Sujet Précédent Sujet Suivant

Infections boot et redirections multiples

Résolu/Fermé
freddecosse - 22 déc. 2008 à 14:51
 Utilisateur anonyme - 3 janv. 2009 à 14:23
Bonjour,
J'aurais besoin d'un petit coup de main.
J'ai des redirections intempestives dans google vers bediddle, abcjump, uncoverthenet...
Plus chiant, j'ai des difficultes a booter, notamment au moment de l'ouverture de session windows.
Les anti-spywares Spybot et MBAM sont bloqués (ils ne se lancent pas).
Pareil pour Smitfraudfix.
J'ai du passer par le mode sans echec pour lancer SDFix
Voila le scan Sdfix:


[b]SDFix: Version 1.240 /b
Run by fred on 22/12/2008 at 14:30

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\fred\Bureau\SDFix

[b]Checking Services /b:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files /b:

Trojan Files Found:

C:\DOCUME~1\fred\LOCALS~1\Temp\TMP18.tmp - Deleted
C:\DOCUME~1\fred\LOCALS~1\Temp\TMP24.tmp - Deleted
C:\DOCUME~1\fred\LOCALS~1\Temp\TMP2B.tmp - Deleted
C:\DOCUME~1\fred\LOCALS~1\Temp\TMP2C.tmp - Deleted
C:\DOCUME~1\fred\LOCALS~1\Temp\TMP2E.tmp - Deleted
C:\DOCUME~1\fred\LOCALS~1\Temp\TMP38.tmp - Deleted
C:\DOCUME~1\fred\LOCALS~1\Temp\TMP3A.tmp - Deleted
C:\DOCUME~1\fred\LOCALS~1\Temp\TMPC.tmp - Deleted
C:\WINDOWS\system32\TDSSlxwp.dll - Deleted
C:\WINDOWS\system32\TDSSorvd.dat - Deleted
C:\WINDOWS\system32\TDSSkkbi.log - Deleted


Could Not Remove C:\WINDOWS\system32\TDSSoiqn.dll
Could Not Remove C:\WINDOWS\system32\TDSShrsr.dll
Could Not Remove C:\WINDOWS\system32\TDSSrtqp.dll
Could Not Remove C:\WINDOWS\system32\TDSSxfum.dll



Removing Temp Files

[b]ADS Check /b:



[b]Final Check /b:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-22 14:39:14
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...

disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\fred\ntuser.dat, 0
scanning hidden files ...

disk error: C:\WINDOWS\

please note that you need administrator rights to perform deep scan

[b]Remaining Services /b:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"="C:\\Program Files\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player"
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files /b:

C:\WINDOWS\system32\TDSSoiqn.dll Found
C:\WINDOWS\system32\TDSShrsr.dll Found
C:\WINDOWS\system32\TDSSrtqp.dll Found
C:\WINDOWS\system32\TDSSxfum.dll Found

File Backups: - C:\DOCUME~1\fred\Bureau\SDFix\backups\backups.zip

[b]Files with Hidden Attributes /b:

Wed 22 Oct 2008 949,072 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\advcheck.dll"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll"
Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\Tools.dll"
Thu 14 Aug 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5f4398a574c14d59bed50dd72df43939\BITB.tmp"
Mon 12 Feb 2007 3,096,576 A..H. --- "C:\Documents and Settings\fred\Application Data\U3\temp\Launchpad Removal.exe"
Wed 15 Aug 2007 2,739,369 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5c9426d7149b2dcd2ee8bb773badb22a\download\BIT22.tmp"

[b]Finished!/b

Quelqu'un peut-il me filer un coup de main a virer cette merde?
Merci d'avance.
fred
A voir également:

172 réponses

Précédent
Réponse 161 / 172
freddecosse
2 janv. 2009 à 12:30
je viens de redemarrer
une fenetre "utilitaire de config systeme" s'affiche
il dit qu'il est en mode demarrage diagnostic ou selectif
que je dois choisir le mode de emarrage normal dans l'onglet general
sinon il y a une case a cocher "ne plus afficher ce message ou ne plus executer la config au demarrage
je fais quoi?
0
Utilisateur anonyme
2 janv. 2009 à 12:34
pas de soucis c'est normal , ferme la fenetre avec la petite croix rouge en haut a droite .
0
Réponse 162 / 172
Utilisateur anonyme
2 janv. 2009 à 12:33
afin de te familliariser avec tes programmes : effectue les recherches

google et ton meilleurs ami ;-)

https://www.google.fr/?client=firefox-a&rls=org.mozilla:fr:official&gws_rd=ssl

ne t'arrete pas a un seul avis il faut plusieurs sources pour confirmer une opinion .

dans l'onglet demarrage tu peu normalement presque tout arreter sur xp , mais un homme averti en vaux deux ( lol )

en revanche pour l'onglet services prend soin , de cocher la case qui sers a masquer les services de microsoft avant de commencer a decocher .
0
Réponse 163 / 172
freddecosse
2 janv. 2009 à 12:37
Merci!!!
0
Réponse 164 / 172
Utilisateur anonyme
2 janv. 2009 à 14:10
ensuite fin de desinfection




Lance CCleaner en double-cliquant sur son raccourci sur le bureau.
Puis dans le menu Nettoyeur
Clique sur Analyse (laisser travailler cela peut durer longtemps la 1ere fois)
Clique sur le bouton Lancer le nettoyage.
Clique une seconde fois sur le bouton Lancer le nettoyage
clique sur registre cherche et repare les erreurs effectue trois fois la manip pour que se sois efficace !


---------

ensuite suppression des outils utilisés


· Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.
http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
· Clique sur Recherche et laisse le scan se terminer.
· Clique, sur Suppression pour finaliser.
· Tu peux, si tu le souhaites, te servir des Options facultatives.
· Clique sur Quitter, pour que le rapport puisse se créer.
· Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).


et derniere manip a effectuer tu dois purger ta restauration syteme afin d'y supprimer les virus restes en memoire dans ton pc

http://www.libellules.ch/desactiver_restauration.php

desactive la et ensuite tu la reactive puis tu cree un nouveau point de restauration sains
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 165 / 172
freddecosse
2 janv. 2009 à 15:14
Ok je fais tout ca en rentrant chez moi ce soir.
Si tu dis qu'il est plus infecté, c'est cool!!
Je te tiens au courant
a tout'
et merci!!!!!!!!!
fred
0
Réponse 166 / 172
freddecosse
2 janv. 2009 à 23:25
[ Rapport ToolsCleaner version 2.2.9 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Combofix.txt: trouvé !
C:\fixnavi.txt: trouvé !
C:\rapport_clean.txt: trouvé !
C:\TB.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Toolbar SD: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Documents and Settings\fred\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\fred\Bureau\Clean.zip: trouvé !
C:\Documents and Settings\fred\Bureau\GenProc.zip: trouvé !
C:\Documents and Settings\fred\Bureau\Navilog1.exe: trouvé !
C:\Documents and Settings\fred\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\fred\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\fred\Bureau\ToolBarSD.exe: trouvé !
C:\Documents and Settings\fred\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\fred\Bureau\UsbFix.lnk: trouvé !
C:\Documents and Settings\fred\Bureau\OTMoveIt3.exe: trouvé !
C:\Documents and Settings\fred\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\fred\Bureau\SDFIX: trouvé !
C:\Documents and Settings\fred\Bureau\GenProc: trouvé !
C:\Documents and Settings\fred\Bureau\GenProc\outil\GenProc[*].html: trouvé !
C:\Documents and Settings\fred\Bureau\GenProc\Page\GenProc[*].html: trouvé !
C:\Documents and Settings\fred\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\fred\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\UsbFix: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Program Files\trend micro\HijackThis: trouvé !
C:\Program Files\trend micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\trend micro\HijackThis\hijackthis.log: trouvé !
C:\Program Files\UsbFix\Tools\NIRCMD.exe: trouvé !
C:\WINDOWS\NIRCMD.exe: trouvé !
C:\WINDOWS\ERUNT\SDFIX: trouvé !
C:\_OTMoveIt\MovedFiles\12262008_215329\windows\system32\*.msnfix: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Documents and Settings\fred\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\fred\Bureau\Clean.zip: supprimé !
C:\Documents and Settings\fred\Bureau\GenProc.zip: supprimé !
C:\Documents and Settings\fred\Bureau\Navilog1.exe: supprimé !
C:\Documents and Settings\fred\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\fred\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\fred\Bureau\ToolBarSD.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Program Files\trend micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\fixnavi.txt: supprimé !
C:\rapport_clean.txt: supprimé !
C:\TB.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\fred\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\fred\Bureau\UsbFix.lnk: supprimé !
C:\Documents and Settings\fred\Bureau\OTMoveIt3.exe: supprimé !
C:\Documents and Settings\fred\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\fred\Bureau\GenProc\outil\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\fred\Bureau\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\fred\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Program Files\trend micro\HijackThis\hijackthis.log: supprimé !
C:\Program Files\UsbFix\Tools\NIRCMD.exe: supprimé !
C:\WINDOWS\NIRCMD.exe: supprimé !
C:\_OTMoveIt\MovedFiles\12262008_215329\windows\system32\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Toolbar SD: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Documents and Settings\fred\Bureau\SDFIX: supprimé !
C:\Documents and Settings\fred\Bureau\GenProc: supprimé !
C:\Documents and Settings\fred\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\UsbFix: supprimé !
C:\Program Files\trend micro\HijackThis: supprimé !
C:\WINDOWS\ERUNT\SDFIX: supprimé !

Fichiers temporaires nettoyés !
Corbeille vidée!
Sauvegarde du registre crée !
Point de restauration crée !
0
Réponse 167 / 172
freddecosse
2 janv. 2009 à 23:38
Point de restauration crée !

Et voila!!!
je me couche, je suis mort.
bonne nuit
a demain
fred
0
Réponse 168 / 172
Utilisateur anonyme
3 janv. 2009 à 12:09
bonjour , supprime manuellement


combofix
genproc
msnfix


voici ta desinfection terriminée , ton nouveau pc , fonctionne bien ? lol
0
Réponse 169 / 172
freddecosse
3 janv. 2009 à 12:18
Ok je fais la manip.
Oui le PC fonctionne bien.
Mon organisme aussi apres 2 jours difficiles... lol
T'es sur qu'il n'est plus infecté?
Ca rend un peu parano ces histoires de virus!!!
Ca va me manquer...
Je te tiens au courant de toute facon a la premiere manif de nouvelles infections
Merci beaucoup de ta patience, obstination et disponibilite
J'apprecie beaucoup que tu m'aies filé ce GROS coup de main!!
Bonne continuation a toi
Amicalement
fred
0
Réponse 170 / 172
Utilisateur anonyme
3 janv. 2009 à 12:36
il ne faut pas rentrer dans une paranoïa ! lol

les virus ne sont que des programes , il suffit generalement de faire attention ou tu clique , evite les cracks , les sites porno , ne jamais cliquer sur les pubs ou pop up , .....

je reste a ta disposition sur ce meme poste si tu rencontre des difficultées .

ps : peu tu cliquer sur le point d'exclamation jaune sur la gauche des postes et demander a un moderateur de mettre le statut resolu sur ton poste stp . ( il ne seras pas fermé , tu pourras tout de meme me relancer dessus si tu as des soucis )
0
Réponse 171 / 172
freddecosse
3 janv. 2009 à 13:36
Ca y est, c'est fait!
Merci encore de tes conseils.
Je vais essayer d'etre attentif et de ne pas verser dans la paranoia mais ca va etre dur parce qu'ILS sont tous contre moi...!
Lol !!!
0
Réponse 172 / 172
Utilisateur anonyme
3 janv. 2009 à 14:23
lol , de rien et merci , amuse toi tout de meme !!

je te souhaite une bonne continuation et un bon surf ! prend soin de toi , de ta famille et de ton pc (-_-)

ps : n'hesite pas a venir si tu as un soucis ou des questions ;-)
0

Discussions similaires

Boot failure detected
Loshxn -
georges97 -

1 réponse
"Reboot and Select proper Boot Device"
Rodoxx -
Patrick -

5 réponses
Aide Please select boot device
Romanitouu -
jee pee -

1 réponse
Boot failure detected
Alex38440 -
Edawards_0352 -

8 réponses
Problème de démarrage - boot device and press a key
Gravity08 -
Malekal_morte- -

20 réponses