Problème de mise à jour.

[Persedina]

Bonjour.
Suite à un soucis de virus avec mon ordinateur, on ne peut plus installer les mises à jour que nous propose Windows XP.
Pourtant nous avons supprimé ce virus grâce à un antivirus. Mais depuis il rame, le panneau de configuration a été modifié(on ne peut plus mettre de photo personnel en fond d'écran) et les mises à jour ne veulent plus s'installer.
Pouvez-vous m'aidez à réparer tout ça s'il vous plait?
Merci d'avance.

[H3bus]

Bonjour,

De toute évidence, il y a encore des restes de Virus qui posent problème.

Quel est ton Système d'Exploitation ?

Pourrais tu nous poster le rapport généré par ce logiciel dans ton prochain message, que l'on voie ça ?

Tu peux aussi jetter un oeil au dossier nettoyage, afin de faire un peu de ménage, en insistant sur la partie CCleaner.

Bonne journée !

[r@in | b0w]

Bonjour.

En plus de cette recherche virale, tu pourras essayer Dial-A-Fix qui permet de "réparer" certaines choses comme les problèmes de MAJ ou les soucis d'installation d'Internet Explorer.

Mais, en premier lieu, le dossier nettoyage & surtout HiJackThis dont tu nous postes le rapport.

[Persedina]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:21:40, on 26/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:ATI TechnologiesATI Control Panelatiptaxx.exe
C:WINDOWSSOUNDMAN.EXE
C:appsABoardABoard.exe
C:appsABoardAOSD.exe
C:Program FilesBitDefenderBitDefender 2008dagent.exe
C:Program FilesiTunesiTunesHelper.exe
C:Program FilesJavajre1.6.0_06injusched.exe
C:Program FilesSony EricssonMobile2Application LauncherApplication Launcher.exe
C:Program FilesQuickTimeqttask.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesPicasa2PicasaMediaDetector.exe
C:Program FilesWindows LiveMessengerMsnMsgr.Exe
C:Program FilesHewlett-PackardDigital Imaginginhpohmr08.exe
C:Program FilesHewlett-PackardDigital Imaginginhpotdd01.exe
C:Program FilesFichiers communsTeleca SharedCapabilityManager.exe
C:Program FilesHewlett-PackardDigital Imaginginhpoevm08.exe
C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
C:Program FilesFichiers communsMicrosoft SharedVS7Debugmdm.exe
C:WINDOWSsystem32slserv.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesVirtual CD v4 SDKsystemvcssecs.exe
C:Program FilesFichiers communsBitDefenderBitDefender Communicatorxcommsvr.exe
C:Program FilesFichiers communsBitDefenderBitDefender Update Servicelivesrv.exe
C:Program FilesBitDefenderBitDefender 2008vsserv.exe
C:Program FilesFichiers communsTeleca SharedGeneric.exe
C:Program FilesSony EricssonMobile2Mobile Phone Monitorepmworker.exe
C:Program FilesiPodiniPodService.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesHewlett-PackardDigital ImagingBinhpoSTS08.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32wuauclt.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:Documents and SettingsAnnaBureauHiJackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://google.mini20.com
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Packard Bell
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32oembios.exe,
O2 - BHO: (no name) - {7e853d72-626a-48ec-a868-ba8d5e23e045} - (no file)
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:Program FilesBitDefenderBitDefender 2008IEToolbar.dll
O4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM..Run: [ATIPTA] C:ATI TechnologiesATI Control Panelatiptaxx.exe
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..Run: [ACTIVBOARD] c:appsABoardABoard.exe
O4 - HKLM..Run: [ISUSPM] "C:Program FilesFichiers communsInstallShieldUpdateServiceISUSPM.exe" -scheduler
O4 - HKLM..Run: [BitDefender Antiphishing Helper] "C:Program FilesBitDefenderBitDefender 2008IEShow.exe"
O4 - HKLM..Run: [BDAgent] "C:Program FilesBitDefenderBitDefender 2008dagent.exe"
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 8.0ReaderReader_sl.exe"
O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exe"
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.6.0_06injusched.exe"
O4 - HKLM..Run: [buritos] buritos.exe
O4 - HKLM..Run: [Sony Ericsson PC Suite] "C:Program FilesSony EricssonMobile2Application LauncherApplication Launcher.exe" /startoptions
O4 - HKLM..Run: [lphcpqoj0en6g] C:WINDOWSsystem32lphcpqoj0en6g.exe
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [Picasa Media Detector] C:Program FilesPicasa2PicasaMediaDetector.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesWindows LiveMessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [Widget Neuf] "C:Program FilesNeufWidget Neuf9widget.exe"
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_06inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_06inssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:WINDOWSSystem32Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - C:Program FilesMessengermsmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:APPSIEofflinefr.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O20 - AppInit_DLLs: karina.dat
O23 - Service: Apple Mobile Device - Apple, Inc. - C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
O23 - Service: ATI Smart - Unknown owner - C:WINDOWSsystem32ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:Program FilesiPodiniPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:Program FilesFichiers communsBitDefenderBitDefender Update Servicelivesrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:WINDOWSsystem32HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:WINDOWSSYSTEM32slserv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:Program FilesVirtual CD v4 SDKsystemvcssecs.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:Program FilesBitDefenderBitDefender 2008vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:Program FilesFichiers communsBitDefenderBitDefender Communicatorxcommsvr.exe

--
End of file - 7533 bytes


Voila ce que me donne le rapport avec HijackThis. Que dois-je faire ?

[Skynet]

Salut,

maintenant tu supprimes ces lignes :

O4 - HKLM..Run: [buritos] buritos.exe

O4 - HKLM..Run: [lphcpqoj0en6g] C:WINDOWSsystem32lphcpqoj0en6g.exe

O20 - AppInit_DLLs: karina.dat

O2 - BHO: (no name) - {7e853d72-626a-48ec-a868-ba8d5e23e045} - (no file)

@+

[r@in | b0w]

Bonjour.

En plus des lignes de Skynet, tu supprimes:

F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32oembios.exe,
O2 - BHO: (no name) - {7e853d72-626a-48ec-a868-ba8d5e23e045} - (no file)

Tu as au moins un trojan, pour le buritos.exe, tout laisse à supposer que c'est un rogue.


_ Tu télécharges SDFix.

Tu double cliques ensuite sur l'icône SdFix pour le lancer.
Tu ne touches pas aux configurations et cliques uniquement sur Install.

Tu pars ensuite en Mode sans échec ([F8] au démarrage).

Après être sur ta session, tu cliques sur Démarrer puis Exécuter;
Tu tapes (ou copies-colles) C:SDFixRunThis.bat puis tu valides en appuyant sur [Entrée] ou en cliquant sur Ok.

Une fenêtre s'ouvrira, tu appuies sur la touche [Entrée] ou [Y].

Le fix va faire le ménage, tu prends ton mal en patience et attends

Quand tu vois écrit:

Code: Tout sélectionner

The PC will now restart, SDFix will run again after reboot.
 
Press any key to continue...

Tu appuies sur n'importe quelle touche du clavier, ce qui fera redémarrer ta machine.

SDFix se lancera après l'ouverture de ta session pour finir le ménage.

Le Bloc-notes s'ouvrira ensuite avec le rapport, copies-colles celui-ci dans ton prochain message.


_ Tu télécharges Malwarebytes' Anti-Malware, tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.


_ Tu télécharges SmitfraudFix.

Avant de lancer SmitfraudFix, tu désactives ta connexion Internet & ton antivirus car ce dernier peut bloquer l'exécution de l'utilitaire.
Tu les réactiveras après l'utilisation de SmitfraudFix.

Double-cliques sur l'icône SmitfraudFix.exe pour lancer l'application.
Tu verras un écran bleu à choix multiple, appuies sur la touche [1] puis sur [Entrée].

Quand l'analyse est finie, tu nous postes le rapport généré par SmitfraudFix; si tu ne le trouves pas ou que le Bloc-notes ne s'ouvre pas avec le rapport à l'intérieur, tu le trouveras ici: C: apport.txt.




_ Tu vas sur http://www.virustotal.com/fr/ puis tu cliques sur Parcourir.
Tu sélectionnes le fichier C:WINDOWSsystem32lphcpqoj0en6g.exe et tu cliques sur Ouvrir.

Tu cliques ensuite sur Envoyer le fichier.

A la fin de l'analyse, tu cliques sur Formaté en haut à gauche puis, dans la nouvelle fenêtre, tu cliques sur le bouton pour faire apparaître le rapport dans la fenêtre en question.

Tu sélectionnes ce rapport puis fais un copier-coller et tu le colles dans ton prochain message.

[Persedina]

Rapport SDFix :

SDFix: Version 1.238
Run by Anna on 28/10/2008 at 13:47

Microsoft Windows XP [version 5.1.2600]
Running From: C:SDFix

Checking Services :

Name :
sysrest.sys

Path :
??C:WINDOWSsystem32sysrest.sys

sysrest.sys - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:Documents and SettingsLocalServiceApplication Datasysproc64sysproc32.sys - Deleted
C:Documents and SettingsNetworkServiceApplication Datasysproc64sysproc32.sys - Deleted
C:Program FilesWinAntispyware2008comp.dat - Deleted
C:Program FilesWinAntispyware2008htmlayout.dll - Deleted
C:Program FilesWinAntispyware2008pthreadVC2.dll - Deleted
C:Program FilesWinAntispyware2008wscui.cpl - Deleted
C:Program FilesWinAntispyware2008datadaily.cvd - Deleted
C:Program FilesWinAntispyware2008Microsoft.VC80.CRTMicrosoft.VC80.CRT.manifest - Deleted
C:Program FilesWinAntispyware2008Microsoft.VC80.CRTmsvcm80.dll - Deleted
C:Program FilesWinAntispyware2008Microsoft.VC80.CRTmsvcp80.dll - Deleted
C:Program FilesWinAntispyware2008Microsoft.VC80.CRTmsvcr80.dll - Deleted
C:DOCUME~1AnnaLOCALS~1Temp.tt1.tmp - Deleted
C:DOCUME~1AnnaLOCALS~1Temp.tt1D.tmp - Deleted
C:DOCUME~1AnnaLOCALS~1Temp.tt1F.tmp - Deleted
C:DOCUME~1AnnaLOCALS~1Temp.tt2.tmp - Deleted
C:DOCUME~1AnnaLOCALS~1Temp.tt23.tmp - Deleted
C:DOCUME~1AnnaLOCALS~1Temp.tt29.tmp - Deleted
C:DOCUME~1AnnaLOCALS~1Temp.tt3.tmp - Deleted
C:DOCUME~1AnnaLOCALS~1Temp.tt4.tmp - Deleted
C:DOCUME~1AnnaLOCALS~1Temp.tt47.tmp - Deleted
C:DOCUME~1AnnaLOCALS~1Temp.tt5.tmp - Deleted
C:DOCUME~1AnnaLOCALS~1Temp.tt52.tmp - Deleted
C:DOCUME~1AnnaLOCALS~1Temp.tt7.tmp - Deleted
C:DOCUME~1AnnaLOCALS~1Temp.tt7B.tmp - Deleted
C:DOCUME~1AnnaLOCALS~1Temp.tt9.tmp - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries1.cab2 - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries1.cab3 - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries1.cab4 - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries1.cab5 - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries1.cab6 - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries1.cab7 - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries1.cab8 - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries1.cab9 - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries2.cab3 - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries2.cab4 - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries2.cab5 - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries2.cab6 - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries2.cab7 - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries2.cab8 - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries2.cab9 - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries3.cab4 - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries3.cab5 - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries3.cab6 - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries3.cab7 - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries3.cab8 - Deleted
C:DOCUME~1AnnaLOCALS~1TempBinaries3.cab9 - Deleted
C:WINDOWSsystem32\_scui.cpl - Deleted
C:WINDOWSsystem32delself.bat - Deleted
C:WINDOWSsystem32sysproc64sysproc32.sys - Deleted
C:WINDOWSsystem32sysproc64sysproc86.sys - Deleted



Folder C:Documents and SettingsLocalServiceApplication Datasysproc64 - Removed
Folder C:Documents and SettingsNetworkServiceApplication Datasysproc64 - Removed
Folder C:Program FilesWinAntispyware2008 - Removed
Folder C:WINDOWSsystem32sysproc64 - Removed


Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-28 14:01:13
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\eMule\eMule.exe"="C:\Program Files\eMule\eMule.exe:*:Enabled:eMule Plus"
"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Program Files\LimeWire\LimeWire.exe"="C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\WINDOWS\Temp\.tt5.tmp"="C:\WINDOWS\Temp\.tt5.tmp:*:Enabled:enable"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :


File Backups: - C:SDFixackupsackups.zip

Files with Hidden Attributes :

Tue 25 Mar 2008 193 A.SHR --- "C:BOOT.BAK"
Wed 15 Oct 2008 5,013,504 A..H. --- "C:Documents and SettingsAnna
tuser.tmp"
Mon 4 Aug 2003 49,221 A..H. --- "C:Program FilesAOL 8.0aolphx.exe"
Mon 4 Aug 2003 36,937 A..H. --- "C:Program FilesAOL 8.0aoltray.exe"
Mon 4 Aug 2003 40,960 A..H. --- "C:Program FilesAOL 8.0RBM.exe"
Mon 4 Aug 2003 237,633 A..H. --- "C:Program FilesAOL 8.0waol.exe"
Wed 5 Dec 2007 6,219,320 A..H. --- "C:Program FilesPicasa2setup.exe"
Sun 30 Mar 2008 4,348 A.SH. --- "C:Documents and SettingsAll UsersDRMDRMv1.bak"
Mon 4 Aug 2003 49,223 A..H. --- "C:Program FilesAOL 8.0COMITcswitch.exe"
Fri 4 Apr 2008 0 A.SH. --- "C:Documents and SettingsAll UsersDRMCacheIndiv01.tmp"
Mon 4 Aug 2003 106,496 A..H. --- "C:Program FilesFichiers communsaolshareshellfrshellext.dll"

Finished!


Rapport Malwarebytes' Anti-Malware :

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1332
Windows 5.1.2600 Service Pack 3

28/10/2008 14:17:11
mbam-log-2008-10-28 (14-17-11).txt

Type de recherche: Examen rapide
Eléments examinés: 50919
Temps écoulé: 7 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkUID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERControl PanelDesktopwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERControl PanelDesktoporiginalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERControl PanelDesktopconvertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERControl PanelDesktopscrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE5N7XWJYCPuaqrta[1].jpg (Trojan.Downloader) -> Quarantined and deleted successfully.
C:WINDOWSsystem32\_005625_.tmp.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWSsystem32\_005657_.tmp.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:Documents and SettingsAnnaApplication DataMicrosoftInternet ExplorerQuick LaunchWinAntispyware2008.lnk (Rogue.WinAntiSpyware) -> Quarantined and deleted successfully.


Rapport SmitfraudFix:

SmitFraudFix v2.368

Rapport fait à 14:20:33,43, 28/10/2008
Executé à partir de C:Program FilesMozilla FirefoxSmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
C:Program FilesFichiers communsMicrosoft SharedVS7Debugmdm.exe
C:WINDOWSsystem32slserv.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesVirtual CD v4 SDKsystemvcssecs.exe
C:Program FilesFichiers communsBitDefenderBitDefender Communicatorxcommsvr.exe
C:Program FilesFichiers communsBitDefenderBitDefender Update Servicelivesrv.exe
C:Program FilesBitDefenderBitDefender 2008vsserv.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32wscntfy.exe
C:ATI TechnologiesATI Control Panelatiptaxx.exe
C:WINDOWSSOUNDMAN.EXE
C:appsABoardABoard.exe
C:appsABoardAOSD.exe
C:Program FilesBitDefenderBitDefender 2008dagent.exe
C:Program FilesiTunesiTunesHelper.exe
C:Program FilesJavajre1.6.0_06injusched.exe
C:Program FilesSony EricssonMobile2Application LauncherApplication Launcher.exe
C:Program FilesQuickTimeqttask.exe
C:WINDOWSsystem32wuauclt.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesPicasa2PicasaMediaDetector.exe
C:Program FilesWindows LiveMessengerMsnMsgr.Exe
C:WINDOWSSystem32svchost.exe
C:Program FilesHewlett-PackardDigital Imaginginhpohmr08.exe
C:Program FilesHewlett-PackardDigital Imaginginhpotdd01.exe
C:Program FilesFichiers communsTeleca SharedCapabilityManager.exe
C:Program FilesHewlett-PackardDigital Imaginginhpoevm08.exe
C:Program FilesHewlett-PackardDigital ImagingBinhpoSTS08.exe
C:Program FilesiPodiniPodService.exe
C:Program FilesFichiers communsTeleca SharedGeneric.exe
C:Program FilesSony EricssonMobile2Mobile Phone Monitorepmworker.exe
C:WINDOWSsystem32cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSsystem


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSWeb


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSsystem32


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSsystem32LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:Documents and SettingsAnna


»»»»»»»»»»»»»»»»»»»»»»»» C:Documents and SettingsAnnaApplication Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:DOCUME~1AnnaFavoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerDesktopComponents]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
"AppInit_DLLs"="karina.dat"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLMSYSTEMCCSServicesTcpip..{D52417ED-AA7C-43ED-BB8C-925D37C76DA3}: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS1ServicesTcpip..{D52417ED-AA7C-43ED-BB8C-925D37C76DA3}: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS2ServicesTcpip..{D52417ED-AA7C-43ED-BB8C-925D37C76DA3}: DhcpNameServer=192.168.1.1
HKLMSYSTEMCCSServicesTcpipParameters: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS1ServicesTcpipParameters: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS2ServicesTcpipParameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


Par contre je n'ai pas trouvé le fichier que vous m'avez demandé d'analyser. Celui-ci: C:_WINDOWSsystem32lphcpqoj0en6g.exe .

[r@in | b0w]

Ok.

Tu relances SmifraudFix en prenant l'option 2.

Tu fais ensuite un nouveau scan HiJackThis dont tu postes le rapport.

[Persedina]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:35:44, on 01/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Safe mode

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32cleanmgr.exe
C:WINDOWSexplorer.exe
C:Documents and SettingsAnnaBureauHiJackThis.exe

R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Packard Bell
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7e853d72-626a-48ec-a868-ba8d5e23e045} - (no file)
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:Program FilesBitDefenderBitDefender 2008IEToolbar.dll
O4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM..Run: [ATIPTA] C:ATI TechnologiesATI Control Panelatiptaxx.exe
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..Run: [ACTIVBOARD] c:appsABoardABoard.exe
O4 - HKLM..Run: [ISUSPM] "C:Program FilesFichiers communsInstallShieldUpdateServiceISUSPM.exe" -scheduler
O4 - HKLM..Run: [BitDefender Antiphishing Helper] "C:Program FilesBitDefenderBitDefender 2008IEShow.exe"
O4 - HKLM..Run: [BDAgent] "C:Program FilesBitDefenderBitDefender 2008dagent.exe"
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 8.0ReaderReader_sl.exe"
O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exe"
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.6.0_06injusched.exe"
O4 - HKLM..Run: [Sony Ericsson PC Suite] "C:Program FilesSony EricssonMobile2Application LauncherApplication Launcher.exe" /startoptions
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [Picasa Media Detector] C:Program FilesPicasa2PicasaMediaDetector.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesWindows LiveMessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [Widget Neuf] "C:Program FilesNeufWidget Neuf9widget.exe"
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_06inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_06inssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:WINDOWSSystem32Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - C:Program FilesMessengermsmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:APPSIEofflinefr.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
O23 - Service: ATI Smart - Unknown owner - C:WINDOWSsystem32ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:Program FilesiPodiniPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:Program FilesFichiers communsBitDefenderBitDefender Update Servicelivesrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:WINDOWSsystem32HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:WINDOWSSYSTEM32slserv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:Program FilesVirtual CD v4 SDKsystemvcssecs.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:Program FilesBitDefenderBitDefender 2008vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:Program FilesFichiers communsBitDefenderBitDefender Communicatorxcommsvr.exe

--
End of file - 5368 bytes


Voila le rapport de Hijackthis . Que dois-je faire maintenant ?

[r@in | b0w]

Bonjour.

Tu supprimes les lignes suivantes:

O2 - BHO: (no name) - {7e853d72-626a-48ec-a868-ba8d5e23e045} - (no file)
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 8.0ReaderReader_sl.exe"
O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exe"
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesWindows LiveMessengerMsnMsgr.Exe" /background

Tout est clean

Ensuite, pour terminer la désinfection et optimiser Windows:


_ Désinstallation des utilitaires utilisés:

Les programmes utilisés pour la désinfection ne sont pas à utiliser quotidiennement.

Pour les désinstaller, il faut aller dans le Panneau de configuration puis, via Ajouter/Supprimer des programmes, sélectionner les utilitaires et cliquer sur Désinstaller.

Pour une suppression effective, penses à supprimer leurs dossiers respectifs, la plupart à la racine de ta partition principale.


_ Utilisation d'un navigateur internet alternatif:

Internet Explorer n'étant pas sûr, il est préférable d'installer un navigateur internet alternatif pour sécuriser ton surf.

Tu as le choix entre Mozilla Firefox, Apple Safari ou encore Opéra.

Il faudra ensuite définir ce navigateur internet alternatif comme navigateur par défaut.


_ Utilisation d'un pare-feu alternatif:

Il est recommandé de ne pas utiliser le pare-feu Windows et d'en prendre un plus efficace.

Le choix est large: Zone Alarm & Sunbelt compatibles avec Vista sinon Ashampoo ou encore Sygate.

Après avoir sélectionné le pare-feu idéal, il faudra désactiver celui de Windows.


_ Nettoyage des points de restauration:

Dans un premier temps, il faut supprimer tous les points de restauration.

Pour cela, cliques sur Poste de travail puis Propriétés.
Onglet Restauration automatique du système, tu coches la ligne Désactiver la restauration du système puis tu valides par Ok.
Tu confirmes la suppression de tous les points de restauration, puis tu cliques sur Appliquer et/ou Ok.

Ensuite, il faut réactiver la restauration automatique du système.

Tu refais la manipulation précédente pour relancer les propriétés du Poste de travail.
Tu décoches la ligne puis cliques sur Appliquer & Ok.

Tu auras créer un point de restauration propre.


_ Nettoyage des fichiers temporaires & de la base de registre:

Pour cela, Ccleaner reste le moyen le plus sûr et pratique de tout nettoyer sans risques.

En suivant ce tutorial, cet utilitaire sera configuré correctement.

Il est aussi utile de purger régulièrement le dossier Prefetch en profitant de Ccleaner pour automatiser ce nettoyage.
Pour cela, il faut aller dans Options puis Personnaliser pour ajouter le dossier C:WindowsPREFETCH.


_ Un petit coup d'oeil à notre dossier Nettoyage peut être utile en supplément.

Et finalement, pour optimiser Windows XP, ce sujet sera intéressant.

[Persedina]

Merci de votre aide . Mais je ne peux toujours pas installer la mise à jour que windows me propose : Mise à jour de sécurité pour Microsoft Office Excel 2003 (KB955466)
Que dois-je faire ?

[r@in | b0w]

Bonjour.

En plus de cette recherche virale, tu pourras essayer Dial-A-Fix qui permet de "réparer" certaines choses comme les problèmes de MAJ ou les soucis d'installation d'Internet Explorer.

Tu coches toutes les entrées puis tu lances le nettoyage.

Il faudra ensuite redémarrer ta machine et, normalement, les MAJ seront possibles.

Tiens-nous au jus.

[Persedina]

Bonjour .
Je pensais que mon ordinateur remarchait très bien grâce à vous . Mais il y a encore des petits soucis .
J'ai installé Dial-a-fix comme vous me l'aviez indiqué . Je l'ai mis en marche sauf qu'il beug à SSL/HTTPS/Cryptography à Empty System32Catroot2 . A cet endroit il y reste pendant énormément longtemps . Je l'ai laissé tourné 2 jours en pensant qu'il fallait peut-être du temps . Mais sans succès . Donc je ne peux toujours pas installer mes mises à jours . Que dois-je faire ?

[r@in | b0w]

Bonjour.

Deux jours? C'est un poil trop long quand même.

Tu as tenté de le relancer? Tu cliques sur le V vert en bas à gauche pour que toutes les entrées soit cochées puis sur Go.

Cela prend au minimum cinq minutes.

Si cela bogue encore, décoche le passage qui pose problème, tu le verras car, au fur & à mesure de l'analyse, les lignes se décochent en commençant par les premières.

[Persedina]

Oui . Je l'ai déjà fait en décochant toute la partie Fix SSL/HTTPS/Cryptsvc . Ca met bien moins de 5 minutes sauf que ça ne regarde pas ces fichiers là .