Virus "Your system is infected!" • page 2

[bob35]

Voila le rapport OTM

Code: Tout sélectionner

All processes killed
========== FILES ==========
File/Folder c:\windows\system32\helpers32.dll not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 314774 bytes
->Temporary Internet Files folder emptied: 89250541 bytes
->Java cache emptied: 183670 bytes
->FireFox cache emptied: 35260858 bytes
->Flash cache emptied: 2601826 bytes
 
User: All Users
 
User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 8670179 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 778752 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 131,00 mb
 
 
OTM by OldTimer - Version 3.1.15.0 log created on 07232010_153443

Files moved on Reboot...
File move failed. C:\WINDOWS\temp\hlktmp scheduled to be moved on reboot.
C:\WINDOWS\temp\Perflib_Perfdata_5f4.dat moved successfully.

Registry entries deleted on Reboot...


[Jypalou]

Est ce que tu as encoredes problémes ??
Reposte un rapport HijackThis
A+

[bob35]

Cela semble bon...
Je te poste le rapport HijackThis que je viens de faire

Code: Tout sélectionner

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:49:03, on 23/07/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Mesdocs\Téléchargements\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=74&bd=smb&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=74&bd=smb&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=74&bd=smb&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\RunOnce: [SpybotDeletingA5244] command.com /c del "C:\WINDOWS\system32\winlogon32.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [smss32.exe] C:\WINDOWS\system32\smss32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O15 - Trusted Zone: http://*.cyber-deployment.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{CEBCA9CC-E381-4C15-ADBD-2B924C4FF28D}: NameServer = 80.10.246.2,192.168.1.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

--
End of file - 5075 bytes


[Jypalou]

Ferme toutes les applications actives et relance HijackThis

Clique sur

Coche les lignes suivantes :

R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\RunOnce: [SpybotDeletingA5244] command.com /c del "C:\WINDOWS\system32\winlogon32.exe"
O4 - HKCU\..\Run: [smss32.exe] C:\WINDOWS\system32\smss32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Clique sur

Valide par Oui (Yes) au message qui va s'afficher.

Puis ton Antivirus Avast n'est pas a jour,il est a la Version 5 tuto et téléchargement:
http://www.malekal.com/tutorial_AvastV5.php
Il te faut mettre a jour IE,tu es encore a IE6,passe a la Version IE8:
http://www.microsoft.com/france/windows ... r-ie8.aspx
Ensuite ton Java,tu vas dans ajout suppression de programmes et tu supprimes les anciennes versions et tu installe la derniére
http://www.java.com/fr/
Tu peux aussi passer au SP3,car tu est encore au SP2.
Et tu me tiens au courant
A+

[reg35]

salut
juste une ptite question avant de faire les mises a jour ie8 et sp3,
quelle est ta configuration de ton pc? car si c'est un processeur monocoeur en 1.5ghz avec 512mo de ram, la c'est pas la peine, pour ie, le mieux c'est de prendre un autre navigateur car ie est trop lourd, beugue, bref complètement a la ramasse.
perso le sp3 ne sert a rien a part alourdir le système.

[bob35]

Jypalou j'ai fais ce que tu m'as dis
Est ce que je te fais un dernier scan ou quoi?
Est ce que je peux effacer OTM,HijackThis,...?
En tout cas je te remercie de ton aide

[bob35]

@reg 35 : j'ai firefox donc je vais pas télécharger ie8...
Après pour la configuration, ce n'est pas mon ordi alors je n'en sais rien.
Merci de tes conseils

[Jypalou]

Oui si tu n'as plus de probléme il faut les supprimer avec ce tool:
Fermes toutes les applications en cours.

Télécharge ToolsCleaner De A.Rothstein et dj QUIOU ICI
Sur ton Bureau

Pour Vista Il faut faire un clic droit sur ToolsCleaner ,

Puis Exécuter en tant que Administrateur

Aide en Image

Doubleclique dessus pour lancer le programme.

Clique sur Recherche et laisse le scan se terminer (il peut durer une dizaine de minutes au maximum).

Une fois la recherche lancée, ne clique pas dans la fenêtre, cela provoquerait un léger bug du programme.

Si toutes fois la mention (ne réponds pas) apparaissait dans le titre de la fenêtre ToolsCleaner, ne t'en occupes pas et laisse quand même le programme terminer son travail.

Poste le rapport qui apparait.

Attends mon feu vert pour cliquer sur Suppression
A+

[bob35]

Voila le rapport

Code: Tout sélectionner

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Toolbar SD: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Désinfection Virus your computer is infected\hijackthis.log: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Désinfection Virus your computer is infected\TB.txt: trouvé !
C:\Documents and Settings\Administrateur\Recent\HijackThis.lnk: trouvé !


[Jypalou]

Il manque OTM,mais je pense que le rapport est mal copié
Tu peux faire la suppression
A+

[bob35]

Merci pour tout
A bientot.

[Jypalou]

De rien avec plaisir,si un modo passe par là il mettra le sujet en résolu
A+