite L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Anwendungsdaten\Mozilla\Firefox\Profiles\qr3ac6by.default\urlclassifier2.sqlite L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Cookies\index.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\dohita777@hotmail.com\SharingMetadata\Logs\Dfsr00005.log L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\dohita777@hotmail.com\SharingMetadata\pending.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\dohita777@hotmail.com\SharingMetadata\Working\database_367A_5806_6384_4FFC\dfsr.db L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\dohita777@hotmail.com\SharingMetadata\Working\database_367A_5806_6384_4FFC\fsr.log L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\dohita777@hotmail.com\SharingMetadata\Working\database_367A_5806_6384_4FFC\fsrtmp.log L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\dohita777@hotmail.com\SharingMetadata\Working\database_367A_5806_6384_4FFC\tmp.edb L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Contacts\dohita777@hotmail.com\real\members.stg L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Contacts\dohita777@hotmail.com\shadow\members.stg L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\qr3ac6by.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\qr3ac6by.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\qr3ac6by.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\qr3ac6by.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Temp\~DF6B81.tmp L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Temp\~DF6B8C.tmp L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Temp\~DF7424.tmp L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Temp\~DF7436.tmp L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Temp\~freesetup.exe/file02/file01 Infecté : Trojan-Downloader.Win32.Agent.alr ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Temp\~freesetup.exe/file02 Infecté : Trojan-Downloader.Win32.Agent.alr ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Temp\~freesetup.exe Inno: infecté - 2 ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Temporary Internet Files\PhishingFilter\45E13EC5-3DB7-4B3D-9F80-073A58AB5E82.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Verlauf\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007111820071119\index.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\NTUSER.DAT L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Nat\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Programme\WengoPhone\log-WebcamDriver.txt L'objet est verrouillé ignoré
C:\Programme\WengoPhone\log-Wenbox.txt L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP199\A0035154.exe/file01 Infecté : Trojan-Downloader.Win32.Agent.alr ignoré
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP199\A0035154.exe Inno: infecté - 1 ignoré
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP201\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
Analyse terminée.
Revenir en haut de page
Alertez un modérateur
Voir le profil de l'utilisateur Envoyer un message privé
Marie
Intervenante VIP
Intervenante VIP


Inscrit le: 07 Mar 2006
Messages: 6850
Localisation: Toulon
MessagePosté le: 19 Nov 2007 20:58     Sujet du message: Répondre en citant
Bonsoir Content

Les fichiers infectés se trouvent dans les fichiers temporaires et dans la restauration système.

Ensuite ... Installe CCleaner. C'est un logiciel gratuit qui permet de supprimer les fichiers temporaires de Windows.

  • Télécharge CCleaner en cliquant sur le lien Dowload latest version en haut de la fenêtre à droite.

  • Installe le.
    Au cours de l'installation, dans la fanêtre Options d'installation, décoche la case Ajoutez la barre d'outils Yahoo!CCleaner.

  • Lance CCleaner.
    Clique sur le bouton Options (à gauche).
    Clique ensuite sur le bouton Avancé et décoche la case Effacer uniquement les fichiers du dossier temp de Windows plus vieux que 48 heures.

  • Clique sur le bouton Nettoyeur. Ferme toutes les fenêtres de ton navigateur.
    Clique ensuite sur Lancer le nettoyage.


PS: Si tu as besoin d'une aide en images pour CCleaner, consulte la page Installation et utilisation de CCleaner.


Ensuite ... Vide les points de restauration système qui sont aussi infectés.

Pour cela
  • Dans Panneau de configuration/Système/onglet Restauration du système, coche Désactiver la restauration du système sur tous les lecteurs puis clique sur OK.

  • Tout de suite après, décoche la case Désactiver ... puis clique sur OK de façon à remettre la restauration système en fonction.




Ensuite ... As tu désinstallé Winamp et comment se porte ton PC maintenant?
_________________
Revenir en haut de page
Alertez un modérateur
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
dohita
Membre
Membre


Inscrit le: 06 Nov 2007
Messages: 16
MessagePosté le: 19 Nov 2007 22:07     Sujet du message: cheval de troie Répondre en citant
Bonsoir,

un grand merci.
J ai procédé au C Cleaner, je pense que cela a supprimé les derniers fichiers infectes.
sinon oui j ai bien installé Winamp, je ne pense pas le reinstaller, je l utilisais rararement.
mon pc se porte beaucoup mieux, il ne s arrete plus, plus de message bleus qui s affichent ou de redemarrage alors que je voulais l arreter.
encore un grand merci.
Trés cordialement.
Revenir en haut de page
Alertez un modérateur
Voir le profil de l'utilisateur Envoyer un message privé
Marie
Intervenante VIP
Intervenante VIP


Inscrit le: 07 Mar 2006
Messages: 6850
Localisation: Toulon
MessagePosté le: 19 Nov 2007 22:13     Sujet du message: Répondre en citant
Contente que tout soit rentré dans l'ordre. Content

Pense à désinstaller HijackThis et SmitFraudFix.
Tu peux garder CCleaner. Il est bien utile pour nettoyer les fichiers temporaires et le registre. Clin d'oeil
_________________
Revenir en haut de page
Alertez un modérateur
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet
Page 1 sur 1		 Toutes les heures sont au format GMT + 1 Heure

 


Index du forum Micro-Astuce -> Virus - Sécurité - Analyses HijackThis		 Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum
Sauter vers:  

Sujets similaires relevés sur Micro-Astuce Publicité
Sujet Auteur Forum Réponses Posté le
Pas de nouveaux messages Réparer un fichier audio [resolu] nicoolas Problèmes de logiciel 7 Jeudi 02 Octobre 2008 17:44 Voir le dernier message
Pas de nouveaux messages Code erreur!!! 80072efd [resolu] maman0013 Messagerie électronique 4 Jeudi 02 Octobre 2008 10:55 Voir le dernier message
Ce sujet est verrouillé; vous ne pouvez pas éditer les messages ou faire de réponses. [Résolu] Virus !!!! A L'AIDE!!! vh0711 Virus - Sécurité - Analyses HijackThis 15 Mardi 30 Septembre 2008 19:11 Voir le dernier message
Pas de nouveaux messages Rédémarrage en boucle du PC [résolu] broutille06 Problèmes matériel 10 Mardi 30 Septembre 2008 11:12 Voir le dernier message
Ce sujet est verrouillé; vous ne pouvez pas éditer les messages ou faire de réponses. [Résolu] Gestionnaire des tâches désa... Phantometalleux Virus - Sécurité - Analyses HijackThis 3 Samedi 27 Septembre 2008 19:14 Voir le dernier message



Powered by phpBB © 2001, 2005 phpBB Group - Template et images : Micro-Astuce.com (Hébergé par OVH)

Traduction par : phpBB-fr.com / Contact webmaster
Le forum Micro-Astuce remercie de leur aide :
    hakin9
Forum Map | Site Map | Lutte contre le spam
Sites amis : CoyotteForum | Emoticones | Forum informatique | Informatruc

Page générée en : 0.1914s (PHP: 64% - SQL: 36%)
Requêtes SQL effectuées : 17 - Compression GZIP désactivée - Debugage activé
Ce site utilise des pages PHP entièrement recyclables