AccueilCalendrierFAQRechercherMembresGroupesS'enregistrerConnexion
Statistiques Antivir
Rechercher
 
 

Résultats par :
 
Rechercher Recherche avancée
Derniers sujets
» Infection + PC très lent
Sam 14 Déc - 22:03:56 par Fred_R

» J'ai quelque chose qui est en train de bouffer mon pc
Dim 5 Mai - 19:12:45 par Marco2404

» systeme de plugin a l'adress 0*e4783995 a recu l'erreur critique
Lun 20 Juin - 15:58:24 par rositaa

» Démarrage bloquer
Sam 30 Jan - 19:55:46 par Nemesis31

» scan Security tool virus
Sam 30 Jan - 19:54:57 par Nemesis31

» coupure du PC
Mer 9 Déc - 22:40:37 par Nemesis31

» Mon Pc Ram Comme Un Fou :@
Mar 3 Nov - 0:18:46 par shion-ares

» coupure d'internet tout les 5 minutes plus d'executer sous xp
Jeu 10 Sep - 0:28:07 par gollum

» soupson d'infection
Jeu 3 Sep - 13:42:30 par Nemesis31

Navigation
 Accueil
 Membres
 Profil
 FAQ
 Rechercher
Connexion
Nom d'utilisateur:
Mot de passe:
Connexion automatique: 
:: Récupérer mon mot de passe
Partenaires
Forum gratuit



Tchat Blablaland


Meilleurs posteurs
geoffrey5
 
shion-ares
 
plopus
 
didier68
 
Anthony5151
 
Juliensl
 
bluestyle
 
ginga
 
Nemesis31
 
gobiel
 
La boutique du forum
vous avez la possibilité d'acheter des articles propres au forum
Sondage

Partagez | 
 

 Rapport HTJ

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
clivadis
Membre
Membre


Masculin
Nombre de messages : 12
Age : 45
Localisation : Nîmes
Système d\'exploitation * : XP
Date d'inscription : 03/05/2009

MessageSujet: Rapport HTJ   Dim 3 Mai - 11:01:18

Bonjour,
Tout d'abord, j'explique le problème que j'ai rencontré.
Tout a commencé lorsque le resident TeaTime de Spybot m'a demandé d'accepter une procédure que j'ai refusée, j'ai alors eu une série de petites fenêtres Spybot qui se sont affichées m'indiquant que j'avais placé cette procédure en liste noire. Et cela en continu.
Depuis, lorsque je vais sur internet, j'ai une fenêtre de ce style qui s'ouvre régulièrement :

bref fenêtre inutile.
J'ai désactivé le Resident TeaTime de Spybot pour ne plus avoir les fenêtres de ce logiciel, mais il me reste cette fenêtre "Windows Internet Explorer" (avec l'icone Mozilla).
Voilà mon rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:58:56, on 03/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
J:\WINDOWS\system32\spoolsv.exe
J:\Program Files\Java\jre6\bin\jqs.exe
J:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\wscntfy.exe
J:\WINDOWS\Explorer.EXE
J:\Program Files\Winamp\winampa.exe
J:\Program Files\Analog Devices\SoundMAX\SMTray.exe
J:\Program Files\PowerISO\PWRISOVM.EXE
J:\Program Files\Java\jre6\bin\jusched.exe
J:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
J:\WINDOWS\system32\ctfmon.exe
J:\WINDOWS\system32\sistray.exe
J:\WINDOWS\system32\rundll32.exe
J:\Program Files\Mozilla Firefox\firefox.exe
J:\Program Files\Trend Micro\HijackThis\HTJ.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - J:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3950aea8-25ba-4b20-b3c3-248edf8fdce8} - J:\WINDOWS\system32\pefaregi.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - J:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - J:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - J:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - J:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [WinampAgent] J:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [USSShReg] J:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [Smapp] J:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SiSUSBRG] J:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [NeroFilterCheck] J:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] J:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "J:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Ad-Watch] J:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [daveyajuye] Rundll32.exe "J:\WINDOWS\system32\ruzomivu.dll",s
O4 - HKLM\..\Run: [000000af] rundll32.exe "J:\WINDOWS\system32\nenunizo.dll",b
O4 - HKLM\..\Run: [CPM57e0f7a1] Rundll32.exe "J:\WINDOWS\system32\dupateki.dll",a
O4 - HKCU\..\Run: [MSMSGS] "J:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = J:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = J:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Utility Tray.lnk = J:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://J:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - J:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - J:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - J:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll
O20 - AppInit_DLLs: J:\WINDOWS\system32\nunuluna.dll j:\windows\system32\dupateki.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - j:\windows\system32\dupateki.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - j:\windows\system32\dupateki.dll
O23 - Service: Google Updater Service (gusvc) - Google - J:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - J:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - J:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - J:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Pml Driver HPZ12 - HP - J:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - J:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6523 bytes

Ces 3 lignes me posent problème :
O4 - HKLM\..\Run: [daveyajuye] Rundll32.exe "J:\WINDOWS\system32\ruzomivu.dll",s
O4 - HKLM\..\Run: [000000af] rundll32.exe "J:\WINDOWS\system32\nenunizo.dll",b
O4 - HKLM\..\Run: [CPM57e0f7a1] Rundll32.exe "J:\WINDOWS\system32\dupateki.dll",a
puisqu'elles correspondent aux messages de Spybot
Mais même si je les supprime, je suppose que j'ai un quelque part un spyware qui doit les faire revenir.

Bref, comment revenir à une situation saine svp ?
Merci d'avance de vos avis.


Dernière édition par clivadis le Sam 9 Mai - 16:26:19, édité 3 fois
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ripoux22
En formation
En formation
avatar

Masculin
Nombre de messages : 60
Age : 68
Localisation : nancy
Système d\'exploitation * : windows vista
Date d'inscription : 22/04/2009

MessageSujet: Re: Rapport HTJ   Dim 3 Mai - 11:19:51

Bonjour clivadis
Tu as plusieurs infections ,tu vas faire ceci dans un premier temps

télécharge Malwarebytes' Anti-Malware

Tutoriel Malwarebytes anti-Malware !

Ce logiciel est à garder, il te rendra encore de grands services!

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)
sans les ouvrir.

installe le.
- Assure toi qu'il se soit bien mis à jour avant de passer à la suite.


  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    Ne jamais redémarrer en mode sans échec via MSConfig
  • Choisis ton compte.

  • Lance MBAM et sélectionne "Exécuter un examen complet"". Patiente le temps du scan.



  • Une fois le scan terminé,clique sur" Supprimer la sélection ".


Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera

Si tu rencontres un problème pendant l'utilisation de cette procédure. N'hésite surtout pas à venir m'en parler

postes moi le rapport
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
clivadis
Membre
Membre


Masculin
Nombre de messages : 12
Age : 45
Localisation : Nîmes
Système d\'exploitation * : XP
Date d'inscription : 03/05/2009

MessageSujet: Re: Rapport HTJ   Dim 3 Mai - 13:01:42

Merci pour tes conseils.
A la fin du scan, le logiciel me dit :
"Impossible de supprimer les fichiers suivants :
J:\WINDOWS\system32\dupaleki.dll
J:\WINDOWS\system32\nunuluna.dll
mais qu'il aurait apparemment supprimé lors du redémarrage

Sinon, voilà le log du rapport :
Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2069
Windows 5.1.2600 Service Pack 3

03/05/2009 11:55:57
mbam-log-2009-05-03 (11-55-57).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|L:\|)
Eléments examinés: 159110
Temps écoulé: 57 minute(s), 16 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 19

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
J:\WINDOWS\system32\nunuluna.dll (Trojan.Vundo.H) -> Delete on reboot.
j:\WINDOWS\system32\dupateki.dll (Trojan.Vundo.H) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3950aea8-25ba-4b20-b3c3-248edf8fdce8} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{3950aea8-25ba-4b20-b3c3-248edf8fdce8} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3950aea8-25ba-4b20-b3c3-248edf8fdce8} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\000000af (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\daveyajuye (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpm57e0f7a1 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: j:\windows\system32\nunuluna.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: j:\windows\system32\nunuluna.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: j:\windows\system32\dupateki.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
J:\WINDOWS\system32\herifoya.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
J:\WINDOWS\system32\ayofireh.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
J:\WINDOWS\system32\nenunizo.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
J:\WINDOWS\system32\ozinunen.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
J:\WINDOWS\system32\ruzomivu.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
j:\WINDOWS\system32\dupateki.dll (Trojan.Vundo.H) -> Delete on reboot.
J:\WINDOWS\system32\pefaregi.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
J:\WINDOWS\system32\nunuluna.dll (Trojan.Vundo.H) -> Delete on reboot.
J:\Documents and Settings\Christophe\Local Settings\Temporary Internet Files\Content.IE5\02BS96LO\hnwtu[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Documents and Settings\Christophe\Local Settings\Temporary Internet Files\Content.IE5\02BS96LO\iolvvift[1].htm (Trojan.Ertfor) -> Quarantined and deleted successfully.
J:\Documents and Settings\Christophe\Local Settings\Temporary Internet Files\Content.IE5\1O1G1OJ5\ahurebocmi[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Documents and Settings\Christophe\Local Settings\Temporary Internet Files\Content.IE5\1O1G1OJ5\djspmz[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Documents and Settings\Christophe\Local Settings\Temporary Internet Files\Content.IE5\JQ3GAM0I\bqwkgherb[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Documents and Settings\Christophe\Local Settings\Temporary Internet Files\Content.IE5\JQ3GAM0I\ouqenbopzz[1].txt (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Documents and Settings\Christophe\Local Settings\Temporary Internet Files\Content.IE5\KHAUTBVH\iolvvift[1].htm (Trojan.Ertfor) -> Quarantined and deleted successfully.
J:\Documents and Settings\Christophe\Local Settings\Temporary Internet Files\Content.IE5\KHAUTBVH\pifccpdnab[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\WINDOWS\system32\furujeze.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
J:\WINDOWS\system32\jihegoro.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
J:\WINDOWS\system32\dumiwulu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
clivadis
Membre
Membre


Masculin
Nombre de messages : 12
Age : 45
Localisation : Nîmes
Système d\'exploitation * : XP
Date d'inscription : 03/05/2009

MessageSujet: Re: Rapport HTJ   Dim 3 Mai - 14:24:16

Ce qui ne fonctionnait plus refonctionne, donc apparemment problème résolu.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ripoux22
En formation
En formation
avatar

Masculin
Nombre de messages : 60
Age : 68
Localisation : nancy
Système d\'exploitation * : windows vista
Date d'inscription : 22/04/2009

MessageSujet: Re: Rapport HTJ   Dim 3 Mai - 14:45:06

Re
Tu peux me refaire un rapport hijackthis STP que je vérifie
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
clivadis
Membre
Membre


Masculin
Nombre de messages : 12
Age : 45
Localisation : Nîmes
Système d\'exploitation * : XP
Date d'inscription : 03/05/2009

MessageSujet: Re: Rapport HTJ   Mer 6 Mai - 23:20:24

Voilà ce que cela me donne aujourd'hui. Merci pour ta patience.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:19:36, on 06/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
J:\WINDOWS\system32\spoolsv.exe
J:\Program Files\Java\jre6\bin\jqs.exe
J:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\wscntfy.exe
J:\WINDOWS\Explorer.EXE
J:\Program Files\Winamp\winampa.exe
J:\Program Files\Analog Devices\SoundMAX\SMTray.exe
J:\Program Files\PowerISO\PWRISOVM.EXE
J:\Program Files\Java\jre6\bin\jusched.exe
J:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
J:\WINDOWS\system32\ctfmon.exe
J:\WINDOWS\system32\sistray.exe
J:\WINDOWS\system32\winlogon.exe
J:\Program Files\Mozilla Firefox\firefox.exe
J:\Program Files\Microsoft Office\Office\EXCEL.EXE
J:\Program Files\Trend Micro\HijackThis\HTJ.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - J:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - J:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - J:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - J:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - J:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [WinampAgent] J:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [USSShReg] J:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [Smapp] J:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SiSUSBRG] J:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [NeroFilterCheck] J:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] J:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "J:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Ad-Watch] J:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [RavAV] J:\WINDOWS\AdobeR.exe
O4 - HKCU\..\Run: [MSMSGS] "J:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-436374069-484061587-682003330-1004\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\ctfmon.exe (User 'Cécile')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = J:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = J:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Utility Tray.lnk = J:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://J:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - J:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - J:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - J:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll
O20 - AppInit_DLLs: ,
O23 - Service: Google Updater Service (gusvc) - Google - J:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - J:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - J:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - J:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Pml Driver HPZ12 - HP - J:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - J:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6139 bytes
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ripoux22
En formation
En formation
avatar

Masculin
Nombre de messages : 60
Age : 68
Localisation : nancy
Système d\'exploitation * : windows vista
Date d'inscription : 22/04/2009

MessageSujet: Re: Rapport HTJ   Jeu 7 Mai - 11:48:06

Bonjour clivadis
Tu vas faire ceci
==> Télécharger et enregistre sur ton bureau SDfix (créé par AndyManchesta)

(c est le numéro 8 en bas de la page) :

==> Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur ton disque C:.

/!\ Démarre en mode sans échec : après le bip et avant le logo windows tapoter sur la touche F8 (ou F5): menu M.S.E..

==> Choisir son compte, pas celui de l'Administrateur ou autre.

==> Dérouler la liste des instructions ci-dessous :

• Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuyer sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuyer sur une touche pour redémarrer le PC.
• Le système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copier/coller le contenu du fichier Report.txt dans la prochaine réponse sur le forum et un nouveau log hijackthis
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
clivadis
Membre
Membre


Masculin
Nombre de messages : 12
Age : 45
Localisation : Nîmes
Système d\'exploitation * : XP
Date d'inscription : 03/05/2009

MessageSujet: Re: Rapport HTJ   Jeu 7 Mai - 19:02:34

ok, je ferai ça demain, je te remercie encore.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
clivadis
Membre
Membre


Masculin
Nombre de messages : 12
Age : 45
Localisation : Nîmes
Système d\'exploitation * : XP
Date d'inscription : 03/05/2009

MessageSujet: Re: Rapport HTJ   Ven 8 Mai - 18:36:28

Voilà le report.txt :
SDFix: Version 1.240
Run by Christophe on 08/05/2009 at 16:56

Microsoft Windows XP [version 5.1.2600]
Running From: J:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-08 17:28:42
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"J:\\Program Files\\eMule\\emule.exe"="J:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"J:\\Program Files\\FTPExpert\\FTPXpert.exe"="J:\\Program Files\\FTPExpert\\FTPXpert.exe:*:Enabled:FTP Expert"
"J:\\Program Files\\Messenger\\msmsgs.exe"="J:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"J:\\Documents and Settings\\Christophe\\Application Data\\Facebook\\facebook.exe"="J:\\Documents and Settings\\Christophe\\Application Data\\Facebook\\facebook.exe:127.0.0.1/255.255.255.255:Enabled:Facebook"
"J:\\Program Files\\Mozilla Firefox\\firefox.exe"="J:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"J:\\WINDOWS\\explorer.exe"="J:\\WINDOWS\\explorer.exe:*:Enabled:explorer"
"J:\\WINDOWS\\system32\\winlogon.exe"="J:\\WINDOWS\\system32\\winlogon.exe:*:Enabled:winlogon"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :

Mon 2 Feb 2009 49,152 A.SH. --- J:\WINDOWS\SYSTEM32\BANAPO~1.TMP
Mon 2 Feb 2009 49,152 A.SH. --- J:\WINDOWS\SYSTEM32\HEZITI~1.TMP
Sat 2 May 2009 88,064 A.SH. --- J:\WINDOWS\SYSTEM32\MOHUREHA.DLL
Sat 2 May 2009 51,200 A.SH. --- J:\WINDOWS\SYSTEM32\NAVUGIHI.EXE
Sat 2 May 2009 51,200 A.SH. --- J:\WINDOWS\SYSTEM32\RIVESOGO.EXE
Mon 2 Feb 2009 49,152 A.SH. --- J:\WINDOWS\SYSTEM32\WIWINO~1.TMP
Sun 21 Oct 2007 4,348 ..SH. --- J:\DOCUME~1\ALLUSE~1\DRM\DRMV1.BAK
Sat 21 Mar 2009 9,934,392 A..H. --- J:\PROGRA~1\GOOGLE\PICASA3\SETUP.EXE
Wed 26 Nov 2008 113 A..H. --- J:\PROGRA~1\INTERA~1\INTERA~1\ITI942.TMP
Wed 8 Oct 2008 25,088 ...H. --- J:\DOCUME~1\CHRIST~1\APPLIC~1\MICROS~1\WORD\~WRL0005.TMP

Finished!

Et le HJT
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:35:12, on 08/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
J:\WINDOWS\system32\spoolsv.exe
J:\Program Files\Java\jre6\bin\jqs.exe
J:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\wscntfy.exe
J:\WINDOWS\Explorer.EXE
J:\WINDOWS\system32\notepad.exe
J:\Program Files\Winamp\winampa.exe
J:\Program Files\Analog Devices\SoundMAX\SMTray.exe
J:\Program Files\PowerISO\PWRISOVM.EXE
J:\Program Files\Java\jre6\bin\jusched.exe
J:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
J:\WINDOWS\system32\ctfmon.exe
J:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
J:\WINDOWS\system32\sistray.exe
J:\Program Files\Mozilla Firefox\firefox.exe
J:\Program Files\Trend Micro\HijackThis\HTJ.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - J:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - J:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - J:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - J:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - J:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [WinampAgent] J:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [USSShReg] J:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [Smapp] J:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SiSUSBRG] J:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [NeroFilterCheck] J:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] J:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "J:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Ad-Watch] J:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [MSMSGS] "J:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = J:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = J:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Utility Tray.lnk = J:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://J:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - J:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - J:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - J:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll
O20 - AppInit_DLLs: ,
O23 - Service: Google Updater Service (gusvc) - Google - J:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - J:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - J:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - J:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Pml Driver HPZ12 - HP - J:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - J:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5971 bytes
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ripoux22
En formation
En formation
avatar

Masculin
Nombre de messages : 60
Age : 68
Localisation : nancy
Système d\'exploitation * : windows vista
Date d'inscription : 22/04/2009

MessageSujet: Re: Rapport HTJ   Ven 8 Mai - 18:53:04

Bonjour clivadis


  • Vas sur le site Virusscan Jotti
  • Clique en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier.

    J:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r
  • Clique sur submit toujours en haut à droite
  • Le scan va se lancer, ça va prendre un petit instant
  • A la fin du scan, un rapport va apparaître : Copie/Colle le résultat complet du scan dans un fichier texte
  • Poste ce fichier dans ta prochaine réponse


ATTENTION de bien prendre le résultat du scan de ton fichier (le nom du fichier apparaît en haut) et non le scan fait avant le tiens!
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
clement3434
En formation
En formation
avatar

Masculin
Nombre de messages : 95
Age : 22
Localisation : Languedoc-Roussillon
Système d\'exploitation * : Windows Vista
Date d'inscription : 09/04/2009

MessageSujet: Re: Rapport HTJ   Ven 8 Mai - 19:06:10

Bonjour ripoux22

Tu as fait un erreur concernant le scan MBAM
Geoffrey5 à écrit que il ne fallait pas effectuer de scan MBAM en mode sans echecs, car MBAM détecte les virus actifs, donc qui ne s'exécutent pas en mode sans échecs....
Je crois qu'il vaudrait mieux que il refasse un scan MBAM
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ripoux22
En formation
En formation
avatar

Masculin
Nombre de messages : 60
Age : 68
Localisation : nancy
Système d\'exploitation * : windows vista
Date d'inscription : 22/04/2009

MessageSujet: Re: Rapport HTJ   Ven 8 Mai - 19:11:36

Salut Clement 3434

Oui je sais ce n'est pas bien grave de toute façon je fais toujours un Scan final avec MBAM ne te fais pas de soucis!!!!!Et celui là serra en mode normal.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
clivadis
Membre
Membre


Masculin
Nombre de messages : 12
Age : 45
Localisation : Nîmes
Système d\'exploitation * : XP
Date d'inscription : 03/05/2009

MessageSujet: Re: Rapport HTJ   Ven 8 Mai - 19:22:19

ripoux22 a écrit:
Bonjour clivadis


  • Vas sur le site Virusscan Jotti
  • Clique en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier.

    J:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r
  • Clique sur submit toujours en haut à droite
  • Le scan va se lancer, ça va prendre un petit instant
  • A la fin du scan, un rapport va apparaître : Copie/Colle le résultat complet du scan dans un fichier texte
  • Poste ce fichier dans ta prochaine réponse


ATTENTION de bien prendre le résultat du scan de ton fichier (le nom du fichier apparaît en haut) et non le scan fait avant le tiens!
C'est ça le résultat du scan que tu veux ?

File:
USSSHREG.EXE
Status:

OK


MD5:
ee104fd926fce4e86dfc1ff4e5cfd1cb
Packers detected:
-



window.google_render_ad();

Scanner results


Scan taken on 08 May 2009 16:18:10 (GMT)
A-Squared
Found nothing

AntiVir
Found nothing

ArcaVir
Found nothing

Avast
Found nothing

AVG Antivirus
Found nothing

BitDefender
Found nothing

ClamAV
Found nothing

CPsecure
Found nothing

Dr.Web
Found nothing

F-Prot Antivirus
Found nothing

F-Secure Anti-Virus
Found nothing

Ikarus
Found nothing

Kaspersky Anti-Virus
Found nothing

NOD32
Found nothing

Norman Virus Control
Found nothing

Panda Antivirus
Found nothing

Quick Heal
Found nothing

Sophos Antivirus
Found nothing

VirusBuster
Found nothing

VBA32
Found nothing
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
clement3434
En formation
En formation
avatar

Masculin
Nombre de messages : 95
Age : 22
Localisation : Languedoc-Roussillon
Système d\'exploitation * : Windows Vista
Date d'inscription : 09/04/2009

MessageSujet: Re: Rapport HTJ   Ven 8 Mai - 19:23:55

OK tu gère ^^
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ripoux22
En formation
En formation
avatar

Masculin
Nombre de messages : 60
Age : 68
Localisation : nancy
Système d\'exploitation * : windows vista
Date d'inscription : 22/04/2009

MessageSujet: Re: Rapport HTJ   Ven 8 Mai - 20:03:43

Bien continuons


  • Lance HijackThis
  • Clic sur "Do a system scan only"
  • Tu coches les lignes suivantes :


O4 - HKLM\..\Run: [SiSUSBRG] J:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] J:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] J:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "J:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\ctfmon.exe => Microsoft®NT CTF Loader
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = J:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = J:\Program Files\Microsoft Office\Office\OSA9.EXE

clique sur Fix checked

Désinstalle complètement Adobe Reader 8.xx (ou inférieure) . Remplace-la par la version 9 que tu trouveras ICI
http://www.adobe.com/fr/products/acrobat/readstep2.html
--> décoche la barre Google. Celle-ci n'est pas infectieuse mais c'est une habitude à prendre de ne pas télécharger tout ce qui est proposé avec certains programmes...

Et pour terniner fais un scan avec Malwarebytes


  • Télécharge Malwarebytes
  • Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
  • Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
  • Lance une analyse complète en cliquant sur "Exécuter un examen complet"
  • Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
  • L'analyse peut durer un bon moment.....
  • Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
  • Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
  • Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

Refais un log hijackthis pour controle
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
clivadis
Membre
Membre


Masculin
Nombre de messages : 12
Age : 45
Localisation : Nîmes
Système d\'exploitation * : XP
Date d'inscription : 03/05/2009

MessageSujet: Re: Rapport HTJ   Ven 8 Mai - 21:40:05

Rapport Malwarebytes :
Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2069
Windows 5.1.2600 Service Pack 3

08/05/2009 20:38:35
mbam-log-2009-05-08 (20-38-35).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|H:\|I:\|J:\|)
Eléments examinés: 158142
Temps écoulé: 54 minute(s), 22 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
J:\System Volume Information\_restore{A693FD19-0C17-40D6-8868-8162D1712581}\RP780\A0048507.dll (Trojan.Vundo) -> Quarantined and deleted successfully.


Je redémarre et je relance HJT.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
clivadis
Membre
Membre


Masculin
Nombre de messages : 12
Age : 45
Localisation : Nîmes
Système d\'exploitation * : XP
Date d'inscription : 03/05/2009

MessageSujet: Re: Rapport HTJ   Ven 8 Mai - 21:44:39

Et voilà le log HJT pour controle :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:43:17, on 08/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
J:\WINDOWS\system32\spoolsv.exe
J:\Program Files\Java\jre6\bin\jqs.exe
J:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\Explorer.EXE
J:\WINDOWS\system32\wscntfy.exe
J:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
J:\Program Files\Winamp\winampa.exe
J:\Program Files\Analog Devices\SoundMAX\SMTray.exe
J:\Program Files\Java\jre6\bin\jusched.exe
J:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
J:\Program Files\Messenger\MSMSGS.EXE
J:\WINDOWS\system32\sistray.exe
J:\WINDOWS\system32\wuauclt.exe
J:\Program Files\Trend Micro\HijackThis\HTJ.exe
J:\Program Files\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - J:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - J:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - J:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - J:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - J:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [WinampAgent] J:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [USSShReg] J:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [Smapp] J:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "J:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Ad-Watch] J:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "J:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MSMSGS] "J:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Utility Tray.lnk = J:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://J:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - J:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - J:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - J:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll
O20 - AppInit_DLLs: ,
O23 - Service: Google Updater Service (gusvc) - Google - J:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - J:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - J:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - J:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Pml Driver HPZ12 - HP - J:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - J:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5203 bytes
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ripoux22
En formation
En formation
avatar

Masculin
Nombre de messages : 60
Age : 68
Localisation : nancy
Système d\'exploitation * : windows vista
Date d'inscription : 22/04/2009

MessageSujet: Re: Rapport HTJ   Ven 8 Mai - 22:03:43

Très bien ton rapport est sain Donc pour moi ce sera bon après ceci

Télécharge OTCleanIt de OldTimer sur ton Bureau



  • Lance OTCleanIt avec un double-clic (sous Vista, lance-le en cliquant droit sur OTCleanIt.exe et en sélectionnant "exécuter en tant qu'administrateur")
  • Appuie sur le bouton "CleanUp!"
  • A la question "begin cleanup process?", réponds "YES"
  • A la fin de l'opération, si OTCleanIt demande de redémarrer ("Do you want to reboot now?"), ferme ce que tu es en train de faire (internet, documents divers...)
  • et clique sur "YES":
  • Au redémarrage, OTCleanIt aura supprimé les outils de désinfection, et se sera même auto-détruit!


Restauration système
Suppression des points de restauration :
/!\ Maintenant que ton PC n'est plus infecté, désactive la "Restauration du système" afin de créer un point de restauration sain.

Pour désactiver ou activer la Restauration du système, vous devez ouvrir une session Administrateur sous Windows XP.


  • Désactivation:
  • Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système"
  • coche la case "Désactiver la Restauration du système sur tous les lecteurs"
  • Appliquer et Ok.
Activation:

  • Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs"
Créé un nouveau point de sauvegarde que tu pourras réutiliser en cas de problème
http://www.pcentraide.com/index.php?showtopic=132

Si tu n'as pas d'autre problème tu peux mentionner résolu
Comment mettre son sujet résolu
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
clivadis
Membre
Membre


Masculin
Nombre de messages : 12
Age : 45
Localisation : Nîmes
Système d\'exploitation * : XP
Date d'inscription : 03/05/2009

MessageSujet: Re: Rapport HTJ   Sam 9 Mai - 0:13:56

ripoux22 a écrit:
Créé un nouveau point de sauvegarde que tu pourras réutiliser en cas de problème
http://www.pcentraide.com/index.php?showtopic=132
Je ne tombe pas du tout sur la même fenêtre qu'eux lorsque je vais sur rstrui.exe.
Ma fenêtre ressemble à ça :

Dans la session "administrateur", il me dit qu'il faut retourner sous une autre session pour ouvrir ce fichier.
Je ne vois donc pas comment créer un nouveau point de sauvegarde.

edit : la partition système est en NTFS pour info
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ripoux22
En formation
En formation
avatar

Masculin
Nombre de messages : 60
Age : 68
Localisation : nancy
Système d\'exploitation * : windows vista
Date d'inscription : 22/04/2009

MessageSujet: Re: Rapport HTJ   Sam 9 Mai - 11:47:20

Bonjour

Avec XP Fais comme indiqué en dessous

http://www.6ma.fr/tuto/restauration+systeme+sous+windows+2-252

Je n'ai plus XP depuis longtemps Je ne me souviens plus trop bien comment on faisait je vais regarder sur ma VB pour voir .
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
clivadis
Membre
Membre


Masculin
Nombre de messages : 12
Age : 45
Localisation : Nîmes
Système d\'exploitation * : XP
Date d'inscription : 03/05/2009

MessageSujet: Re: Rapport HTJ   Sam 9 Mai - 15:13:13

Ben en fait, je n'ai pas du tout les écrans qui sont indiqués dans ces différents tutoriels. Le "créer un point de restauration" n'apparaît pas, je pense que ça vient du fait que je suis en NTFS. Du coup, est ce que je peux décocher "désactiver la restauration du système" ? Mais je suppose que je risque de repasser en mode infecté.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ripoux22
En formation
En formation
avatar

Masculin
Nombre de messages : 60
Age : 68
Localisation : nancy
Système d\'exploitation * : windows vista
Date d'inscription : 22/04/2009

MessageSujet: Re: Rapport HTJ   Sam 9 Mai - 15:23:15

Citation :
est ce que je peux décocher "désactiver la restauration du système" ?
Oui ensuite reboot ton PC et réactive la
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
clivadis
Membre
Membre


Masculin
Nombre de messages : 12
Age : 45
Localisation : Nîmes
Système d\'exploitation * : XP
Date d'inscription : 03/05/2009

MessageSujet: Re: Rapport HTJ   Sam 9 Mai - 16:26:01

Bon, en fait, il fallait décocher "Désactiver la Restauration système" pour avoir le même écran. Donc maintenant, c'est bon.
Encore merci pour tout.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ripoux22
En formation
En formation
avatar

Masculin
Nombre de messages : 60
Age : 68
Localisation : nancy
Système d\'exploitation * : windows vista
Date d'inscription : 22/04/2009

MessageSujet: Re: Rapport HTJ   Sam 9 Mai - 16:29:00

Très bien clivadis

Bon Dimanche et:
Si tu n'as pas d'autre problème tu peux mentionner résolu
Comment mettre son sujet résolu
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Contenu sponsorisé




MessageSujet: Re: Rapport HTJ   

Revenir en haut Aller en bas
 
Rapport HTJ
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» Un rapport hijackthis
» [Résolu] Rapport d'avast
» Position objet par rapport à un autre
» rapport smitfraudfix
» Rapport adwcleaner [résolu]

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
 :: Forums :: Virus/Sécurité-
Sauter vers: