Forum Clubic

Trojan / chevaux de troies..... dommage

Bonjour,

Mon petit frere viens de faire unerencontre avec “My album”…(ah, ces petits freres…)
Aprés avoir utilisé MyAlbumFix, je me suis rendu compte que des chevaux de troies étaient sur le PC (grace à Avast que j’aiinstallé et mis à jour ainsi que zone alarme)… Mais ils périclitent les idiots, et sont toujours présents ! Voila pourquoi je viens frapper à votre porte afin d’avoir un peu d’aide.
voici le récapitulatif d’hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:15:48, on 02/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Aurélien\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = format.packardbell.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orange.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [C:\APPS\IE\offline\fr.htm…](file://C:\APPS\IE\offline\fr.htm)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = www.supremetoolbar.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM…\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM…\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM…\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM…\Run: [VCSPlayer] “C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe”
O4 - HKLM…\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM…\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM…\Run: [SSBkgdUpdate] “C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe” -Embedding -boot
O4 - HKLM…\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM…\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM…\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM…\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe”
O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [ZoneAlarm Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe”
O4 - HKCU…\Run: [BitTorrent] “C:\Program Files\BitTorrent\bittorrent.exe” --force_start_minimized
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS\S-1-5-18…\Run: [Window Monitor] winmon32.exe (User ‘SYSTEM’)
O4 - HKUS\S-1-5-18…\RunServices: [Window Monitor] winmon32.exe (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)
O4 - HKUS.DEFAULT…\RunServices: [Window Monitor] winmon32.exe (User ‘Default user’)
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE…
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - www.orange.fr… (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - messenger.zone.msn.com…
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - go.microsoft.com…
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - messenger.zone.msn.com…
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - messenger.zone.msn.com…
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - messenger.msn.com…
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - messenger.zone.msn.com…
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - messenger.zone.msn.com…
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - player.virtools.com…
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Program Files\Securitoo\av_fw\fswsclds.exe (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\PACSPT~1.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\winvnc.exe (file missing)

Merci d’avance.
Aurélien
Edité le 03/10/2007 à 15:58

Salut ,

coche et Fixer Objet sur ces lignes avec Hijackthis :

O4 - HKLM…\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM…\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM…\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM…\Run: [SSBkgdUpdate] “C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe” -Embedding -boot
O4 - HKLM…\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM…\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKCU…\Run: [BitTorrent] “C:\Program Files\BitTorrent\bittorrent.exe” --force_start_minimized
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS\S-1-5-18…\Run: [Window Monitor] winmon32.exe (User ‘SYSTEM’)
O4 - HKUS\S-1-5-18…\RunServices: [Window Monitor] winmon32.exe (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)
O4 - HKUS.DEFAULT…\RunServices: [Window Monitor] winmon32.exe (User ‘Default user’)
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - messenger.zone.msn.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - go.microsoft.com
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - messenger.zone.msn.com
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - messenger.zone.msn.com
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - messenger.msn.com
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - messenger.zone.msn.com
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - messenger.zone.msn.com
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - player.virtools.com
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Program Files\Securitoo\av_fw\fswsclds.exe (file missing)

Services.msc
à taper dans dans Démarrer/ Exécuter , puis arrête et désactive ce service :
F-Secure Windows Security Center Legacy Detection Service (Fswsclds)

Lance Navilog1 , option 1, puis relance Navilog1 , option 2 pour nettoyage .
Poste ce dernier rapport créé par Navilog1 .
perso.orange.fr…

Installe ce fichier Hosts :
www.pcinpact.com…

.
Edité le 02/10/2007 à 11:22

Je ne peux affectuer la désinfecion, car voici le 1er rapport de navilog :

Search Navipromo version 3.2.0 commencé le 02/10/2007 à 11:57:37,40
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106

*** Recherche Programmes installes ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\Aur?lien\Application Data ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***
pour + d’infos : www.gmer.net…
Aucun fichier trouvé dans :

  • C:\WINDOWS\system32
  • C:\Documents and Settings\Aur?lien\local settings\application data
    *** Recherche avec GenericNaviSearch ***
    !!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A verifier impérativement avant toute suppression manuelle !!!
  • Scan C:\WINDOWS\system32 *
  • Scan C:\Documents and Settings\Aur?lien\local settings\application data *
    *** Recherche fichiers ***
    *** Recherche cles registre ***
    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)
    1)Recherche fichiers connus:
    2)Recherche Heuristique :
    3)Recherche Certificats :
    Certificat Egroup absent !
    *** Analyse Terminé le 02/10/2007 à 11:58:05,28 ***

sinon j’ai viré le HOST de par le lien donné.
Que faire ?
Aurélien

sinon j’ai viré le HOST de par le lien donné.
Que faire ?

Comment ça " viré " ?

et bien j’ai installé le fichier HOSTS… comme tu me l’avais demandé.
Edité le 02/10/2007 à 12:21

Ok .

Passe Clean de Malekal Morte :
mickael.barroux.free.fr…

Poste un nouveau rapport Hijackthis .
Edité le 02/10/2007 à 12:22


[quote=""] je me suis rendu compte que des chevaux de troies étaient sur le PC (grace à Avast ) [/quote]

Quel est l’endroit sur le pc indiqué par Avast ?


Il est ensuite [b]IMPERATIF d'nstaller le SP2 [/b] , puis de passer par la case Windows Update pour mettre les derniers correctifs Microsoft !!! [www.microsoft.com...](http://www.microsoft.com/downloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&displaylang=fr)
[www.update.microsoft.com...](http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=fr)

Voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:58:39, on 02/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Brother\Brmfcmon\BrMfimon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\Aurélien\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = format.packardbell.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orange.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [C:\APPS\IE\offline\fr.htm…](file://C:\APPS\IE\offline\fr.htm)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = www.supremetoolbar.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM…\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM…\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM…\Run: [VCSPlayer] “C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe”
O4 - HKLM…\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM…\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe”
O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM…\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [ZoneAlarm Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe”
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE…
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - www.orange.fr… (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\PACSPT~1.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\winvnc.exe (file missing)


End of file - 5394 bytes

Je ne peux te dire précisement ou sont les chevaux detecté par l’antivirus. Il me semble que c’ete dans " local setting" et dans un fichir temp avec “~” dedans. mais je ne peux pas en dire d’avantage. Pourquoi passer au SP2 ? mon SP1 fonctionne pour l’instant (ormis les virus)

Sinon, Zone alarme (mon firewall) m’a demané si je pouvais laisser passer un prg : “aShmail” (quelque chose comme ça). J’ai autorisé en pensant que c’ete comme Ashserv pour internet. Mais la, une serie de mail commançaient à etre envoyé. je n’ai pas tout compris et le PC a rebouté. Depuis, plus rien.(je ne sais pas si ca peut aider de le savoir)…

Quelles sont les prochaine étapes ?

merci beaucoup
Aurélien

Installer le SP2 et indispensable , question sécurité ! … Windows Update ensuite .

Poste le rapport de Clean de Malekal Morte ?

modéré
Regarde dans les rapports ZA le nom exact de [quote=""]
(quelque chose comme ça)
[/quote]
. !
Regadre également les rapports de Avast !

++


Passe S[b]mitfraudFix [/b], [u]option 2 [/u]et poste le rapport créé : [siri.urz.free.fr...](http://siri.urz.free.fr/Fix/SmitfraudFix.php)

Coche et fixe cette ligne avec Hijackthis :
O4 - HKLM…\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
Message edité le 02/10/2007 à 15:09

Le SP2 (comme le SP1) est 1 ensemble de correctifs de sécurité destiné à sécuriser le système et pas un système en soit, donc ton système n’est pas à jour en restant sur le SP1 ! http://kay.smiley.free.fr/images/1701.gif[/img] (c’est systèmesimpleàcomprendre non ? [img]http://kay.smiley.free.fr/images/4729.gif )

1) & 2) fichier Local Setting\Temporary Internet Files doit se nettoyer régulièrement et surtout après une infection - voir le topic de Juju scotché en haut du forum :o

3) AshMail >> O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

t’es spammé ! soit t’es encore infecté soit un de tes contacts l’est et te spamme … cercle vicieux … bouge-toi

je peux être spamme avec un firewall ?? je pensais qu’il contrôlait Tous les paquets qui rentrent et tous ceux qui sortent !!!

Voici le rapport de Clean de Malekal Morte :
Clean Navipromo version 3.2.0 commencé le 02/10/2007 à 13:41:10,51

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 30.09.2007 a 18h00 by IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Mode suppression automatique

Executé en mode sans échec

*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n’avait rien trouvé lors de la recherche)
*** Suppression avec Backups résultats GenericNaviSearch ***

  • Scan C:\WINDOWS\system32 *
  • Scan C:\Documents and Settings\Administrateur\local settings\application data *
    *** Suppression dossiers dans C:\WINDOWS ***
    *** Suppression dossiers dans C:\Program Files ***
    *** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***
    *** Suppression dossiers dans C:\Documents and Settings\Administrateur\Application Data ***
    *** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***
    *** Suppression fichiers ***
    *** Suppression fichiers temporaires ***
    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\Administrateur\Local Settings\Temp effectué !
    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)
    1)Recherche fichiers connus:
    2)Recherche et Suppression Heuristique :
    *** Sauvegarde du registre vers dossier Backupnavi ***
    sauvegarde du registre réalise avec succes !
    *** Nettoyage registre ***
    Nettoyage registre Ok
    *** Certificats ***
    Certificat Egroup absent !
    *** Nettoyage termine le 02/10/2007 à 13:41:51,46 ***

et ainsi que le journal de avast (j’ai supprimé le redondant car c’ete inbuvable!):

20/09/2007 21:45:39 SYSTEM 1712 Sign of “Win32:Agent-KIR [Trj]” has been found in “C:\WINDOWS\System32\DRIVERS\secdrv.sys” file.
20/09/2007 21:46:28 SYSTEM 1712 Sign of “Win32:Agent-IZJ [Trj]” has been found in “C:\WINDOWS\System32\lanmanwrk.exe[UPX]” file.
20/09/2007 21:49:12 SYSTEM 1712 Sign of “Win32:Agent-KIR [Trj]” has been found in “C:\WINDOWS\System32\DRIVERS\secdrv.sys” file. 20/09/2007 22:32:05 Aurélien 1204 Sign of “Win32:Small-EPJ [Trj]” has been found in “http://62.72.1243.static.theplanet.com/s_1_0?m=3&a=1&r=1&hdd=4a33345451415256202020202020202020202020&gen=c&os=940000000500000001000000280a00000200000053657276696365205061636b2031” file. 02/10/2007 10:14:47 SYSTEM 744 Sign of “Win32:Trojan-gen. {Other}” has been found in “C:\WINDOWS\System32\drivers\runtime.sys” file.
02/10/2007 10:14:57 SYSTEM 744 Sign of “Win32:Small-EPJ [Trj]” has been found in “http://208.66.194.234/s_1_3232235887?m=3&a=1&r=1&hdd=4a33345451415256202020202020202020202020&gen=14&proc=vsmon.exe&os=940000000500000001000000280a00000200000053657276696365205061636b2031” file.

02/10/2007 13:57:59 Aurélien 2004 Sign of “Win32:Agent-LPR [Trj]” has been found in “C:\WINDOWS\Temp\startdrv.exe” file.

Si ce sont des spam, je vias lui passer Spybot et adaware (bonne démarche ?) et je passe en SP2

Laisse tomber Spybot et Ad-aware

Tu as posté le rapport le Navilog1 , option 2 pas de Clean de Malekal Morte ! :heink:
“rapport_clean.txt” à la racine de votre disque dur (ex : C:\rapport_clean.txt).

Manque le rapport SmitfraudFix , option 2 .

Redémarre en mode sans échec et lance SDFix :
mickael.barroux.free.fr…
Poste également ce rapport .

.
Edité le 02/10/2007 à 17:23

Voici le rapport de Clean de Malekal Morte :

Rapport clean par Malekal_morte - www.malekal.com…
Script execute en mode sans echec 02/10/2007 a 12:44:51,14
Microsoft Windows XP [version 5.1.2600]
*** Suppression des fichiers dans C:
*** Suppression des fichiers dans C:\WINDOWS\
*** Suppression des fichiers dans C:\WINDOWS\system32
*** Suppression des fichiers dans C:\Program Files
*** Suppression des clefs du registre effectuee…

Puis celui de SmitfraudFix :
SDFix: Version 1.107
Run by Administrateur on 02/10/2007 at 20:15
Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\AURLIE~1\Bureau\navilog\SDFix\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting…
Service runtime2 - Deleted after Reboot
Normal Mode:
Checking Files:

Trojan Files Found:
C:\WINDOWS\system32\2_exception.nls - Deleted
C:\WINDOWS\Temp\startdrv.exe - Deleted
C:\WINDOWS\system32\drivers\runtime2.sys - Deleted

Removing Temp Files…
ADS Check:
C:\WINDOWS
No streams found.
C:\WINDOWS\system32
No streams found.
C:\WINDOWS\system32\svchost.exe
No streams found.
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:

Remaining Services:

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
“C:\Program Files\BitTorrent\bittorrent.exe”=“C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent”

Remaining Files:

File Backups: - C:\DOCUME~1\AURLIE~1\Bureau\navilog\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes:

Tue 20 Aug 2002 1,511,453 …H. — “C:\Program Files\Messenger\msmsgs.exe”
Mon 27 Feb 2006 56,832 A.SH. — “C:\Program Files\Outlook Express\MSIMN.EXE”
Thu 31 Mar 2005 4,348 A.SH. — “C:\Documents and Settings\All Users\DRM\DRMv1.bak”
Wed 20 Mar 2002 348,160 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\Mss32.dll”
Wed 20 Mar 2002 172,032 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\Platform.dll”
Fri 29 Mar 2002 41,260 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\RegSetup.exe”
Wed 20 Mar 2002 1,916,928 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\Skate3.exe”
Wed 20 Mar 2002 233,472 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\THPS3Setup.exe”
Fri 29 Mar 2002 5,524,585 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\unpack.exe”
Fri 21 Sep 2007 7,939,030 A…H. — “C:\WINDOWS\SoftwareDistribution\Download\7dfe90ab9679753ce8e3ab64aba594fe\download\BIT7C.tmp”
Tue 2 Oct 2007 80,953,497 A…H. — “C:\WINDOWS\SoftwareDistribution\Download\d3e2cd1aa350dfdef90c91dfc8e90f2d\download\BIT73.tmp”
Mon 22 Oct 2001 23,552 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\Extra\Getinfo.dll”
Wed 12 Sep 2001 131,072 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\Extra\register.exe”
Mon 22 Oct 2001 84,480 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\Extra\Sysinfo.exe”
Mon 22 Oct 2001 38,912 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\Extra\Sysinv.dll”
Fri 28 Sep 2001 164,864 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\Uninstall\UNWISE.EXE”
Wed 20 Mar 2002 348,160 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\Data\MILES\Mss32.dll”
Thu 31 Mar 2005 4,348 …H. — “C:\Documents and Settings\All Users\Documents\Ma musique\A trier\Artiste inconnu\Sauvegarde de la licence\drmv1key.bak”
Fri 1 Sep 2006 20 A…H. — “C:\Documents and Settings\All Users\Documents\Ma musique\A trier\Artiste inconnu\Sauvegarde de la licence\drmv1lic.bak”
Fri 25 Aug 2006 488 A.SH. — “C:\Documents and Settings\All Users\Documents\Ma musique\A trier\Artiste inconnu\Sauvegarde de la licence\drmv2key.bak”

Finished!

Maintenant j’installe SP2 et j’attends les instructions…

Aurélien

Ok , rédémarre le pc AVANT d’installer le sp2 et lance à nouveau SmitfraudFix , option 2 ( lance le en mode sans échec ! )
Tu t’es trompé de rapport , là ! lol … .

Tu dois réinstaller le nouveau Hosts ( SDFix te l’a supprimé :wink: )
www.pcinpact.com…

Redémarre le pc et poste un dernier rapport Hijackthis .

++
Edité le 02/10/2007 à 21:42

voici enfin le bon rapport SmitfraudFix… LoOoL :
SDFix: Version 1.107
Run by Administrateur on 03/10/2007 at 00:41
Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\AURLIE~1\Bureau\navilog\SDFix\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Rebooting…
Normal Mode:
Checking Files:

No Trojan Files Found

Removing Temp Files…
ADS Check:
C:\WINDOWS
No streams found.
C:\WINDOWS\system32
No streams found.
C:\WINDOWS\system32\svchost.exe
No streams found.
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.

                             Final Check:

Remaining Services:

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
“C:\Program Files\BitTorrent\bittorrent.exe”=“C:\Program Files\BitTorrent\bittorrent.exe::Enabled:BitTorrent"
“%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe:
:enabled:@xpsp2res.dll,-22019”

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
“%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:

Files with Hidden Attributes:

Fri 20 Aug 2004 1,667,584 …H. — “C:\Program Files\Messenger\msmsgs.exe”
Fri 20 Aug 2004 60,416 A.SH. — “C:\Program Files\Outlook Express\msimn.exe”
Thu 31 Mar 2005 4,348 …SH. — “C:\Documents and Settings\All Users\DRM\DRMv1.bak”
Wed 20 Mar 2002 348,160 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\Mss32.dll”
Wed 20 Mar 2002 172,032 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\Platform.dll”
Fri 29 Mar 2002 41,260 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\RegSetup.exe”
Wed 20 Mar 2002 1,916,928 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\Skate3.exe”
Wed 20 Mar 2002 233,472 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\THPS3Setup.exe”
Fri 29 Mar 2002 5,524,585 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\unpack.exe”
Mon 22 Oct 2001 23,552 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\Extra\Getinfo.dll”
Wed 12 Sep 2001 131,072 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\Extra\register.exe”
Mon 22 Oct 2001 84,480 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\Extra\Sysinfo.exe”
Mon 22 Oct 2001 38,912 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\Extra\Sysinv.dll”
Fri 28 Sep 2001 164,864 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\Uninstall\UNWISE.EXE”
Wed 20 Mar 2002 348,160 A…H. — “C:\Documents and Settings\All Users\Documents\Jeux PAS TOUCHE\Tony hawk pas touch\Data\MILES\Mss32.dll”
Thu 31 Mar 2005 4,348 …H. — “C:\Documents and Settings\All Users\Documents\Ma musique\A trier\Artiste inconnu\Sauvegarde de la licence\drmv1key.bak”
Fri 1 Sep 2006 20 A…H. — “C:\Documents and Settings\All Users\Documents\Ma musique\A trier\Artiste inconnu\Sauvegarde de la licence\drmv1lic.bak”
Fri 25 Aug 2006 488 A.SH. — “C:\Documents and Settings\All Users\Documents\Ma musique\A trier\Artiste inconnu\Sauvegarde de la licence\drmv2key.bak”

Finished!

Et je finis par un petit Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:03:47, on 03/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\notepad.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Brother\Brmfcmon\BrMfimon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Aurélien\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = format.packardbell.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orange.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [C:\APPS\IE\offline\fr.htm…](file://C:\APPS\IE\offline\fr.htm)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = www.supremetoolbar.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM…\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM…\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM…\Run: [VCSPlayer] “C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe”
O4 - HKLM…\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM…\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe”
O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [ZoneAlarm Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe”
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE…
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - www.orange.fr… (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\PACSPT~1.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\winvnc.exe (file missing)


End of file - 5535 bytes

Qu’en pense Tu ?
Sinon, je vais pouvoir afficher ma honte, je suisdans une ecole d’ingénieur en electricité et programmation. Mon domaine est plus l’electricité mais j’ai les bases de prog. Et je ne comprends pas comment tu sais quels Fix utiliser et surtout comment lire les rapports d’Hijackthis… En totu cas chapeau l’artiste !

Aurélien

Toujours pas le bon rapport SmitfraudFix ! lol :wink:

Supprime SDFix et Navilog1 de ton pc .

Télécharges et lance SmitfraudFix , option 2:
siri.urz.free.fr…

Poste le rapport créé.

Voici SmitfraudFix en mode sans echec (désolé, il fait 14000000 lignes :smiley: …, un vrais roman, comme je n’avais pas assez de place dans le post, j’ai réédité en supprimant quelques lignes) :
SmitFraudFix v2.235

Rapport fait à 10:47:09,53, 03/10/2007
Executé à partir de C:\Documents and Settings\Aur?lien\Bureau\navilog\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
127.0.0.1 www.xcelltech.com…_
…|
…|…Partie
…|…Supprimée
…_|
127.0.0.1 smutvidoftheday.com #[Win32/TrojanDownloader.Agent.NJC]
127.0.0.1 www.smutvidoftheday.com #[SiteAdvisor.smutvidoftheday.com]
127.0.0.1 www.xscincorporated.com

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri’s WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip…{3D24D9D6-036B-4CE7-9889-CD7284189A42}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip…{CD34101B-355A-4CCB-83D1-523877A02F08}: NameServer=80.10.246.130 80.10.246.3
HKLM\SYSTEM\CS3\Services\Tcpip…{3D24D9D6-036B-4CE7-9889-CD7284189A42}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“System”=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
Edité le 03/10/2007 à 11:09

Copie colle le reste uniquement ( les lignes 127.0.0.1 …etc … c’est le fichier Hosts , en fait :wink: )

Ok … dernière chose :

Télécharge le FixWareout sur le bureau

downloads.subratam.org…

Lance le fix: clique sur Next, puis Install, puis assure toi que “Run fixit” est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l’écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c’est normal.

Quand ton système aura redémarré, suis les invites des messages.

Réinstalle Hosts ( FiwxareOut a supprimer ton Hosts actuel :wink: )


Poste un dernier rapport Hijackthis .

Le rapport de FixWareout :

Username “Aur?lien” - 03/10/2007 12:39:07 [Fixwareout edited 9/01/2007]

Cache de résolution DNS vidé.
System was rebooted successfully. 
~~~~~ Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "System"="" 
....
....
~~~~~ Misc files. 
....
~~~~~ Checking for older varients.
....
~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe"
"ATIPTA"="C:\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"VCSPlayer"="\"C:\\Program Files\\Virtual CD v4 SDK\\system\\vcsplay.exe\""
"BrMfcWnd"="C:\\Program Files\\Brother\\Brmfcmon\\BrMfcWnd.exe /AUTORUN"
"ControlCenter3"="C:\\Program Files\\Brother\\ControlCenter3\\brctrcen.exe /autorun"
"iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""
"WOOWATCH"="C:\\PROGRA~1\\Wanadoo\\Watch.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"ZoneAlarm Client"="\"C:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sonic RecordNow!"=""
....
Hosts file was reset, If you use a custom hosts file please replace it...
C:\WINDOWS\repair\autoexec.nt  missing 
C:\WINDOWS\repair\Config.nt  missing 
~~~~~ End report ~~~~~


[u]puis le rapport [Hijackthis](http://www.clubic.com/telecharger-fiche17891-hijackthis.html) :[/u]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:47:24, on 03/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wuauclt.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Brother\Brmfcmon\BrMfimon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Aurélien\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [format.packardbell.com...](http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=6&key=SEARCH)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [www.orange.fr...](http://www.orange.fr)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [www.supremetoolbar.com...](http://www.supremetoolbar.com)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O8 - Extra context menu item: E&xporter vers Microsoft Excel - [C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE...](res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - [www.orange.fr...](http://www.orange.fr) (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\PACSPT~1.EXE
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\winvnc.exe (file missing)
--
End of file - 5389 bytes


Et je réinstalle le prgramme pour le HOSTS

Il faut redémarrer le pc pour que le fichier Hosts soit pris en compte par Windows :wink:

Le pc va bien ?