Bref ça risque d´etre long ^^

Bon ben jm´y mets :p

Que se passe-t-il ici ?

Euu juste c´est pas précisé pour CCleaner je lance le nettoyage ou pas ? >_>

Désolé pour la question c** mais c´est pas précisé donc jprends pas de risque ...

Si fais le nettoyage, y a pas de risque, ça vide les fichiers temp et le cache de ton navigateur

Alors voila le log de SDFix

SDFix: Version 1.100

Run by Administrateur on 23/08/2007 at 17:35

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\ADMINI~1\Bureau\SDFix

Safe Mode:
Checking Services:

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\svchost.exe - Deleted

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.

Final Check:

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servi
ces\sharedaccess\parameters\firewallpolicy\standar
dprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\syste
m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"D:\\Installations\\bittorent\\bittorrent.exe"="D:
\\Installations\\bittorent\\bittorrent.exe:*:Enabl
ed:bittorrent"

"D:\\Installations\\HalfLife2\\SteamApps\\onilink5
7\\counter-strike
source\\hl2.exe"="D:\\Installations\\HalfLife2\\St
eamApps\\onilink57\\counter-strike source\\hl2.exe:*:Enabled:hl2"

"D:\\Installations\\Rakion\\Bin\\rakion.bin"="D:\\
Installations\\Rakion\\Bin\\rakion.bin:*:Enabled:r
akion"

"D:\\Installations\\eMule\\emule.exe"="D:\\Install
ations\\eMule\\emule.exe:*:Enabled:eMule"
"D:\\Installations\\Warcraft III\\Warcraft III.exe"="D:\\Installations\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III"

"D:\\Installations\\LimeWire\\LimeWire.exe"="D:\\I
nstallations\\LimeWire\\LimeWire.exe:*:Enabled:Lim
eWire"

"D:\\Installations\\Valve\\SteamApps\\onilink57\\c
ounter-strike
source\\hl2.exe"="D:\\Installations\\Valve\\SteamA
pps\\onilink57\\counter-strike source\\hl2.exe:*:Enabled:hl2"

"D:\\Installations\\Valve\\SteamApps\\onilink57\\h
alf-life 2
deathmatch\\hl2.exe"="D:\\Installations\\Valve\\St
eamApps\\onilink57\\half-life 2 deathmatch\\hl2.exe:*:Enabled:hl2"
"D:\\Installations\\MoH D‚barquement Alli‚\\MOHAA.exe"="D:\\Installations\\MoH D‚barquement Alli‚\\MOHAA.exe:*:Enabled:Medal of Honor Allied Assault(tm)"
"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program
Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTor
rent"
"C:\\Program Files\\IVT
Corporation\\BlueSoleil\\BlueSoleil.exe"="C:\\Prog
ram Files\\IVT
Corporation\\BlueSoleil\\BlueSoleil.exe:*:Enabled:
BlueSoleil"
"C:\\Program Files\\Orb Networks\\Orb\\bin\\Orb.exe"="C:\\Program Files\\Orb Networks\\Orb\\bin\\Orb.exe:*:Enabled:Orb"
"C:\\Program Files\\Orb Networks\\Orb\\bin\\OrbTray.exe"="C:\\Program Files\\Orb
Networks\\Orb\\bin\\OrbTray.exe:*:Enabled:OrbTray"

"C:\\Program Files\\Orb
Networks\\Orb\\bin\\OrbStreamerClient.exe"="C:\\Pr
ogram Files\\Orb
Networks\\Orb\\bin\\OrbStreamerClient.exe:*:Enable
d:Orb Stream Client"
"C:\\Program Files\\Orb Networks\\Orb\\bin\\xmltv.exe"="C:\\Program Files\\Orb
Networks\\Orb\\bin\\xmltv.exe:*:Enabled:OrbTVGuide
"
"C:\\Program Files\\Orb
Networks\\Orb\\bin\\OrbChannelScan.exe"="C:\\Progr
am Files\\Orb
Networks\\Orb\\bin\\OrbChannelScan.exe:*:Enabled:O
rbChannelScan"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program
Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"

"D:\\Installations\\FEAR\\FEAR.exe"="D:\\Installat
ions\\FEAR\\FEAR.exe:*:Enabled:FEAR"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servi
ces\sharedaccess\parameters\firewallpolicy\domainp
rofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\syste
m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files:
---------------

File Backups: -
C:\DOCUME~1\ADMINI~1\Bureau\SDFix\backups\backups.
zip

Files with Hidden Attributes:

C:\Documents and Settings\Administrateur\Bureau\Goldeneye et Perfect Dark sur N64 ! - Redirect by
ulimit.com_fichiers\nintendo_data\cadre-bas_data\T
humbs.db
C:\Program Files\Mio Technology\MioSync\_Setup.dll
C:\WINDOWS\system32\avisynth.dll
C:\WINDOWS\system32\AVSredirect.dll
C:\WINDOWS\system32\cygwin1.dll
C:\WINDOWS\system32\cygz.dll
C:\WINDOWS\system32\i420vfw.dll
C:\WINDOWS\system32\Smab.dll
C:\WINDOWS\system32\yv12vfw.dll
C:\Program Files\Mio Technology\MioSync\Setup.exe
C:\WINDOWS\meta4.exe
C:\WINDOWS\MOTA113.exe
C:\WINDOWS\x2.64.exe
C:\WINDOWS\system32\x.264.exe

Finished

Wala je retourne en sans echec pour faire la suite

Voila j´ai TOUT fait.

Bon je copie le log de MSN Fix:

MSN_Fix 1.468

C:\Documents and Settings\Administrateur\Bureau\MSNFix
Fix exécuté le 23/08/2007 - 18:04:02,87 By Administrateur
mode sans échec

• • ********************* Recherche les fichiers présents

... C:\WINDOWS\system32\drivers\oreans32.sys

• • ********************* Recherche les dossiers présents

Aucun dossier trouvé

• • ********************* Suppression des fichiers

.. OK ... C:\WINDOWS\system32\drivers\oreans32.sys

• • ********************* Nettoyage du registre

• • ********************* Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

[C:\WINDOWS\Metroid.scr] BDD046CE3B3BBE5C9DD3179B7ED34565
[C:\WINDOWS\scr_metroid_fusion_1.scr] BFC9E3AEB7A5008AF1D353AEB8E99A28

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 23082007_18043303.zip

--------------------------------------------------
----------------------
Auteur : !a ur3n7 Contact:
http://changelog.fr

--------------------------------------------------
----------------------

--------------------------------------------- END ---------------------------------------------

Et voila le 2eme de Hijack this:

Logfile of HijackThis v1.99.1
Scan saved at 18:14:06, on 23/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\StartClock\StartClock.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\TheTurtle\TheTurtle.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\scanner.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.orange.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\INSTAL~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\INSTAL~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [StartClock] C:\Program Files\StartClock\StartClock.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [TheTurtle] C:\Program Files\TheTurtle\TheTurtle.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Klass] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run:
[BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\INSTAL~1\Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - D:\Installations\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - D:\Installations\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra ´Tools´ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\INSTAL~1\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\INSTAL~1\FlashGet\flashget.exe
O9 - Extra ´Tools´ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\INSTAL~1\FlashGet\flashget.exe
O17 -
HKLM\System\CCS\Services\Tcpip\..\{46C7C977-1C63-4
713-B0F2-9F0428F79D02}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Start BT in service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe (file missing)

Et j´ai toujours ce processus de mes deux !!

Ce processus est normal. 3ème fois

Bon en tout cas jlavais pas avant !!

Enfin bref en tout cas malgres tout ça le pc semble tourner normalement maintenant ...

Vous pensez que c´est bon ?

Par contre j´ai toujours les C:\WINDOWS\system32\svchost.exe

Et j´ai remarqué que les autrees pc sur le réseau l´avaient aussi ...

Que ce soit dans service local ou administrateur !

Re

C:\WINDOWS\system32\svchost.exe est normal
c´est C:\WINDOWS\svchost.exe qui ne l´est pas !

Sinon on voit que les outils ont bien fait le nettoyage seulement il reste quelques cochonneries

Relance Hijackthis et coche les lignes ci dessous :

O4 - HKCU\..\Run: [Klass] C:\WINDOWS\svchost.exe

O17 -

HKLM\System\CCS\Services\Tcpip\..\{46C7C977-1C63-4

713-B0F2-9F0428F79D02}: NameServer = 192.168.1.1

Clique sur "Fix Checked".

Télécharge OTMoveIt (de Old_Timer) sur ton bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

• Double-clique sur OTMoveIt.exe
• Vérifie que la case "Unregister Dll´s and Ocx´s" soit bien cochée.
• Copie le texte ci-dessous, et colle le dans le cadre dans OTMoveIt appelé "Paste List of Files/Folders to be moved".

C:\WINDOWS\svchost.exe

• Clique sur MoveIt!.
• Quand le résultat apparaît dans le cadre Results, clique sur Exit.
• Puis redémarre le PC.
• Enfin, envoie le rapport de OTMoveIt situé dans C:\_OTMoveIt\MovedFiles.

Télécharge clean.zip (malekal) :
http://www.malekal.com/download/clean.zip

Dézippe le, ça va créer un dossier clean. Double clic sur ce dossier puis de nouveau sur clean. Cela va ouvrir une fenêtre noire. Choisis l´option 1 en appuyant sur la touche 1 de ton clavier. Un rapport va être généré, colle son contenu ici.

Redémarre en mode sans échec,
http://forum.telecharger.01net.com/telecharger/virus_et_assimiles/failles_de_securite/redemarrer_en_mode_sans_echec_pourquoi_et_comment-387297/messages-1.html
Double clic sur clean, dans le menu choisis l´option 2 en appuyant sur la touche 2 de ton clavier. Copie/Colle le rapport.

Supprime tout les fichiers/dossiers que je t´ai fait télécharger et vide la corbeille !

Mets à jour Antivir si ce n´est pas déjà fait, vérifie la date d´update.

Redémarre en mode sans échec, pour cela, redémarre l´ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

- Ouvre Antivir par le menu Démarrer / Programmes
- Cliquez sur l´onglet Scanner.
- Sélectionne Manual Selection
- Sélectionne le disque C
- Lance le scan - Mets en quarantaine tous les éléments détectés.
- Une fois le scan terminé Enregistre le rapport.

Redémarre en mode normal.

Poste le rapport ici.

A SUIVRE;
On a bientôt fini

Oki jfais ça ( enfin iora peut etre une interruption vu que jvais pas tarder a aller manger !
J´ai aussi remarqué que antivir faisait pas pare feu donc jme demande si la livebox suffit pour ça ?
Merci !

jte dis quand j´ai finis le tout ;)

Avast! non plus ne le faisais pas. La livebox a un routeur, donc oui ça peut suffire.

Ok donc j´ai fais ce que tu m´as dit avec hijackthis et Movelt!

Mais quand j´ai lancé le programme il m´a dit que svchost.exe était introuvable.
Normal ?
Sinon en attendant jvais manger je rebooterai apres a toutes et merci beaucoup pour ce que t´as déja fait !

Fais tout ce que je te dis, les rapports et tout et on verra, moi j´y vais, A plus tard !

hey t´as du faire une erreur avec hijackthis parce que j´ai viré les deux fichiers cités au dessus et plus de co internet !

J´ai fais un backup pour les récupérer mais je vais tenter de les virer l´un apres l´autre pour voir celui nécessaire a ma connexion.

Le 017 c´est celui qu´il faut pas virer car c´est celui qui contient l´ip de ma box donc ma connexion.
Autrement je continue les autres étapes.

T´embêtes pas, c´est la O17 qui est responsable de ta connexion, mais ça m´étonne vraiment, l´adresse IP mène tout droit aux USA ...

Fais le reste et créer un propre dossier pour Hijackthis encore une fois.
C:\Hijackthis\scanner.exe

Ben 192.168.1.1 c´est l´ip de ma live maintenant si ien a une autre c´est peut etre un peu louche mais oublie pas que 3 pc sont connéctés a cette box ... Mais vu que 192.168.1.1 c´est celui de ma box ia pas de malaise

Il apparait peut etre parce que j´ai configuré ma co automatiquement pour éviter le programme orange de gestion internet.

Voila le log de clean:

23/08/2007 a 20:22:41,48

• • Recherche des fichiers dans C:

C:\autorun.inf FOUND
C:\StubInstaller.exe FOUND

• • Recherche des fichiers dans C:\WINDOWS\

• • Recherche des fichiers dans C:\WINDOWS\system32

• • Recherche des fichiers dans C:\Program Files
  • Fin du rapport !