[yortracks]

bonjour,
apparement j ai chopé un virus d'un j'ignore la provenance.
J ai fait un scan avec agv anti spyware puis kaperski online et hijackthis
le probleme est que je ne peux plus changer ma page de demarrage dans mes proprietes internet et environ toutes les 30mn une fenetre apparait disant "window security alert : error 2123 your registry is currupted by ctpmon.exe. please restart your computer. et la y a 3 icones 1/ help 2/ restart 3/ ask me later".
j ai fais une recherche et trouve ces 2 fichiers 1/CTPMON.EXE-0D34C6DB.pf et 2/ctpmon.exe. dosi les supprimer?
je vous transmet les 3 rapports pouvez vous me lire?
merci


rapport avg anti spyware

Log supprimé 

[yortracks]

rapport de kaperski

-------------------------------------------------------------------------------
Log supprimé 

[yortracks]

et rapport de hijackthis

Log supprimé - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\AOLbox\Gateway\wlancfg.exe 

[!aur3n7]

Bonjour,

On va deja s'occuper de Vundo présent dans le rapport Hijackthis ensuite un scan complémentaire pour controler et nettoyer ce qui restera


- Télécharge Vundofix ( Atribune) http://www.atribune.org/ccount/click.php?id=4
Si ce lien ne fonctionne pas : http://www.softpedia.com/get/Antivirus/VundoFix.shtml
* Double-clique VundoFix.exe pour le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
--le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre "shutdown" ; clique OK
* Démarre ton ordinateur
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.

--Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo"




=> Télécharge smitfraudfix (S!Ri) http://siri.urz.free.fr/Fix/SmitfraudFix.exe
-- Place le à la racine de ton disque dur (c:\)
* lance smitfraudfix.exe et choisis l'option 1 puis valide par la touche [Entrée]
* Un rapport sera généré sauvegarde le
Note :
- process.exe est détecté par certains antivirus comme étant un virus ce qui bien evidement n'est pas le cas mais un utilitaire destiné à mettre fin à des processus.




=> Résultat

Post les rapports
Vundofix
Smitfraudfix (option 1)
ainsi qu'un nouveau log Hijackthis s'il te plait 

[yortracks]

merci pour ta reponse et je t envoie les rapports que tu m a demandé.


Log supprimé
------------------------------------------------------

Log supprimé

voila j'attend avec impatience de tes nouvelles
merci 

[!aur3n7]

Bonjour,

[yortracks]

voila c est fait je te poste le pelog en premier

Rustock.b-ADS attached to the System32-folder:
Attempting to remove ADS...

Looking for Rustock.b-files in the System32-folder:
Commande ECHO d‚sactiv‚e.


******************* Post-run Status of system *******************

Rustock.b-driver on the system:
YOU NEED TO CONSULT MORE ADVANCED TOOLS!!
The Gmer-rootkitscanner may be a good place to start.
Gmer rootkit-scanner may be found here: http://www.gmer.net

Rustock.b-ADS attached to the System32-folder:
Commande ECHO d‚sactiv‚e.
You should either run the tool again or consult more advanced tools
The Gmer-rootkitscanner may be a good place to start.
Gmer rootkit-scanner may be found here: http://www.gmer.net

Looking for Rustock.b-files in the System32-folder:
Commande ECHO d‚sactiv‚e.
You should either run the tool again or consult more advanced tools
Swandog46's Avenger or Gmer's-rootkitscanner may be a good place to start.
Swandog46's Avenger may be found here: http://swandog46.geekstogo.com/avengernotes.htm
Gmer rootkit-scanner may be found here: http://www.gmer.net


******************************* End of Logfile ********************************

------------------------------------------------------

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 80


Error: could not create reboot file.
Error code: 80


Error: could not create reboot batch.
Error code: 80


//////////////////////////////////////////


Log supprimé

Log supprimé
merci par avance 

[!aur3n7]

Bonjour,

Vu le rapport je vais tout de même te demander de faire un scan qui permettra de s'assurer qu'aucun rootkit ne soit encore actif.

=> Télécharge gmer : http://www.gmer.net/gmer.zip
-- Décompresse le sur ton bureau

Ferme toutes les applications non indispensables
- Lance Gmer.exe
* Onglet "rootkit"
-- Controle que la case [ ] "show all" soit bien décochée
* clique sur Scan
* une fois le scan terminé, clique sur "copy"
- Ouvre le bloc-note (Démarrer > tous les programmes > accessoire)
* Clique sur Edition puis choisis coller
* Enregistre ce fichier sur ton bureau
* Fais un copier coller de son contenu dans ta prochaine réponse

Note:
Il se peut que ton antivirus émet une alerte concernant Gmer, Ignore la et continu tout de même.

Post le résultat de ce scan puis nous aviseronssi nécessaire.

A+ 

[yortracks]

desolé pour le non news mais boulot oblige
j ai fait ce que tu m a demandé et te poste le rapport
merci
2007-01-28 11:55:07 SMITFRAUDFIX.EXE[1864]: DEBUG THREAD[348] DLL_PROCESS_ATTACH: C:\WINDOWS\gmer.dll
2007-01-28 11:55:07 SMITFRAUDFIX.EXE[1864]: DEBUG THREAD[348] MakeHooks
2007-01-28 11:55:07 SMITFRAUDFIX.EXE[1864]: DEBUG THREAD[348] FreeHooks
2007-01-28 11:55:07 SMITFRAUDFIX.EXE[1864]: DEBUG THREAD[348] DLL_PROCESS_DETACH: C:\WINDOWS\gmer.dll
2007-01-28 12:17:50 RAINBOW_SIX_VEGAS_1.03.EXE[3484]: DEBUG THREAD[3192] DLL_PROCESS_ATTACH: C:\WINDOWS\gmer.dll
2007-01-28 12:17:50 RAINBOW_SIX_VEGAS_1.03.EXE[3484]: DEBUG THREAD[3192] MakeHooks
2007-01-28 12:18:09 RAINBOW_SIX_VEGAS_1.03.EXE[3484]: DEBUG THREAD[3192] FreeHooks
2007-01-28 12:18:09 RAINBOW_SIX_VEGAS_1.03.EXE[3484]: DEBUG THREAD[3192] DLL_PROCESS_DETACH: C:\WINDOWS\gmer.dll 

[!aur3n7]

Bonjour,
Pas de souci.

Ca semble correct
un dernier rapport Hijackthis pour vérifier si tu veux bien.