Index du forum Protection et virus Antivirus Virus ? ou malware?

Virus ? ou malware?

Modérateurs: ExpertDuForum, insertech-mod-internes


Message Mer Sep 24, 2008 12:34 pm

Messages: 248
nous allons tenter de supprimer l'élément que vous mentionnez et on vous revient avec le résultat
Marlo

Message Mer Sep 24, 2008 4:01 pm

Messages: 248
nous avons fait votre procédure
et aucun changement toujours le même probème
avez vous une autre suggestion ?
merci
Marlo

Message Mer Sep 24, 2008 6:00 pm
Marc Avatar de l’utilisateur
Expert Administrateur du Forum
Expert Administrateur du Forum

Messages: 9374
Localisation: Saint-Jean-Sur-Richelieu
Bonsoir.

Pour effacer une ligne, vous démarrez Hijackthis, ensuite vous cliquez sur " Do a scan only" ensuite vous cochez les lignes recommandées dans les carrés à gauche, dans votre cas seulement une ligne est à cocher. Ensuite cliquez sur "fix checked". Vous refaites une autre analyse et postez le log sur le forum. Dites moi aussi si les symptômes persistent. Attendez avant d'envoyer le patient au "garage". :wink:
Un bon avocat connait la loi, mais le meilleur lui, y connait le juge.

Image

Message Mer Sep 24, 2008 6:16 pm

Messages: 248
impossible de faire des recherches avec firefox il se produit le meme problème qu'internet explorer
Marlo

Message Mer Sep 24, 2008 6:27 pm

Messages: 248
je vous remercie de votre patience

nous avons un ordi fantome ou possédé.....

voici le HiJackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:23:10, on 2008-09-24
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\hijackthis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: addestination browser enhancer - {0af46236-cd88-1ca6-6987-2dc46bb81c1c} - C:\WINDOWS\system32\ppokqlkbrpjjsiyps.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [cgaeshockz] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\ppokqlkbrpjjsiyps.dll" EntryPoint
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Status Monitor.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-CA/a-U ... E_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... b31267.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

--
End of file - 7804 bytes
Marlo

Message Mer Sep 24, 2008 7:04 pm

Messages: 248
Prise 2 nous avons refait HiJackThis en mode sans échec et avons réussi à enlever la ligne tel que spécifié.

voici le HiJackThis de cet ordi fantôme et probablement possédé !!!!!!!! :lol: :lol: :D :D
merci! :wink: :!:
le problème persiste toujours et la ligne réapparait meme apres le redémarrage
Marlo

Message Mer Sep 24, 2008 8:44 pm
Marc Avatar de l’utilisateur
Expert Administrateur du Forum
Expert Administrateur du Forum

Messages: 9374
Localisation: Saint-Jean-Sur-Richelieu
La ligne ré-apparaît, ça veut dire que le coupable c'est bel et bien lui. Je ne comprends pas que le Smithfraudfix, ne fonctionne pas sur votre machine, car je crois que ça règlerait le problème.

Ce LIEN
fonctionne sur mon ordi, je l'ai essayé. Je vous demanderais de le ré-essayer pour voir.
Un bon avocat connait la loi, mais le meilleur lui, y connait le juge.

Image

Message Mer Sep 24, 2008 8:52 pm
rene3 Expert Administrateur du Forum
Expert Administrateur du Forum

Messages: 5398
Localisation: Gatineau
Bonjour,

comme tu n'es pas capable de le supprimer, peut-être au moins serais-tu capable de le désactiver:télécharge le programme Autoruns de Microsoft:
http://technet.microsoft.com/en-us/sysi ... 63902.aspx

Le programme ne s'installe pas. Clique sur Autoruns et non Autorunsc.Va dans l'onglet Everything et cherche la clé que tu essaies de supprimer. Si tu la voies, enlève le crochet face à la clé.

Après qu'elle soit désactivée, peut-être réussiras-tu à télécharger Smithfraudfix et à l'exécuter.

Message Mer Sep 24, 2008 9:31 pm

Messages: 248
quand nous exécutons smitfraudfix, il apparait une fenêtre avec la mention:

Echec CRC dans SmitFraudFix\WS2fix.exe

maintenant nous allons essayé votre recette autorun

à suivre

merci! :)
Marlo

Message Mer Sep 24, 2008 9:34 pm

Messages: 248
nous réussissons à le télécharger et incapable de l'exécuter j,avais oublié de vous l,écrire je pense excusez moi!
Marlo

Message Mer Sep 24, 2008 9:40 pm
Marc Avatar de l’utilisateur
Expert Administrateur du Forum
Expert Administrateur du Forum

Messages: 9374
Localisation: Saint-Jean-Sur-Richelieu
Marlo a écrit:
quand nous exécutons smitfraudfix, il apparait une fenêtre avec la mention:

Echec CRC dans SmitFraudFix\WS2fix.exe

maintenant nous allons essayé votre recette autorun

à suivre

merci! :)


Là je ne comprends pas qu'une Erreure de controle de rebondance cyclique dans un fichier téléchargé :oops: Peut-être rené va pouvoir m'aider à essayer de comprendre...?
Un bon avocat connait la loi, mais le meilleur lui, y connait le juge.

Image

Message Mer Sep 24, 2008 9:44 pm

Messages: 248
est-ce que la seule solution c'est de reformater l'ordi ?
Marlo

Message Mer Sep 24, 2008 9:51 pm
Marc Avatar de l’utilisateur
Expert Administrateur du Forum
Expert Administrateur du Forum

Messages: 9374
Localisation: Saint-Jean-Sur-Richelieu
Marlo a écrit:
est-ce que la seule solution c'est de reformater l'ordi ?



Non!

Téléchargez combofix.exe (par sUBs) sur votre Bureau.

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Double cliquez sur combofix.exe.
Tapez sur la touche 1 (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Copiez/collez ce rapport dans votre prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

Déconnectez-vous d'internet et refermez les fenêtres de tous les programmes en cours. Désactivez provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de votre Antivirus et de vos Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur votre bureau double-cliquez sur Combofix.exe.

Répondez oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
Pendant la durée de cette étape, ne vous servez pas de l'ordi et n'ouvrez aucun programmes.

En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laissez-le faire.

Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

Réactivez la protection en temps réel de votre Antivirus et de vos Antispywares, avant de vous reconnecter à internet.

Revenez sur le forum, et copiez et collez la totalité du contenu de C:\Combofix.txt dans votre prochain message.
Un bon avocat connait la loi, mais le meilleur lui, y connait le juge.

Image

Message Mer Sep 24, 2008 10:03 pm

Messages: 248
merci
nous essayons combofix demain car le temps est venu du dodo
et redonnons le résultat dès que possible demain.
:wink:
Marlo

Message Jeu Sep 25, 2008 9:18 am
rene3 Expert Administrateur du Forum
Expert Administrateur du Forum

Messages: 5398
Localisation: Gatineau
Bonjour,

j'ai aussi fait de la recherche avec la ligne à détruire et je ne trouve rien non plus. Il semble que cette ligne empêche plusieurs executables de s'exécuter et contrôle internet explorer.

J"irais voir dans le gestionnaire de tâches pour voir s'il y a un processus qui ressemble aux éléments de cette ligne:clic droit sur la barre des tâches, gestionnaire des tâches,processus. Tu sélectionnes un processus puis tu cliques sur terminer le processus.

Puis ensuite j'essaierais d'exécuter Smithfraudfix, ou quelques anti-rootkits....
anti-rootkits-t5466.html

PrécédenteSuivante

Retourner vers Antivirus