Bonjour, J'aurais besoin d'un petit coup de main. J'ai des redirections intempestives dans google vers bediddle, abcjump, uncoverthenet... Plus chiant, j'ai des difficultes a booter, notamment au moment de l'ouverture de session windows. Les anti-spywares Spybot et MBAM sont bloqués (ils ne se lancent pas). Pareil pour Smitfraudfix. J'ai du passer par le mode sans echec pour lancer SDFix Voila le scan Sdfix: [b]SDFix: Version 1.240 /b Run by fred on 22/12/2008 at 14:30 Microsoft Windows XP [version 5.1.2600] Running From: C:\DOCUME~1\fred\Bureau\SDFix [b]Checking Services /b: Restoring Default Security Values Restoring Default Hosts File Rebooting [b]Checking Files /b: Trojan Files Found: C:\DOCUME~1\fred\LOCALS~1\Temp\TMP18.tmp - Deleted C:\DOCUME~1\fred\LOCALS~1\Temp\TMP24.tmp - Deleted C:\DOCUME~1\fred\LOCALS~1\Temp\TMP2B.tmp - Deleted C:\DOCUME~1\fred\LOCALS~1\Temp\TMP2C.tmp - Deleted C:\DOCUME~1\fred\LOCALS~1\Temp\TMP2E.tmp - Deleted C:\DOCUME~1\fred\LOCALS~1\Temp\TMP38.tmp - Deleted C:\DOCUME~1\fred\LOCALS~1\Temp\TMP3A.tmp - Deleted C:\DOCUME~1\fred\LOCALS~1\Temp\TMPC.tmp - Deleted C:\WINDOWS\system32\TDSSlxwp.dll - Deleted C:\WINDOWS\system32\TDSSorvd.dat - Deleted C:\WINDOWS\system32\TDSSkkbi.log - Deleted Could Not Remove C:\WINDOWS\system32\TDSSoiqn.dll Could Not Remove C:\WINDOWS\system32\TDSShrsr.dll Could Not Remove C:\WINDOWS\system32\TDSSrtqp.dll Could Not Remove C:\WINDOWS\system32\TDSSxfum.dll Removing Temp Files [b]ADS Check /b: [b]Final Check /b: catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-22 14:39:14 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden services & system hive ... disk error: C:\WINDOWS\system32\config\system, 0 scanning hidden registry entries ... disk error: C:\WINDOWS\system32\config\software, 0 disk error: C:\Documents and Settings\fred\ntuser.dat, 0 scanning hidden files ... disk error: C:\WINDOWS\ please note that you need administrator rights to perform deep scan [b]Remaining Services /b: Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger" "C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server" "C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"="C:\\Program Files\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player" "C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour" "C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes" "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" [b]Remaining Files /b: C:\WINDOWS\system32\TDSSoiqn.dll Found C:\WINDOWS\system32\TDSShrsr.dll Found C:\WINDOWS\system32\TDSSrtqp.dll Found C:\WINDOWS\system32\TDSSxfum.dll Found File Backups: - C:\DOCUME~1\fred\Bureau\SDFix\backups\backups.zip [b]Files with Hidden Attributes /b: Wed 22 Oct 2008 949,072 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\advcheck.dll" Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll" Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe" Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\Tools.dll" Thu 14 Aug 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5f4398a574c14d59bed50dd72df43939\BITB.tmp" Mon 12 Feb 2007 3,096,576 A..H. --- "C:\Documents and Settings\fred\Application Data\U3\temp\Launchpad Removal.exe" Wed 15 Aug 2007 2,739,369 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5c9426d7149b2dcd2ee8bb773badb22a\download\BIT22.tmp" [b]Finished!/b Quelqu'un peut-il me filer un coup de main a virer cette merde? Merci d'avance. fred

Infections boot et redirections multiples

Réponse 161 / 172

freddecosse

je viens de redemarrer
une fenetre "utilitaire de config systeme" s'affiche
il dit qu'il est en mode demarrage diagnostic ou selectif
que je dois choisir le mode de emarrage normal dans l'onglet general
sinon il y a une case a cocher "ne plus afficher ce message ou ne plus executer la config au demarrage
je fais quoi?

Utilisateur anonyme

pas de soucis c'est normal , ferme la fenetre avec la petite croix rouge en haut a droite .

Réponse 162 / 172

Utilisateur anonyme

afin de te familliariser avec tes programmes : effectue les recherches

google et ton meilleurs ami ;-)

https://www.google.fr/?client=firefox-a&rls=org.mozilla:fr:official&gws_rd=ssl

ne t'arrete pas a un seul avis il faut plusieurs sources pour confirmer une opinion .

dans l'onglet demarrage tu peu normalement presque tout arreter sur xp , mais un homme averti en vaux deux ( lol )

en revanche pour l'onglet services prend soin , de cocher la case qui sers a masquer les services de microsoft avant de commencer a decocher .

Réponse 163 / 172

freddecosse

Merci!!!

Réponse 164 / 172

Utilisateur anonyme

ensuite fin de desinfection

Lance CCleaner en double-cliquant sur son raccourci sur le bureau.
Puis dans le menu Nettoyeur
Clique sur Analyse (laisser travailler cela peut durer longtemps la 1ere fois)
Clique sur le bouton Lancer le nettoyage.
Clique une seconde fois sur le bouton Lancer le nettoyage
clique sur registre cherche et repare les erreurs effectue trois fois la manip pour que se sois efficace !

---------

ensuite suppression des outils utilisés

· Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.
http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
· Clique sur Recherche et laisse le scan se terminer.
· Clique, sur Suppression pour finaliser.
· Tu peux, si tu le souhaites, te servir des Options facultatives.
· Clique sur Quitter, pour que le rapport puisse se créer.
· Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

et derniere manip a effectuer tu dois purger ta restauration syteme afin d'y supprimer les virus restes en memoire dans ton pc

http://www.libellules.ch/desactiver_restauration.php

desactive la et ensuite tu la reactive puis tu cree un nouveau point de restauration sains

Réponse 165 / 172

freddecosse

Ok je fais tout ca en rentrant chez moi ce soir.
Si tu dis qu'il est plus infecté, c'est cool!!
Je te tiens au courant
a tout'
et merci!!!!!!!!!
fred

Réponse 166 / 172

freddecosse

[ Rapport ToolsCleaner version 2.2.9 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Combofix.txt: trouvé !
C:\fixnavi.txt: trouvé !
C:\rapport_clean.txt: trouvé !
C:\TB.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Toolbar SD: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Documents and Settings\fred\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\fred\Bureau\Clean.zip: trouvé !
C:\Documents and Settings\fred\Bureau\GenProc.zip: trouvé !
C:\Documents and Settings\fred\Bureau\Navilog1.exe: trouvé !
C:\Documents and Settings\fred\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\fred\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\fred\Bureau\ToolBarSD.exe: trouvé !
C:\Documents and Settings\fred\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\fred\Bureau\UsbFix.lnk: trouvé !
C:\Documents and Settings\fred\Bureau\OTMoveIt3.exe: trouvé !
C:\Documents and Settings\fred\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\fred\Bureau\SDFIX: trouvé !
C:\Documents and Settings\fred\Bureau\GenProc: trouvé !
C:\Documents and Settings\fred\Bureau\GenProc\outil\GenProc[*].html: trouvé !
C:\Documents and Settings\fred\Bureau\GenProc\Page\GenProc[*].html: trouvé !
C:\Documents and Settings\fred\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\fred\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\UsbFix: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Program Files\trend micro\HijackThis: trouvé !
C:\Program Files\trend micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\trend micro\HijackThis\hijackthis.log: trouvé !
C:\Program Files\UsbFix\Tools\NIRCMD.exe: trouvé !
C:\WINDOWS\NIRCMD.exe: trouvé !
C:\WINDOWS\ERUNT\SDFIX: trouvé !
C:\_OTMoveIt\MovedFiles\12262008_215329\windows\system32\*.msnfix: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Documents and Settings\fred\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\fred\Bureau\Clean.zip: supprimé !
C:\Documents and Settings\fred\Bureau\GenProc.zip: supprimé !
C:\Documents and Settings\fred\Bureau\Navilog1.exe: supprimé !
C:\Documents and Settings\fred\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\fred\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\fred\Bureau\ToolBarSD.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Program Files\trend micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\fixnavi.txt: supprimé !
C:\rapport_clean.txt: supprimé !
C:\TB.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\fred\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\fred\Bureau\UsbFix.lnk: supprimé !
C:\Documents and Settings\fred\Bureau\OTMoveIt3.exe: supprimé !
C:\Documents and Settings\fred\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\fred\Bureau\GenProc\outil\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\fred\Bureau\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\fred\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Program Files\trend micro\HijackThis\hijackthis.log: supprimé !
C:\Program Files\UsbFix\Tools\NIRCMD.exe: supprimé !
C:\WINDOWS\NIRCMD.exe: supprimé !
C:\_OTMoveIt\MovedFiles\12262008_215329\windows\system32\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Toolbar SD: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Documents and Settings\fred\Bureau\SDFIX: supprimé !
C:\Documents and Settings\fred\Bureau\GenProc: supprimé !
C:\Documents and Settings\fred\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\UsbFix: supprimé !
C:\Program Files\trend micro\HijackThis: supprimé !
C:\WINDOWS\ERUNT\SDFIX: supprimé !

Fichiers temporaires nettoyés !
Corbeille vidée!
Sauvegarde du registre crée !
Point de restauration crée !

Réponse 167 / 172

freddecosse

Point de restauration crée !

Et voila!!!
je me couche, je suis mort.
bonne nuit
a demain
fred

Réponse 168 / 172

Utilisateur anonyme

bonjour , supprime manuellement

combofix
genproc
msnfix

voici ta desinfection terriminée , ton nouveau pc , fonctionne bien ? lol

Réponse 169 / 172

freddecosse

Ok je fais la manip.
Oui le PC fonctionne bien.
Mon organisme aussi apres 2 jours difficiles... lol
T'es sur qu'il n'est plus infecté?
Ca rend un peu parano ces histoires de virus!!!
Ca va me manquer...
Je te tiens au courant de toute facon a la premiere manif de nouvelles infections
Merci beaucoup de ta patience, obstination et disponibilite
J'apprecie beaucoup que tu m'aies filé ce GROS coup de main!!
Bonne continuation a toi
Amicalement
fred

Réponse 170 / 172

Utilisateur anonyme

il ne faut pas rentrer dans une paranoïa ! lol

les virus ne sont que des programes , il suffit generalement de faire attention ou tu clique , evite les cracks , les sites porno , ne jamais cliquer sur les pubs ou pop up , .....

je reste a ta disposition sur ce meme poste si tu rencontre des difficultées .

ps : peu tu cliquer sur le point d'exclamation jaune sur la gauche des postes et demander a un moderateur de mettre le statut resolu sur ton poste stp . ( il ne seras pas fermé , tu pourras tout de meme me relancer dessus si tu as des soucis )

Réponse 171 / 172

freddecosse

Ca y est, c'est fait!
Merci encore de tes conseils.
Je vais essayer d'etre attentif et de ne pas verser dans la paranoia mais ca va etre dur parce qu'ILS sont tous contre moi...!
Lol !!!

Réponse 172 / 172

Utilisateur anonyme

lol , de rien et merci , amuse toi tout de meme !!

je te souhaite une bonne continuation et un bon surf ! prend soin de toi , de ta famille et de ton pc (-_-)

ps : n'hesite pas a venir si tu as un soucis ou des questions ;-)

Infections boot et redirections multiples - Page 9

Discussions similaires

Newsletters