purityscan Q à éliminer !!

tibulette · **Inscrit le:** Mar 13 Juin 2006 - 12:23 **Messages:** 12

Bonjour,

j'ai un cheval de troie "purityscanQ" après avoir scanné le PC avec Avast ... je n'arrive pas à l'éradiquer mais l'ai mis en quarantaine à défaut d'une véritable solution ...

Je n'y connais pas grand chose mais voici le contenu du bloc note de Hijack ... quelqu'un y comprend-t-il quelquechose et pourrait m'aider sachant que je n'y connais pas tripette ?

Logfile of HijackThis v1.99.1
Scan saved at 19:02:44, on 13/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\qsmodgfd.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\WinTV\Ir.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\Shareaza\Plugins\RazaWebHook.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [navapp] C:\Program Files\NavExcel\NavHelper\v2.0.4d\navapp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows DLL Services] C:\system.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [qsmodgfd] C:\WINDOWS\system32\qsmodgfd.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [PicasaNet] "C:\Program Files\Hello\Hello.exe" -b
O4 - HKLM\..\Run: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [http://www.lienvandekelder.be] LienVandeKelder.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - HKCU\..\Run: [Ttda] "C:\WINDOWS\YSTEM3~1\notepad.exe" -vt mtx
O4 - HKCU\..\Run: [Oekshke] C:\Program Files\??sembly\?hkntfs.exe
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\Plugins\RazaWebHook.dll/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pao_med.exe
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int12.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Websi ... dge-c9.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt03.com/dialer/internazionale_ver11.CAB
O20 - AppInit_DLLs: C:\WINDOWS\system32\nopdb.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Merci d'avance

AgnesD

Salut tibulette .
On a fait une analyse rapide ton ordi est plutôt infecté.
Avec Belver on pense qu'il est préferable de faire la procédure de nettoyage de base dans tutos.
http://forumxp.net.free.fr/phpBB2/viewtopic.php?t=705
de la même maniére je te demande de désactiver Shareazza durant le nettoyage afin que nous soyons surs que ton ordi se reinfecte pas.
Lis a "prevention" les sujets sur le P2P, tu comprendra pourquoi.

On attend de toi un rapport Ewido + un Hijackthis.
Attention aprés ceci tout ne sera pas fini mais on y verra plus clair pour te guider.
Ne nous lache pas en route et donne nous un retour.
Si tu ne comprends pas un truc n'hésite pas a demander on te guidera pas a pas.
merci a toi.
A bientôt

tibulette · **Inscrit le:** Mar 13 Juin 2006 - 12:23 **Messages:** 12

Agnès,

Après avoir suivi tes instructions, voici les rapports de chaque logiciel :

1- Fichier trouvés et supprimés avec Avast : infection = Win32 :Ndrv-B [adw]
endroits ou ils se trouvaient
C : /program files/ ??sembly/ ?hkntfs./exe
C: /system volume information/-restore(6D277E0F-E49B-42F9-A3B8-A5333F9DEC91)/RP732/A0114567.exe
C: /system volume information/-restore(6D277E0F-E49B-42F9-A3B8-A5333F9DEC91)/RP745/A0118301.dll
C: /system volume information/-restore(6D277E0F-E49B-42F9-A3B8-A5333F9DEC91)/ RP745/A0119876.exe

2-Spybot n’a trouvé aucun mouchard.

3-Ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 15:36:16, 14/06/2006
+ Somme de contrôle: F10159FC

+ Résultats du scan:

HKLM\SOFTWARE\Classes\MediaAccess.Installer -> Adware.WinAd : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\MediaAccess.Installer\CLSID -> Adware.WinAd : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\MediaAccess.Installer\CurVer -> Adware.WinAd : Nettoyer et sauvegarder
HKLM\SOFTWARE\ClickSpring -> Adware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media Access -> Adware.WinAD : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MediaTickets -> Adware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NavHelper -> Adware.NavExcel : Nettoyer et sauvegarder
HKLM\SOFTWARE\NavExcel -> Adware.NavExcel : Nettoyer et sauvegarder
HKLM\SOFTWARE\NavExcel\NavHelper -> Adware.NavExcel : Nettoyer et sauvegarder
HKLM\SOFTWARE\NavExcel\NavHelper\v2.0.4d -> Adware.NavExcel : Nettoyer et sauvegarder
C:\Program Files\Illusion Software\Mini Golf 2003 DEMO\bbbb20030730.exe/NHInstall.exe -> Adware.NavExcel : Nettoyer et sauvegarder
C:\Program Files\Media Access -> Adware.MediaAccess : Nettoyer et sauvegarder
C:\Program Files\Media Access\Info.txt -> Adware.MediaAccess : Nettoyer et sauvegarder
C:\Program Files\NavExcel\NavHelper\v2.0.4d\NHUninstaller.exe -> Adware.NavExcel : Nettoyer et sauvegarder
C:\Program Files\NavExcel\NavHelper\v2.0.4d\v2.0.4d.cab/NHelper.dll -> Adware.NavExcel : Nettoyer et sauvegarder
C:\Program Files\NavExcel\NavHelper\v2.0.4d\v2.0.4d.cab/NHUninstaller.exe -> Adware.NavExcel : Nettoyer et sauvegarder
C:\Program Files\NavExcel\NavHelper\v2.0.4d\v2.0.4d.cab/NHUpdater.exe -> Adware.NavExcel : Nettoyer et sauvegarder
C:\Program Files\NavExcel\NavHelper\v2.0.4d\v2.0.4d.cab/navapp.exe -> Adware.NavExcel : Nettoyer et sauvegarder
C:\System Volume Information\_restore{6D277E0F-E49B-42F9-A3B8-A5333F9DEC91}\RP743\A0118117.dll -> Adware.Winfixer : Nettoyer et sauvegarder
C:\System Volume Information\_restore{6D277E0F-E49B-42F9-A3B8-A5333F9DEC91}\RP743\A0118118.dll -> Adware.Winfixer : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\fra_med_pao.exe -> Dialer.Creazione.q : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.d : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWFX5V_0001_0802NetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.c : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.10\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.d : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.11\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.d : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.12\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.d : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.13\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.d : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.14\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.d : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.15\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.d : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.16\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.d : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.17\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.d : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.d : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UWFX5V_0001_0802NetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.c : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.3\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.d : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.3\UWFX5V_0001_0802NetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.c : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.4\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.d : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.4\UWFX5V_0001_0802NetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.c : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.5\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.d : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.5\UWFX5V_0001_0802NetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.c : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.6\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.d : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.7\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.d : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.8\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.d : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.9\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.d : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\fra_med_pao.exe -> Dialer.Creazione.q : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Win32.Agent.d : Nettoyer et sauvegarder
C:\WINDOWS\mtuninst.exe -> Adware.MediaTickets : Nettoyer et sauvegarder

::Fin du rapport

4- Logfile of HijackThis v1.99.1
Scan saved at 15:42:07, on 14/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avast4\aswUpdSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avast4\ashServ.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\qsmodgfd.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\WinTV\Ir.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\Shareaza\Plugins\RazaWebHook.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [navapp] C:\Program Files\NavExcel\NavHelper\v2.0.4d\navapp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows DLL Services] C:\system.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [qsmodgfd] C:\WINDOWS\system32\qsmodgfd.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [PicasaNet] "C:\Program Files\Hello\Hello.exe" -b
O4 - HKLM\..\Run: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [http://www.lienvandekelder.be] LienVandeKelder.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - HKCU\..\Run: [Ttda] "C:\WINDOWS\YSTEM3~1\notepad.exe" -vt mtx
O4 - HKCU\..\Run: [Oekshke] C:\Program Files\??sembly\?hkntfs.exe
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\Plugins\RazaWebHook.dll/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pao_med.exe
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int12.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Websi ... dge-c9.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt03.com/dialer/internazionale_ver11.CAB
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

N.B : j'ai désormais sur mon PC :
Hijack, XP antispy, avast (antivirus), spybot, ad-aware, ewido ... tout ceci est nécessaire où y a -t-il des doublons dans leur applications ?

N.B 2: j'ai changé récemment de provider et ai donc changé de modem. L'ancien était un sagem FAST 800-840 que je n'ai réussi à désinstaller ... car le fichier "ikernel.exe" est introuvable !! y a-t-il moyen de le désinstaller tout de même (pour éviter de garder des réliquats ...)

Merci encore de ta précieuse aide.
Je retourne donner la tétée à mon bébé ...

Tibulette

AgnesD

Merci du retour tibulette.

Citer:

N.B : j'ai désormais sur mon PC :
Hijack, XP antispy, avast (antivirus), spybot, ad-aware, ewido ... tout ceci est nécessaire où y a -t-il des doublons dans leur applications ?

N.B 2: j'ai changé récemment de provider et ai donc changé de modem. L'ancien était un sagem FAST 800-840 que je n'ai réussi à désinstaller ... car le fichier "ikernel.exe" est introuvable !! y a-t-il moyen de le désinstaller tout de même (pour éviter de garder des réliquats ...)

Pour ce qui est des logiciels on fera le ménage quand on aura tout nettoyé il n'y a aucun risque a les garder un moment.
Pour les reliquats de ton modem on verra aussi aprés.

Il en reste beaucoup, as tu bien effectué les manipulations en mode sans echec ???

Pour le nettoyage a proprement parler...
On va passer a la méthode manuelle.
Démarre en mode sans echec.
Ferme toutes les fenêtres sauf HijackThis (IE et le reste)
tu va lancer HijacThis cliques sur faire un scan.
ensuite tu coches les lignes suivantes puis tu vas cliquer "fixer objets"

Code:

R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [Windows DLL Services] C:\system.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [qsmodgfd] C:\WINDOWS\system32\qsmodgfd.exe
O4 - HKLM\..\RunServices: [http://www.lienvandekelder.be] LienVandeKelder.exe
O4 - HKCU\..\Run: [Ttda] "C:\WINDOWS\YSTEM3~1\notepad.exe" -vt mtx
O4 - HKCU\..\Run: [Oekshke] C:\Program Files\??sembly\?hkntfs.exe
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pao_med.exe
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int12.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/WebsiteAccess/ie/bridge-c9.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt03.com/dialer/internazionale_ver11.CAB
 

Quand c'est fait tu va chercher les fichiers ou dossiers notés en gras et les détruire. (met les a la poubelle)

Citer:

C:\system.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\WINDOWS\system32\qsmodgfd.exe
O4 - HKLM\..\RunServices: [http://www.lienvandekelder.be] LienVandeKelder.exe
O4 - HKCU\..\Run: [Ttda] "C:\WINDOWS\YSTEM3~1\notepad.exe" -vt mtx
C:\Program Files\??sembly\?hkntfs.exe

Les ? seront d'autres lettres ou chiffres.
tu redémarre l'ordi et
Fait au mieux et donne nous des nouvelles.
Si tu hésite ou ne comprends pas dis le.
Si des fichiers résistent dis le aussi on trouvera une autre maniére de le faire.
A+
Courage

tibulette · **Inscrit le:** Mar 13 Juin 2006 - 12:23 **Messages:** 12

Agnès voici la suite...

Effectivement la toute première fois j'avais bien effectué les manipulations en mode sans échec.

Pour cette fois ci, idem ... dans Hijack j'ai coché les lignes que tu as indiqué et fait "fixer objects" ... après il ne restait plus rien dans la fenêtre ... est-ce normal.

Puis j'ai tenté de trouver les fichiers en gras que tu avais noté (en passant par "rechercher") mais n'est trouvé que
C:\WINDOWS\system32\qsmodgfd.exe
que j'ai donc mis à la poubelle et supprimer.

Pour "C:\system.exe" j'ai trouvé à la place "C:\system.exe-tobedeleted"
les deux suivants je n'ai pas trouvé ...
C:\Program Files\Media Access\MediaAccK.exe O4 - HKLM\..\RunServices: [http://www.lienvandekelder.be] LienVandeKelder.exe
O4 - HKCU\..\Run: [Ttda] "C:\WINDOWS\YSTEM3~1\notepad.exe" -vt mtx

et celui ci "C:\Program Files\??sembly\?hkntfs.exe" je l'ai trouvé mais dans c:/windows/system32" .... que dois-je faire de plus ??

Tibulette

AgnesD

Merci Tibulette
Ta précison dans les réponses est super.
C'est déjà bien,c'est long mais on avance.
J'aimerais que tu me refasse un rapport Hijackthis ainsi je vois bien ce qu'il reste et je chercherai les solutions pour la suite en fonction de celui ci.

Ton ordinateur semble t'il aller mieux ??

tibulette · **Inscrit le:** Mar 13 Juin 2006 - 12:23 **Messages:** 12

Agnès, voici le nouveau rapport Hijack

Logfile of HijackThis v1.99.1
Scan saved at 19:54:51, on 14/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\WinTV\Ir.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\Shareaza\Plugins\RazaWebHook.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [navapp] C:\Program Files\NavExcel\NavHelper\v2.0.4d\navapp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [PicasaNet] "C:\Program Files\Hello\Hello.exe" -b
O4 - HKLM\..\Run: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\Plugins\RazaWebHook.dll/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

En fait, pour l'instant je ne me sers plus de rien (sauf outlook pour voir mes messages) sur mon PC de peur de "massacrer" la procédure de nettoyage ...
Par contre, j'ai une question : une fois le nettoyage fait suis-je garantie de ne pas me faire réinfecter par les mêmes virus que l'on a éradiqué ou pas ?? Sinon je suis condamnée à refaire une procédure tous les combien ?? Je sais que c'est un éternel recommencement !

A+ tard
tibulette

AgnesD

Bonsoir Tibulette.
C'est super il en reste un a vérifier.

Code:

O4 - HKLM\..\Run: [navapp] C:\Program Files\NavExcel\NavHelper\v2.0.4d\navapp.exe 

Va dans ajout suppression de programmes si tu trouve NavExcel essaye de le supprimer ainsi, sinon tu vas dans Program File et tu détruis son dossier. Tu verifiera (toi même ) apres un redémarrage que cette ligne n'est plus dans HJThis

Citer:

Pour "C:\system.exe" j'ai trouvé à la place "C:\system.exe-tobedeleted"

Efface le.

Citer:

LienVandeKelder.exe

refait une recherche au cas ou

Citer:

C:\Program Files\Media Access\MediaAccK.exe

N'as tu pas de dossier media access dans Program Files ?

Citer:

C:\WINDOWS\YSTEM3~1\notepad.exe" -vt mtx

n'as tu pas de dossier "YSTEM3~1" ? si tu le trouve tu le détruis.

Citer:

celui ci "C:\Program Files\??sembly\?hkntfs.exe" je l'ai trouvé mais dans c:/windows/system32"

met le a la poubelle.

Encore un truc que j'aimerais vérifier, tu as un fichier Hosts sur ton ordi
Voila ou tu le trouvera :
C:\WINDOWS\system32\drivers\etc\hosts
j'aimerais que tu le poste sur le forum essaye en piéce jointe en le nommant host.txt

Pour finir fait un scan en ligne chez Kaspersky.
tu nous collera le résultat. sur ton prochain post
http://webscanner.kaspersky.fr/

Voila pour la fin du nettoyage.
Maintenant remise en état de l'ordi.
Afin de ne pas garder de "traces" quelconques:
Désactiver puis réactiver a restauration systéme pour Windows XP:Ainsi vous supprimez tous les anciens points de restauration potentiellement infectés.
Une fois réactivée créez un premier point de restauration, vous repartirez ainsi, sur des bases saines..
Démarrer-> clic droit sur le poste de travail ->Propriétés-> onglet "Restauration du système"-> "Désactiver la Restauration du système"-> Appliquer-> un message vous préviens que tous vos points de restauration seront supprimés -> Ok
Puis redémarrez l'ordinateur.
Ensuite pour réactiver la restauration du système : faire l'inverse.
Cacher les dossiers et fichiers protégés.
Dans l'explorateur Windows (mes documents ou poste de travail par exemple)-> Outils-> Options des dossiers-> Affichage -> "Afficher les fichier et dossiers cachés", décochez la case.
"Masquer les fichiers protégés du système d'exploitation"->cochez la case
appliquer -> OK.

Pour le reste des questions,

Les logiciels installés.
--> Ad-Aware Spybot et Ewido sont trois antispywares complémenatires. tu peux les garder tous. Si je devais en enlever un j'enléverais Ad-aware, mais c'est pas obligé du tout a toi de voir.
--> Pour HJThis c'est un outil de diagnostic si on ne sais pas interpréter ses rapports il ne sert a rien, il est cepe,ndant trés utile pour nettoyer et prend quasi aucune place a toi de voir .
--> ATF Cleaner est un nec'est vite ttoyeur de fichiers temporaires et inutiles un petit nettoyage rapide de temps en temps ne fait pas de mal.
--> XP antispy garde le il sert a bloquer des services et autres choses parfois dangereuses. Pas besoin d'y toucher a nouveau une fois reglé.

Citer:

Par contre, j'ai une question : une fois le nettoyage fait suis-je garantie de ne pas me faire réinfecter par les mêmes virus que l'on a éradiqué ou pas ?? Sinon je suis condamnée à refaire une procédure tous les combien ?? Je sais que c'est un éternel recommencement !

Quand on aura tout fini ton ordi sera propre mais tu peux reprendre les mêmes virus si tu refais les mêmes erreurs.Rien n'est acquis il y en a beaucoup et de plus en plus variés.
Ton ordi étais sacrément infecté donc tu as du avoir un comportement a risque. A toi d'apprendre de tes expériences.
Par contre chapeau pour tes retours, c'est vraiement agréable de travailler avec quequ'un qui décris bien ses actes, on gagne en efficacité. :-)

De nombreux virus passent pas les Emails, tu en avais pas mal donc il te faudra adopter un comportement plus prudent vis a vis des mails, d'autres c'est le P2P...
puis les téléchargements sur le web (ActivesX tu en avais beaucoup de mauvais ...)
Soit tu gardes IE et tu le régle de maniére plus sécuritaire...
http://www.vulgarisation-informatique.c ... plorer.php
soit tu prends Firefox qui ne gére pas les Actives X ce qui ne veut pas dire que tu est a l'abris de tout...
Méfies toi des faux logiciels de sécurité ( alertes te signalant que ton ordi est infecté....

)En ce cas ne télécharge rien et prend conseil dessuite.

Enfin les scans tu dois les faire ( 1 Antivirus et 1 antiSpy) épisodiquement (1 fois par semaine par quinzaine ? a toi de voir selon ce que tu trouvera.
) les faire en mode normal si rien de grave n'est detecté.
Au moindre comportement bizarre au moindre doute, ou risque pris fait en un.
N'hésite pas a demander, ici on se fera un plaisir de te répondre. :-)

Fouine sur le forum, a prévention tu trouvera des conseils et des trucs.
Regarde dans l'annuaire tu as d'autres sites de sécurité.
Garde ton ordi bien a jour.
As tu un parefeu ??? c'est plutôt vital.
Un petit logiciel Spywareblaster (cherche sur le forum

)
Installe le il te sera surement utile.
Demande conseil, Lis, renseigne toi, a force et plus facilement que tu le crois tu apprendra a garder un ordi propre.

Guardian · **Inscrit le:** Mer 7 Sep 2005 - 09:53 **Messages:** 1358

AgnesD a écrit:

Méfies toi des faux logiciels de sécurité ( alertes te signalant que ton ordi est infecté....

)

Le plus simple est de ne rien installer ou accepter sans demander l'aval de personnes compétentes (AgnesD par ex.)

Il est même parfois dangereux de cliquer sur cette belle fenêtre qui t'averti que ton PC court un risque et qu'un simple clic va résoudre tes problèmes. Tout ce que ça va résoudre, c'est la manière d'occuper ton temps libre :lol:

Sébastien · **Inscrit le:** Mer 7 Sep 2005 - 18:51 **Messages:** 193 **Localisation:** Tours

Guardian a écrit:

Tout ce que ça va résoudre, c'est la manière d'occuper ton temps libre :lol:

lol, jolie phrase qui résume bien la situation

tibulette · **Inscrit le:** Mar 13 Juin 2006 - 12:23 **Messages:** 12

Agnès,

voici ce que j'ai pu faire ou pas ...
1- Ok pour éliminer le dossier « NavExcel » dans Program files
2- ok pour éliminer «C:\system.exe-tobedeleted »
3- Je n’ai pas de dossier « media access » dans Program files ....
4- Le dossier "YSTEM3~1" a bien été détruit dans Windows
5-Concernant le fichier hosts dans : "C:\WINDOWS\system32\drivers\etc\hosts"

J’ai pas trop saisi comment le joindre en pièce jointe en l’appelant .txt … du coup j’en ai fait une copie que j’ai renommée .txt, que j’ai ouvert et donc voici le contenu … j’espère que cela correspond à ta demande ?

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP
# pour Windows.
#
# Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.
# Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée
# dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse
# IP et le nom d'hôte doivent être séparés par au moins un espace.
#
# De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des
# lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le
# symbole '#'.
#
# Par exemple :
#
# 102.54.94.97 rhino.acme.com # serveur source
# 38.25.63.10 x.acme.com # hôte client x

127.0.0.1 localhost

6- Pour Kapersky, je n’ai pu scanner, voici le message d'erreur :
Échec du chargement du contrôle ActiveX Kaspersky On-line Scanner!

Vous devez jouir des privilèges d'administrateur sur ce poste ;
en outre, il faut configurer le niveau de sécurité IE sur Moyen.

Je ne sais pas ce que veux dire IE … et où régler son niveau. Peux-tu m’aiguiller ?

Lorsque j'aurais fait ces derniers points, je passerais ensuite aux réparations.

J'ai bien compris que le P2P est une conduite à risque. Par contre, en ce qui concerne les Emails je ne sais pas trop quoi faire de plus que "lorsque j'ai un Email indésirable je le mets dans les fichiers à bloquer désormais" ... y a-t-il plus judicieux à faire ?

A plus tard
TIbulette

AgnesD

Super.

Pour le netttoyage c'est bien.

Le fichier Host c'est bon.
C'est ce que je voulais voir.
En fait tu avais un virus qui pouvait le modifier, le tien est intact pas de problémes donc.

IE c'est internet explorer le logiciel avec le quel tu navigue sur internet.
je crois que je t'ai donné un lien qui permet de le rendre plus sur.
je le remet là
http://www.vulgarisation-informatique.c ... plorer.php

Pour Kaspersky le probléme viens des ActivesX qui sont surement bien réglés.
c'est preférable ainsi tu ne te retrouvera pas l'ordi infecté par accident.
Regarde sur le lien que je t'ai donné au dessus et modifie les réglages afin de pouvoir accepter les ActivesX (ce sont les premiéres lignes aprés l'image.)

Ensuite tu devrais pouvoir faire le scan.
Sinon ce n'est pas bien grave c'est surtout que ce scan détecte bien tout ce qui peut rester. c'est un contrôle supplémentaire.
Si tu arrive a le faire récupére le rapport de fin de scan. Sinon laisse tomber.

Pour les Emails.
prudence toujours...
ne même pas ouvrir les emails indésirables
ne jamais ouvrir de piéce jointe non sollicitée,
se méfier des "blagues" qui circulent et des images ou jeux transmis par ce biais.
Toujours scanner même si c'est envoyé par des amis,
ne pas cliquer les liens dont on est pas surs...
Lis ceci a Emails definitions et prévention.
http://xp.net.free.fr/index.php
Ceci aussi pour comprendre le fichier Hosts.
http://xp.net.free.fr/tutos/hosts.php
regarde dans spybot pour installer le leur sinon télécharges en un (ici rubrique sites, regarde a bluetrack)
http://forumxp.net.free.fr/phpBB2/viewtopic.php?t=553
C'est un trés bon moyen complémentaire de protection.

Bon tout parait rébarbatif mais je t'assure que avec un peu d'attention, cela deviendra un reflexe et tu sera tranquile.
On peut trés bien surfer normalement sans aucun soucis grave avec quelques précautions.

tibulette · **Inscrit le:** Mar 13 Juin 2006 - 12:23 **Messages:** 12

Agnès,

Ca y est je suis arrivée au terme de toute la procédure ... par contre lorsque j'ouvre une fenêtre internet s'affiche à chaque fois un message me demandant si je veux afficher les cookies ou les bloquer .... ceci à chaque fois ... n'y a-t-il pas une "gourance" dans les réglages ... en plus je ne sais même pas si je dois dire bloquer ou pas ...

J'ai oublié de te signaler que lorsqu'on a éliminer pas mal de fichier lors de la désinfection ... à un moment un message m'a annoncé que j'avais remplacé certains éléments de XP qui n'était pas reconnus ! il me proposait d'insérer le disque d'installation pour remettre tout "réglo" (mais vu que l'ordinateur était tout installé à l'achat je n'ai pas de CD d'installation !) je n'ai donc eu d'autre choix que de dire que j'acceptais la situation telle quelle ... y a -t-il un risque de voir XP fonctionner sur 3 pattes ?

J'espère ne pas t'embêter avant un bon bout de temps ... en tout cas je te remercie grandement pour ta précieuse aide et pour t'être mise "à mon niveau informatique" pour le guidage dans ces opérations complexes.

En plus je pensais que généralement c'était surtout les "mecs" qui étaient calés en informatique ... cela me réconforte de voir le sexe féminin leur tenir la dragée haute (ce qui n'est pas du tout mon cas dans cette matière ... mais je pourrais te donner des conseils en échange sur les travaux manuels ... ça fait tout de suite moins classe mais c'est passionnant également).

Ciao
Tibulette

AgnesD

Bonsoir Tibulette.

Pour la fenêtre internet et les cookies regarde ceci
http://forumxp.net.free.fr/phpBB2/viewtopic.php?t=218
puis ceci pour bien les regler.
http://forumxp.net.free.fr/phpBB2/viewt ... =1085#1085
de toute façon ce n'est pas méchant.

Pour les fichiers remplacés de Xp...a vrai dire je ne sais pas.
Si tout fonctionne c'est pas bien grave et si tu constate un souci tu nous fait signe. :wink:

Tu n'as pas fait de CD de sauvegarde ? ou est tu sure qu'ils n'étaient pas fournis avec ton ordi ?

Citer:

J'espère ne pas t'embêter avant un bon bout de temps

Si personne ne viens nous "embétter " le forum sera bien vide...
Tu peux venir pour te renseigner, pour te tenir au courant des actus et des failles ou nouveaux virus cela prends 5 minutes a peine tu peux demander ce que tu veux on précisera, avec grand plaisir.
Fait attention et au moindre doute un scan avec Spybot ou Ewido.

Pour la suite...

Moi je vais te dire que on t'a trouvée super tu t'en est trés bien tirée car il y avait pas mal de monde sur ton ordi. :lol:

Je me suis mise a ton niveau peut être un peu, on est là pour cela, mais toi tu as pas eu peur et tu t'es pas dégonflée. Tu a été précise dans tes retours ce qui nous a permis d'avancer efficacement, sans perdre de temps.
:-)

Mecs Nanas Ici on est tous calés ... :roll:

même les Mecs... :lol:

(je risque de payer trés cher cette phrase...)

les filles sont moins représentées mais c'est en train de changer. :-)

Les travaux manuels

c'est super, pareil il y a dix milles choses a faire dans le genre, mais je n'ai plus trop le temps et là aussi il en faut.
mais si besoin un jour je demanderai.

belver

bon, j'avais envie de faire une réponse mais je me tais :lol:

tibulette, tu n'as tjrs pa reçu mon mail d'explication pour te connecter chez moi :lol:

ceci, étant dit bravo ! j'étais inquiet pourtant

Agnès, je te tire mon chapeau, beau travail ...

Forum XP.Net -Sécurité Informatique-

purityscan Q à éliminer !!

Qui est en ligne ?