Antivirus 2009

C:\Documents and
Settings\Susan\Cookies\susan@serving-sys[1].txt Objets détectés : Trace.TrackingCookie.serving-sys!A2


C:\Documents and Settings\Susan\Cookies\susan@revenue[2].txt
Objets détectés :
Trace.TrackingCookie.revenue!A2


C:\Documents and Settings\Susan\Cookies\susan@trafficmp[3].txt
Objets détectés :
Trace.TrackingCookie.trafficmp!A2


C:\Documents and
Settings\Susan\Cookies\susan@statse.webtrendslive[1].txt Objets détectés :
Trace.TrackingCookie.statse.webtrendslive!A2


C:\Documents and Settings\Susan\Cookies\susan@clickbank[1].txt
Objets détectés :
Trace.TrackingCookie.clickbank!A2


C:\Documents and
Settings\Susan\Cookies\susan@dealtime[1].txt Objets
détectés : Trace.TrackingCookie.dealtime!A2


C:\Documents and Settings\Susan\Cookies\susan@2o7[3].txt Objets détectés :
Trace.TrackingCookie.2o7!A2


C:\Documents and
Settings\Susan\Cookies\susan@stat.dealtime[1].txt Objets détectés : Trace.TrackingCookie.stat.dealtime!A2


C:\Documents and
Settings\Susan\Cookies\susan@questionmarket[1].txt Objets détectés : Trace.TrackingCookie.questionmarket!A2


C:\Documents and
Settings\Susan\Cookies\susan@tribalfusion[2].txt Objets détectés : Trace.TrackingCookie.tribalfusion!A2


C:\Documents and
Settings\Susan\Cookies\susan@google.com[4].txt Objets
détectés : Trace.TrackingCookie.google.com!A2


C:\Documents and
Settings\Susan\Cookies\susan@google.com[5].txt Objets
détectés : Trace.TrackingCookie.google.com!A2


C:\Documents and Settings\Susan\Application
Data\Mozilla\Firefox\Profiles\a5bhtnrb.default\cookies.sqlite:1222164451171908 Objets détectés :
Trace.TrackingCookie.com!A2


C:\Documents and Settings\Susan\Application
Data\Mozilla\Firefox\Profiles\a5bhtnrb.default\cookies.sqlite:1222164451172075 Objets détectés :
Trace.TrackingCookie.metriweb!A2


C:\Documents and Settings\Susan\Application
Data\Mozilla\Firefox\Profiles\a5bhtnrb.default\cookies.sqlite:1222164451172222 Objets détectés :
Trace.TrackingCookie.webtrends!A2


C:\Documents and Settings\Susan\Application
Data\Mozilla\Firefox\Profiles\a5bhtnrb.default\cookies.sqlite:1222164451172270 Objets détectés :
Trace.TrackingCookie.zedo!A2


C:\Documents and Settings\Susan\Application
Data\Mozilla\Firefox\Profiles\a5bhtnrb.default\cookies.sqlite:1222164451172477 Objets détectés :
Trace.TrackingCookie.com!A2


C:\Documents and Settings\Susan\Application
Data\Mozilla\Firefox\Profiles\a5bhtnrb.default\cookies.sqlite:1222164451172479 Objets détectés :
Trace.TrackingCookie.com!A2


C:\Documents and Settings\Susan\Application
Data\Mozilla\Firefox\Profiles\a5bhtnrb.default\cookies.sqlite:1222164451172694 Objets détectés :
Trace.TrackingCookie.webtrends!A2


C:\Documents and Settings\Susan\Application
Data\Mozilla\Firefox\Profiles\a5bhtnrb.default\cookies.sqlite:1222164451172774 Objets détectés :
Trace.TrackingCookie.agent!A2


C:\Documents and Settings\Susan\Application
Data\Mozilla\Firefox\Profiles\a5bhtnrb.default\cookies.sqlite:1222343143750000 Objets détectés :
Trace.TrackingCookie.humanclick!A2


C:\Documents and Settings\Susan\Application
Data\Mozilla\Firefox\Profiles\a5bhtnrb.default\cookies.sqlite:1222343146546875 Objets détectés :
Trace.TrackingCookie.humanclick!A2


C:\WINDOWS\system32\Process.exe Objets détectés : Riskware.RiskTool.Win32.Processor.20!A2


C:\WINDOWS\system32\IEDFix.exe Objets détectés : Hoax.Win32.Renos.vaoz!A2





Analysé





Fichiers : 213298


Traces : 677447


Cookies : 3001


Processus : 72





Objets trouvés





Fichiers : 2


Traces : 145


Cookies : 129


Processus : 0


Clés de Registre : 0





Fin du balayage : 24/10/2008
7:25:54


Temps du balayage : 1:20:26

Salut !!

C est ok il n a rien trouvé de bien grave... Juste beaucoup de cookies...

Tu peux aller vider la quarantaine d a-squared et ensuite faire ceci stp :

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

==> Télécharge Toolscleaner sur ton Bureau

(c est le numéro 15 en bas de la page) :

==> Double-clique sur ToolsCleaner2.exe et laisse le travailler
==> Clique sur Recherche et laisse le scan se terminer.
==> Clique sur Suppression pour finaliser.
==> Tu peux, si tu le souhaites, te servir des Options facultatives.
==> Clique sur Quitter, pour que le rapport puisse se créer.
==> Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse




Désactive et réactive la Restauration du système :

Le fait de faire cette manipulation va supprimer tous les virus qui auraient pu se loger dans les
points de restauration que tu avais créé auparavant.. Il est donc recommandé de la faire :

1 Dans la barre des tâches de Windows, clique sur Démarrer.

2 Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.

3 Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"

4 Clique sur Appliquer.

5 Ensuite décoche "Désactiver la restauration du systeme"

6 clique sur appliquer puis ok

7 vas créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires =>

outils systeme => restauration du systeme => créer un point de restauration => tu mets un nom

(exemple : après désinfection) puis tu valides.


Voici un tutoriel en cas de problèmes.(c'est mon site web)

Ensuite si tu veux que je m occupe de l autre PC, il va falloir que tu fasses un rapport hijackthis... Donc va sur l autre PC et fais ceci stp :

Fais un rapport hijackthis pour que je puisse vérifier les infections de ton pc stp

==> Télécharge hijackthis sur mon site web, tout est expliqué pour bien l installer et pour savoir s'en servir



Comment copier/coller le rapport :


Quand tu as le rapport à l écran, tu fais ctrl A pour "sélectionner tout" puis ctrl C pour "copier".

ensuite tu viens sur le forum pour me répondre et tu fais ctrl V pour "coller" le rapport.

Une explication des raccourcis clavier sont illustrés sur mon site web à cette adresse :

http://forum-aide-contre-virus.be/divers.html

non, c'est le même ordinateur, juste avec des utilisateurs différents...

alors ouvre l autre session et fais un rapport hijackthis stp...

Mais je pense que la désinfection est faite pour toutes les sessions

Salut Geoffrey,

voilà, j'ai fait ce que tu m'as demandé mais, je ne peux de nouveau plus créer de point de sauvegarde. Comment cela ce fait-il?
Voici le rapport Toolsclean:

[ Rapport ToolsCleaner version 2.2.4 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\SDFIX: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Raf\SmitFraudfix: trouvé !
C:\Documents and Settings\Raf\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\Raf\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Raf\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Raf\Bureau\SmitFraudfix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Raf\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\Raf\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Raf\Bureau\SmitFraudFix.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\SDFIX: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Raf\SmitFraudfix: supprimé !
C:\Documents and Settings\Raf\Bureau\SmitFraudfix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Salut !!

Vas voir si la restauration de système n est pas désactivée

non, elle est bien activée

Salut !!

Voici une astuce qui te permettra de réparer la restauration du systeme :

http://www.micro-astuce.com/depannage/restauration_systeme.php

Viens signaler si ça a marché

Bon, ben c'est pas gagné.
Malgré l'astuce, je ne peux toujours créer de point de restauration.
De plus, lorsque j'utilise internet,c'est extrêmement lent et, régulièrement il refuse d'afficher les pages demandées en disant que la connection a été interrompue. Rafraîchir la page ne sert à rien. Je dois redémarrer l'ordinateur pour que je puisse à nouveau utiliser internet. Par contre quand je télécharge un programme, cela se fait à la vitesse normale.
Quand je démarre le pc, en ouvrant le bureau, j'ai un message d'erreur:
ePM.exe - Fichier endommagé
Le fichier ou le répertoire \hiberfil.sys est endommagé et illisible.Utilisez l'utilitaire...
Je ne sais pas quoi faire.
J'ai refait un rapport Smitfraud, si çà peut t'aider:
SmitFraudFix v2.368

Rapport fait à 10:47:55,92, mar. 28/10/2008
Executé à partir de C:\Documents and Settings\Raf\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\acer\epm\epm-dm.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\regsvr32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Raf\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\msxml71.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Raf


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Raf\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\RAF\FAVORIS


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Broadcom 802.11g - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1014A41D-EF68-4360-9C02-288DF2AFD886}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{1014A41D-EF68-4360-9C02-288DF2AFD886}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7395AC1E-EBA4-4A7A-A194-AEF952C53CCC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{1014A41D-EF68-4360-9C02-288DF2AFD886}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Le SmitFraudFix ne sert à rien, fait un HijackThis stp

Salut,petite incruste fais ceci,

Télécharge OTMoveIt3( de Old Timer )
http://oldtimer.geekstogo.com/OTMoveIt3.exe
Une fois téléchargé double-clique sur OTMoveIt2.exe pour le lancer.
Assure toi que la case "Unregister Dll's and Ocx's" est cochée
Copie les lignes qui se trouvent en dessous :

:Processes
explorer.exe

C:\WINDOWS\system32\drivers\TDSSpqxt.sys
C:\WINDOWS\system32\TDSSwgqe.dat
C:\WINDOWS\system32\TDSStubk.log
C:\WINDOWS\system32\TDSStkdv.log
C:\WINDOWS\system32\TDSSciou.dll
C:\WINDOWS\system32\TDSSfpmp.log
C:\WINDOWS\system32\TDSSpqxt.dat
C:\WINDOWS\system32\TDSSoiqh.dll
C:\WINDOWS\system32\TDSSosvn.dll
C:\WINDOWS\system32\TDSSnrse.dll
C:\WINDOWS\system32\TDSScbqp.dll
C:\WINDOWS\system32\TDSSsbhc.dll
C:\WINDOWS\Temp\TDSS385.tmp
C:\WINDOWS\Temp\TDSSe0ab.tmp
C:\WINDOWS\Temp\TDSSed7c.tmp
C:\WINDOWS\Temp\TDSSf56c.tmp
C:\WINDOWS\Temp\TDSSfc22.tmp
C:\WINDOWS\Temp\TDSS1160.tmp
C:\WINDOWS\Temp\TDSS197e.tmp

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]


et colle-les dans le cadre de gauche de OTMoveIt : "Paste List Of Files/Folders to Move."
Clique sur "MoveIt!" pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
-Il te sera peut-être demander de redémarrer le pc pour achever la suppression -> Accepte ( si il ne fait pas automatiquement , fait-le toi même )

/!\ Note : Au démarrage ton bureau RISQUE de ne plus apparaître, dans ce cas fait --> CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi sur l'onglet "Processus". Clique en haut à gauche sur "Fichiers" et choisis "Exécuter"
Tape "explorer.exe"(sans les guillemèts) et valide. Cela fera réapparaître le Bureau.

je pense que ca va aider...mais pas sur
++

c'est un des problèmes que j'ai avec internet: il refuse d'ouvrir certaines pages.
Je ne peux pas accéder à la page de téléchargement de HijackThis et celui-ci, comme d'autres utilitaires, a été supprimé de pc (comme Smitfraud)...
Il y a manifestement un problème...

As-tu essayé cette page: Clic ICI

ok, çà a marché, voici le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:49:25, on 28/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\acer\epm\epm-dm.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\regsvr32.exe
C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: offersfortoday browser enhancer - {1D4EE591-E50C-1C45-C58E-8D5268C3EDE9} - C:\WINDOWS\system32\lelukpsklh.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: offersfortoday - {a3a49b4f-6321-3382-70fd-499275d17a93} - C:\WINDOWS\system32\nsm42.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RegKillElbyCheck] "C:\Program Files\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" /L RegKill
O4 - HKLM\..\Run: [hbnhbyfwqrrrgpfb] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\lelukpsklh.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files/Big%20City%20Adventure/Images/stg_drm.ocx
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files/Big%20City%20Adventure/Images/armhelper.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

--
End of file - 9804 bytes

Salut !!

Smitfraudfix a trouvé un fichier infecté : C:\WINDOWS\system32\msxml71.dll PRESENT !

Option 2 - Nettoyage :


Redémarrer l'ordinateur en mode sans échec Comment redémarrer en mode sans échec ??

==> Double cliquer sur smitfraudfix

==> Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

==> A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

==> Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

==> Enregistre le rapport sur ton bureau


==> Redémarrer en mode normal et poster le rapport.

ensuite essaye de retélécharger hijackthis à cette adresse stp :

http://forum-aide-contre-virus.be/hijackthis.html

Effectivement, j'ai regardé trop vite

Et sur le log HijackThis, tu es toujours infecté...
Tu fixe les lignes suivantes et refais un scan MBAM stp :
O2 - BHO: offersfortoday browser enhancer - {1D4EE591-E50C-1C45-C58E-8D5268C3EDE9} - C:\WINDOWS\system32\lelukpsklh.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: offersfortoday - {a3a49b4f-6321-3382-70fd-499275d17a93} - C:\WINDOWS\system32\nsm42.dll
O4 - HKLM\..\Run: [hbnhbyfwqrrrgpfb] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\lelukpsklh.dll"
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

bonjour a tous

gobiel boonty n'est pas une infection

Leur politique :

"Il se peut que nous partageons aussi des informations payantes avec des tiers
qui fournissent ds services payants et partage des données regroupées montrant le type
et le nombre de jeux videos que vous téléchargez, votre age, votre sexe, vos occupations,
niveau d'éducation, localité géographique, données sur l'équipement de votre ordinateur,
internet et intérêts pour les jeux videos, activités et entrainement des jeux édités.
De plus, nous partageons les adresses email avec des tiers fournisseurs de compte mails
qui nous assistent en envoyant nos mails a de nombreux clients en même temps..."

rafwat


1) Télécharge et installe Malwarebyte's Anti-Malware:

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK
Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur ton Bureau.

Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK

Laisse les Mises à jour se télécharger
*** Referme le programme ***

2) Redémarre en "Mode sans échec"

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuie sur [Entrée]
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.
Regarde ici si besoin : http://www.malekal.com/modesansechec.php

Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut.

3) Scan avec Malwarebyte's Anti-Malware

Lance Malwarebyte's Anti-Malware
Onglet "Recherche" >>> coche Executer un exame complet >>> Rechercher sélectionne tes disques durs puis clique sur Lancer l’examen
A la fin du scan >>> clique sur Afficher les résultats puis sur Enregistrer le rapport
Suppression des éléments détectés >>>>
supprime ce qu'il a trouvé vide également les éléments de la quarantaine
S'il t'es demandé de redémarrer >>> clique sur "Yes"

--> Un rapport de scan s'ouvre, enregistre sur ton Bureau et poste ce rapport en réponse.

quand tu demande une analyse, demande en mode sans échec.

Pourquoi en mode sans échec:

*Car déjà l'analyse cherche plus de fichiers en mode sans échec que en mode normal.
*Et aussi en mode normal les virus ( trojans, cheval de troie, vers, spywares , malwares et autres ... sont actif) donc ne se supprimes pas donc ils faut le faire en mode sans échec .1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

fait ceci stp bon aller je vous laisse et bon courage

Salut à tous

gobiel : on ne fix pas les lignes infectées, ça ne supprime pas l infection

L infection ci-dessous va être supprimée lorsqu il fera la suppression avec SmitfraudFix :

C:\WINDOWS\system32\msxml71.dll

salut geoffrey,

l'ordinateur ne veut pas demarrer en mode sans échec.
Je me demandais s'il n'était pas plus facile de formater mon disque et de tout réinstaller... Qu'en penses-tu?

Salut !!

Pourquoi n arrives tu pas à redémarrer en mode sans échec ?

je lui demande de le faire, il accepte et puis je n'ai qu'un écran noir avec le curseur qui clignote dans le coin supérieur gauche. J'ai essayé plusieurs fois, je l'ai laissé travailler toute la nuit, mais rien ne se passe...

Bon, j'ai formate le disque et tout reinstalle.... tout fonctionne maintenant.

Merci pour ton aide