Merci de votre aide

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Merci de votre aide

Messagede Gégé44 » 31 Aoû 2006, 10:14

Cette analyse concerne mon UC professionnel sachant que nous n'avons pas de service maintenance et encore moins qqun qui s'y connait.

Je colle donc l'analyse en espérant que vous pourrez m'aider. Merci d'avance.

Logfile of HijackThis v1.99.1
Scan saved at 11:11:39, on 31/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\VIGUARD\SERVICE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\keyhook.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\VIGUARD\SDLOAD32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://andrewlinks.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://andrewlinks.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://andrewlinks.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\WINDOWS\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-7173706D8274} - C:\WINDOWS\System32\spm8274.dll
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765728274} - C:\WINDOWS\System32\wer8274.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ViGUARD] "C:\Program Files\VIGUARD\SDLOAD32.EXE" /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O13 - WWW Prefix: http://turboinet.com/r.cgi?
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {564EC66E-5A1B-51D3-1DB0-5080C83DA4EB} - ms-its:mhtml:file://C:ie.mht!http://69.50.164.12/exp/mht/sext01.chm::/MegaInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4430C18D-361A-4245-9434-4652A80B22D2}: NameServer = 85.255.115.28,85.255.112.196
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.28 85.255.112.196
O17 - HKLM\System\CS1\Services\Tcpip\..\{4430C18D-361A-4245-9434-4652A80B22D2}: NameServer = 85.255.115.28,85.255.112.196
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.28 85.255.112.196
O17 - HKLM\System\CS2\Services\Tcpip\..\{4430C18D-361A-4245-9434-4652A80B22D2}: NameServer = 85.255.115.28,85.255.112.196
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.28 85.255.112.196
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: VIGUARD Service (VigService) - Unknown owner - C:\Program Files\VIGUARD\SERVICE.EXE
Gégé44
 
Messages: 9
Inscription: 31 Aoû 2006, 10:05

Messagede nickW » 01 Sep 2006, 01:11

Bonsoir,

Infection par Wareout et Spyware.Arau! (Bravo Viguard!!!!!)


Je te conseille d'imprimer la procédure, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".


FixWareout (de LonnyRJones)

Télécharger FixWareout.exe via un clic droit sur l'un des liens ci-dessous:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe
Enregistrer le fichier sur le Bureau.

Fermer toutes les fenêtres de programme.
Faire un double clic sur FixWareout.exe pour lancer le programme.
Cliquer sur Next, puis sur Install
Vérifier que la case située devant "Run fixit" est cochée puis cliquer sur Finish.
L'outil va travailler, suivre les messages à l'écran.

Il va être demandé de redémarrer l'ordinateur: le faire.
Le système va mettre plus de temps que d'habitude pour démarrer: c'est normal.
Après le redémarrage, suivre les invites des messages.

Ensuite lancer HijackThis.
Cliquer sur le bouton <i>"Do a system scan only"</i> (ou <i>"Scanner seulement"</i> en vf)
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher <i>"Make backups before fixing items"</i> (ou <i>"Proteger les objets avt de fixer"</i> en vf), puis cliquer sur le bouton "Back" (ou "Ret" en vf).
Cocher la case située devant les lignes ci-dessous, puis cliquer sur <i>Fix Checked</i> (ou <i>Fixer objet</i> en vf):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://andrewlinks.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://andrewlinks.net
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://andrewlinks.net/
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing)
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-7173706D8274} - C:\WINDOWS\System32\spm8274.dll
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765728274} - C:\WINDOWS\System32\wer8274.dll
O13 - WWW Prefix: http://turboinet.com/r.cgi?
O16 - DPF: {564EC66E-5A1B-51D3-1DB0-5080C83DA4EB} - ms-its:mhtml:file://C:ie.mht!http://69.50.164.12/exp/mht/sext01.chm::/MegaInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4430C18D-361A-4245-9434-4652A80B22D2}: NameServer = 85.255.115.28,85.255.112.196
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.28 85.255.112.196
O17 - HKLM\System\CS1\Services\Tcpip\..\{4430C18D-361A-4245-9434-4652A80B22D2}: NameServer = 85.255.115.28,85.255.112.196
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.28 85.255.112.196
O17 - HKLM\System\CS2\Services\Tcpip\..\{4430C18D-361A-4245-9434-4652A80B22D2}: NameServer = 85.255.115.28,85.255.112.196
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.28 85.255.112.196


Fermer HijackThis puis cliquer sur OK pour continuer la procédure.

A la fin de l'exécution de l'outil, il faudra peut-être redémarrer le PC.

Envoyer en réponse le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.


Si et seulement si il y a des difficultés de connexion après cette manip:
Démarrer---->Paramètres---->Panneau de configuration---->Connexions réseau
Faire un clic droit sur la connexion par défaut, nommée en général "Connexion au réseau local" ou "Accès à distance" si vous utilisez un modem téléphonique, et choisir Propriétés.
Faire un double clic sur l'élément Protocole Internet (TCP/IP) et choisir le bouton-radio Obtenir les adresses des serveurs DNS automatiquement.
Cliquer deux fois sur OK, et redémarrer l'ordinateur.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Voilà le résultat !

Messagede Gégé44 » 01 Sep 2006, 09:02

Je vous renvoie le contenu du rapport, j'espère avoir bien suivi vos instructions ^^ (je suis très novice en la matière) :oops:

Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...
* csr.exe C:\WINDOWS\System32\CSTLC.EXE

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSTLC.EXE 51 218 2006-07-07
C:\WINDOWS\SYSTEM32\DMJEK.EXE 44 126 2004-08-20

Other suspects.
Directory of C:\WINDOWS\system32
{70AAEB7B-125E-4275-A9E2-AE8090F67028}.exe
{205D23AE-BF4D-425C-924E-4262A505AFEF}.exe
{4F35AA13-C257-4123-8DCF-26DAF4B630CA}.exe
{21ABE40E-ED95-4D36-BD02-F80696D4FB7D}.exe

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.


Et voilà le rapport HijackThis
:?:

Logfile of HijackThis v1.99.1
Scan saved at 09:55:13, on 01/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\keyhook.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\VIGUARD\SDLOAD32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\VIGUARD\SERVICE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\WINDOWS\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ViGUARD] "C:\Program Files\VIGUARD\SDLOAD32.EXE" /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: VIGUARD Service (VigService) - Unknown owner - C:\Program Files\VIGUARD\SERVICE.EXE


Merci encore pour votre aide.

Déjà visible pour moi en résultat, c'est que je peux mettre la page que je veux en page d'accueil et non plus une page XX sachant que je travaille avec du public et qu'ils sont parfois amenés à regarder mon écran : imaginez!!

Cordialement.
Géraldine.
Gégé44
 
Messages: 9
Inscription: 31 Aoû 2006, 10:05

Messagede nickW » 01 Sep 2006, 14:54

Bonjour Géraldine,

Un p'tit log tout "propre" :D


Il reste un peu de nettoyage à faire:

Renommage
Note 1: certains éléments seront peut-être absents, les noter et les signaler en réponse, après la fin de l'ensemble des étapes
Note 2: une dizaine de jours après la désinfection, après avoir vérifié que tous tes programmes fonctionnent correctement, ces dossiers/fichiers ainsi renommés pourront être définitivement supprimés.

Renommer (clic droit sur le nom du fichier) les fichiers ci-dessous en ajoutant .non derrière leur extension:

C:\WINDOWS\SYSTEM32\CSTLC.EXE (à renommer en CSTLC.EXE.non)

C:\WINDOWS\system32\{70AAEB7B-125E-4275-A9E2-AE8090F67028}.exe (à renommer en 70AAEB7B.non)
C:\WINDOWS\system32\{205D23AE-BF4D-425C-924E-4262A505AFEF}.exe (à renommer en 205D23AE.non)
C:\WINDOWS\system32\{4F35AA13-C257-4123-8DCF-26DAF4B630CA}.exe (à renommer en 4F35AA13.non)
C:\WINDOWS\system32\{21ABE40E-ED95-4D36-BD02-F80696D4FB7D}.exe (à renommer en 21ABE40E.non)

C:\WINDOWS\System32\spm8274.dll (à renommer en spm8274.dll.non)
C:\WINDOWS\System32\wer8274.dll (à renommer en wer8274.dll.non)



Comme il s'agit d'un PC professionnel, j'ignore si tu peux installer des logiciels sur ce PC, et comment est assurée la sécurisation (antivirus et pare-feu par exemple).
Si tu as besoin de conseils, n'hésite pas à en demander. :wink:


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Gégé44 » 05 Sep 2006, 15:41

Bon NickW, il faut que tu m'aides encore!

Voilà j'ai voulu renommer les fichiers comme indiqué :

Pour les ceux là pas de souci:
C:\WINDOWS\system32\{70AAEB7B-125E-4275-A9E2-AE8090F67028}.exe (à renommer en 70AAEB7B.non)
C:\WINDOWS\system32\{205D23AE-BF4D-425C-924E-4262A505AFEF}.exe (à renommer en 205D23AE.non)
C:\WINDOWS\system32\{4F35AA13-C257-4123-8DCF-26DAF4B630CA}.exe (à renommer en 4F35AA13.non)
C:\WINDOWS\system32\{21ABE40E-ED95-4D36-BD02-F80696D4FB7D}.exe (à renommer en 21ABE40E.non)


Par contre, depuis je n'arrive plus a accéder au fichier system 32 car le pc plante direct donc je ne peux pas renommer les suivants :
C:\WINDOWS\SYSTEM32\CSTLC.EXE (à renommer en CSTLC.EXE.non)
C:\WINDOWS\System32\spm8274.dll (à renommer en spm8274.dll.non)
C:\WINDOWS\System32\wer8274.dll (à renommer en wer8274.dll.non)


De plus, si ma connexion internet est à peu près normal quoi qu'un peu lente, les autres programmes rament au possible (Microsoft outlook, excel, windows, publisher....)! Peux tu m'aider?

C'est un pc professionnel mais il n'y a personne qui s'y connait et encore moins de contrat de maintenance dc si ca peut me permettre de travailler ds des conditions meilleures, n'hésite pas à me dder de télécharger des logiciels.

Merci d'avance.

++Géraldine
Gégé44
 
Messages: 9
Inscription: 31 Aoû 2006, 10:05

Messagede nickW » 05 Sep 2006, 23:47

Bonsoir,

Si j'ai bien compris, le PC a fonctionné normalement pendant quatre jours, puis de nouveaux problèmes sont apparus.

Peux-tu envoyer un nouveau log HijackThis?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Nouveau log

Messagede Gégé44 » 18 Sep 2006, 12:24

Bonjour,

excuse moi pour le délai...

Comme je te le disais, mon pc rame : tant à l'ouverture d'une simple page word, excel qu'un programme comme outlook ou la consultation de page internet...

Voici le nouveau log :

Logfile of HijackThis v1.99.1
Scan saved at 13:20:54, on 18/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\VIGUARD\SERVICE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\keyhook.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\VIGUARD\SDLOAD32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\WINDOWS\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ViGUARD] "C:\Program Files\VIGUARD\SDLOAD32.EXE" /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: VIGUARD Service (VigService) - Unknown owner - C:\Program Files\VIGUARD\SERVICE.EXE

Dans l'attente de ta réponse.

Cordialement.
Géraldine.
Gégé44
 
Messages: 9
Inscription: 31 Aoû 2006, 10:05

Messagede Gégé44 » 21 Sep 2006, 10:56

Bonjour Nickw,

Je suis désespérée ca rame trop...je voudrais pas qu'on me reproche au boulot d'avoir fait des "trucs" sur mon pc.

Peux tu me dire au vue du rapport ce qui va pas?

Merci d'avance.

@ bientôt
Gégé44
 
Messages: 9
Inscription: 31 Aoû 2006, 10:05

Messagede nickW » 22 Sep 2006, 11:22

Bonjour,

Je t'ai envoyé un MP hier soir (... et tu ne l'as pas encore lu :wink: ).

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Gégé44 » 03 Oct 2006, 08:18

Bonjour,

Je t'ai envoyé l'analyse comme demandé, l'as tu bien reçu?

Dans l'attente de ta réponse.

Géraldine.
Gégé44
 
Messages: 9
Inscription: 31 Aoû 2006, 10:05

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 29 invités