Sujet Précédent Sujet Suivant

Hijacker tenace

Fermé
ratatouille74 - 19 janv. 2009 à 15:53
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 21 janv. 2009 à 15:47
Bonjour,

J'ai un problème sérieux venant de ce qu'on appelle je crois un "hijacker".
Voici les caractéristiques :
- Google (et ma navigation internet d'une manière générale) a été comme "piratée". Je m'explique, j'ai la page d'accueil Google, jusque là tout va bien. J'effectue une recherche, la page de résultats apparait : là, premier problème, l'apparence de l'affichage des réponses a changé, les caractères sont plus gros, il n'y a plus les liens indiqués en vert. Si je clique sur un résultat, j'ai pour seule action l'ouverture d'une fenêtre popup, me redirigeant la plupart du temps vers une adresse de type "http://www.windowsclick.com/go.php......." avec "Impossible d'afficher la page", ou de temps en temps, vers d'autres adresses "spam" du type "www.aicse.com" , "www.goldvipclub.com", etc. Toute navigation avec Google devient impossible.

- D'autres moteurs de recherche comme MSN ou Yahoo ne sont pas affectés par ce piratage. Par contre, un certains nombres de sites apparaissent "décharnés", comme des squelettes (il manque les éléments de mise en page), je ne sais pas vraiment comme décrire cela, mais il semble en fait qu'une "technologie" (je ne sais pas laquelle) ne s'affiche plus.

Jusque là, j'ai essayé ce que je connaissais et voici les résultats :

- Hijackthis : rien d'anormal, rien n'est décelé.
- Ad-aware : la première fois, il avait trouvé quelque chose (peut-être quelque chose d'autre de plus ancien?), j'ai supprimé les programmes en question, mais rien n'a changé, et depuis, il ne trouve plus rien pourtant.
- CWShredder : RAS
- J'ai installé Spybot et Malwarebytes mais ils sont tous deux impossibles à lancer : ils bloquent au démarrage...bizarre!

J'ai essayé des méthodes trouvées sur des sites anglais (http://www.precisesecurity.com/adware-spy/dnshj.htm et http://www.precisesecurity.com/tools-resources/threat-removal-procedure/browser-hijacker-removal-procedure/) : mais cela n'a pas marché non plus...

Je suis complètement désespérée... Avis aux experts!!
D'avance mille fois merci

20 réponses

Réponse 1 / 20
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
19 janv. 2009 à 15:56
Salut,

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
0
Réponse 2 / 20
ratatouille74
19 janv. 2009 à 16:18
J'ai un petit problème, c'est que lorsque je clique sur "Exécuter", rien ne se passe. D'où cela peut-il venir?
0
Réponse 3 / 20
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
19 janv. 2009 à 16:21
Renomme-le en "ratatouille" puis essaie de l'exécuter.
0
Réponse 4 / 20
Ratatouille74
19 janv. 2009 à 17:17
Hello,
Il me semble que dorénavant, tout marche... est-ce que c'est terminé? Voici le log :

ComboFix 09-01-18.05 - ratatouille 2009-01-19 16:56:39.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2047.1462 [GMT 1:00]
Lancé depuis: c:\documents and settings\ratatouille\Bureau\ratatouille.exe
AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Outdated)
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Menu Démarrer\Programmes\Internet Explorer.lnk
c:\windows\system32\drivers\UACxenklvhy.sys
c:\windows\system32\UACkldwxstu.dat
c:\windows\system32\UAClqjkdsko.dll
c:\windows\system32\UACoawuilpl.log
c:\windows\system32\UACouhreiyl.dll
c:\windows\system32\UACrnvtrnko.dll
c:\windows\system32\UACslvftota.log
c:\windows\system32\UACxejtmovt.log
c:\windows\system32\UACyoeudpmv.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys


((((((((((((((((((((((((((((( Fichiers créés du 2008-12-19 au 2009-01-19 ))))))))))))))))))))))))))))))))))))
.

2009-01-19 17:10 . 2009-01-19 17:10 53,248 --a------ c:\temp\catchme.dll
2009-01-19 14:57 . 2009-01-19 14:57 <REP> d-------- c:\temp\is-U64KC.tmp
2009-01-19 14:54 . 2009-01-19 14:54 <REP> d-------- c:\temp\is-1DQCS.tmp
2009-01-19 14:53 . 2009-01-19 14:53 <REP> d-------- c:\temp\is-151NQ.tmp
2009-01-19 13:34 . 2009-01-19 15:31 <REP> d-------- c:\program files\Spybot - Search & Destroy
2009-01-19 13:34 . 2009-01-19 14:56 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-19 13:31 . 2009-01-19 13:31 <REP> d-------- c:\temp\is-PEOG3.tmp
2009-01-19 12:39 . 2009-01-19 12:39 <REP> d-------- c:\program files\Lavasoft
2009-01-19 12:39 . 2009-01-19 12:39 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard
2009-01-19 12:39 . 2009-01-19 12:39 <REP> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2009-01-19 12:31 . 2009-01-19 12:31 <REP> d-------- c:\program files\Trend Micro
2009-01-08 19:25 . 2008-04-17 13:12 107,368 --a------ c:\windows\system32\GEARAspi.dll
2009-01-08 19:25 . 2008-04-17 13:12 15,464 --a------ c:\windows\system32\drivers\GEARAspiWDM.sys
2009-01-08 19:24 . 2009-01-08 19:25 <REP> d-------- c:\program files\iTunes
2009-01-08 19:24 . 2009-01-08 19:24 <REP> d-------- c:\program files\iPod
2009-01-08 19:24 . 2009-01-08 19:25 <REP> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2009-01-08 19:23 . 2009-01-08 19:23 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple Computer
2009-01-08 19:21 . 2009-01-08 19:21 <REP> d-------- c:\program files\Fichiers communs\Apple
2009-01-08 19:21 . 2009-01-08 19:22 <REP> d-------- c:\program files\Apple Software Update
2009-01-08 19:21 . 2008-11-07 14:23 32,000 --a------ c:\windows\system32\drivers\usbaapl.sys
2009-01-06 13:28 . 2009-01-06 13:28 54,156 --ah----- c:\windows\QTFont.qfn
2009-01-06 13:28 . 2009-01-06 13:28 1,409 --a------ c:\windows\QTFont.for
2008-12-20 01:01 . 2008-12-20 01:01 <REP> d-------- c:\temp\_PA49
2008-12-20 00:27 . 2001-08-23 17:47 5,632 --a------ c:\windows\system32\ptpusb.dll
2008-12-20 00:26 . 2004-08-19 16:09 159,232 --a------ c:\windows\system32\ptpusd.dll
2008-12-19 10:49 . 2008-12-19 10:49 <REP> d-------- c:\temp\_PA14

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-19 16:09 --------- d-----w c:\program files\Symantec AntiVirus
2009-01-14 14:53 --------- d-----w c:\documents and settings\ratatouille\Application Data\FileZilla
2009-01-08 19:07 --------- d-----w c:\documents and settings\ratatouille\Application Data\Apple Computer
2009-01-08 18:24 --------- d-----w c:\program files\QuickTime
2009-01-08 18:24 --------- d-----w c:\program files\Bonjour
2008-12-16 15:12 --------- d-----w c:\documents and settings\ratatouille\Application Data\dvdcss
2008-12-15 08:18 --------- d-----w c:\documents and settings\ratatouille\Application Data\HP
2008-12-07 21:37 --------- d-----w c:\program files\HP
2008-12-07 21:37 --------- d-----w c:\documents and settings\All Users\Application Data\HP
2008-12-07 21:34 --------- d-----w c:\program files\Fichiers communs\Sonic Shared
2008-12-07 21:34 --------- d-----w c:\program files\Fichiers communs\HP
2008-12-07 21:34 --------- d-----w c:\documents and settings\All Users\Application Data\Sonic
2008-12-07 21:30 --------- d-----w c:\program files\Hewlett-Packard
2008-12-07 21:29 --------- d-----w c:\program files\Fichiers communs\Hewlett-Packard
2008-11-19 13:46 --------- d-----w c:\program files\SmartFTP Client
2008-11-19 13:45 --------- d-----w c:\program files\SmartFTP Client 3.0 Setup Files
2008-07-17 17:06 36,868 ----a-w c:\program files\uninst-3DStroke.exe
2007-09-16 07:06 66,408 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2007-09-16 07:06 54,112 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2007-09-16 07:06 34,688 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2007-09-16 07:06 46,456 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2007-09-16 07:07 171,880 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2006-03-02 15360]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]
"OpAgent"="c:\program files\ScanSoft\OmniPage15.0\OpAgent.exe" [2005-08-11 155648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-08-31 7581696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-08-31 86016]
"ACU"="c:\program files\Atheros\ACU.exe" [2005-01-31 253952]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2007-08-31 53248]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 623992]
"Adobe_ID0EYTHM"="c:\progra~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 1884160]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-09-24 185632]
"TDxVGAUTIL"="c:\windows\system32\TDxVGAUTIL.EXE" [2005-12-19 65536]
"NGTray"="c:\program files\Symantec\Ghost\ngtray.exe" [2007-05-02 181896]
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-07-19 52896]
"vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2006-11-14 125536]
"Samsung Common SM"="c:\windows\Samsung\ComSMMgr\ssmmgr.exe" [2005-07-03 372736]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 155648]
"Opware15"="c:\program files\ScanSoft\OmniPage15.0\Opware15.exe" [2005-08-11 69632]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 221184]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"PDF3 Registry Controller"="c:\program files\ScanSoft\OmniPage15.0\PDFConverter3\\RegistryController.exe" [2005-04-26 106496]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"RTHDCPL"="RTHDCPL.EXE" [2007-08-20 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-01-17 618557]
Cisco Systems VPN Client.lnk - c:\program files\Cisco Systems\VPN Client\vpngui.exe [2008-02-01 1544984]
D‚marrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 73728]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 288472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvh1"= smdvCodec.dll
"VIDC.dv25"= smdvCodec.dll
"VIDC.dv50"= smdvCodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Program Files\\Symantec\\Ghost\\ngctw32.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\SmartFTP Client\\SmartFTP.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2008-01-25 109616]
R3 TdxMrMINI;TdxMrMINI;c:\windows\system32\drivers\TdxMrMini.sys [2007-09-24 233984]
R3 TdxVGAMINI;TdxVGAMINI;c:\windows\system32\drivers\TdxVgaMini.sys [2007-09-24 234496]
R4 NGCLIENT;Agent client Symantec Ghost;c:\program files\Symantec\Ghost\ngctw32.exe [2007-05-02 636552]
R4 SavRoam;SAVRoam;c:\program files\Symantec AntiVirus\SavRoam.exe [2006-11-14 119904]
S3 ADM851X;ADM851X USB To Fast Ethernet Adapter;c:\windows\system32\drivers\ADM851X.sys [2007-09-24 27135]
S3 TdxVGAUSB;TARGUS USB2.0 VGA DOCK DEVICE(USB);c:\windows\system32\drivers\TdxVGAUSB.sys [2007-09-24 22528]
S4 Apache2.2;Apache2.2;c:\xampplite\apache\bin\apache.exe [2008-11-27 17408]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{282ce108-677d-11dc-92d6-0016d3545b3f}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe
.
Contenu du dossier 'Tâches planifiées'

2009-01-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-BroadcomWireless - c:\program files\Broadcom\Wireless\Utility\WlanUtil.exe
HKLM-Run-OpScheduler - c:\program files\ScanSoft\OmniPage15.0\OpScheduler.exe
HKLM-Run-CmUsbSound - cmcnfgu.cpl
ShellExecuteHooks-{5ECD31F0-F91A-11d4-B3CA-00D0B70A09D2} - WDShell


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: Ajouter au fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Open with Scansoft PDF Converter 3.0 - c:\program files\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /100
FF - ProfilePath - c:\documents and settings\ratatouille\Application Data\Mozilla\Firefox\Profiles\yg4vwwyx.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-19 17:10:05
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]
"ImagePath"="\"c:\program files\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"c:\program files\MySQL\MySQL Server 5.0\my.ini\" MySQL"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]
"Version"=hex:63,8d,e6,0f,36,8f,cc,e8,4c,ce,d0,b6,0f,76,68,ed,07,5f,ca,86,19,
b2,cf,25,6f,05,ae,2a,46,90,cc,15,e0,c3,e4,f5,54,60,62,07,08,fb,6d,1e,d2,36,\

[HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
"Version"=hex:63,8d,e6,0f,36,8f,cc,e8,4c,ce,d0,b6,0f,76,68,ed,07,5f,ca,86,19,
b2,cf,25,6f,05,ae,2a,46,90,cc,15,e0,c3,e4,f5,54,60,62,07,08,fb,6d,1e,d2,36,\
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\windows\system32\acs.exe
c:\progra~1\EASYPH~1\apache\apache.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\drivers\CDAC11BA.EXE
c:\program files\Cisco Systems\VPN Client\cvpnd.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
c:\progra~1\EASYPH~1\apache\apache.exe
c:\program files\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\program files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
c:\temp\RtkBtMnt.exe
c:\program files\HP\Digital Imaging\bin\hpqimzone.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\HP\Digital Imaging\bin\hpqste08.exe
c:\program files\Java\jre1.6.0_02\bin\jucheck.exe
.
**************************************************************************
.
Heure de fin: 2009-01-19 17:14:06 - La machine a redémarré [ratatouille]
ComboFix-quarantined-files.txt 2009-01-19 16:14:03

Avant-CF: 2,842,804,224 octets libres
Après-CF: 8,156,237,824 octets libres

245
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 20
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
19 janv. 2009 à 17:22
--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau.

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> Choisis l'option 1 (Nettoyage).

--> Le PC va redémarrer.

--> Après redémarrage, poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)
0
Réponse 6 / 20
Ratatouille74
19 janv. 2009 à 17:44
-------------- UsbFix V2.414.3 ---------------

* User : ratatouille - MASTER-03
* Outils mis a jours le 18/01/2009 par Chiquitine29 et Chimay8
* Recherche effectuée à 17:41:41 le 19/01/2009
* Windows Xp - Internet Explorer 7.0.5730.11


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\xampplite\apache\bin\apache.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\xampplite\apache\bin\apache.exe
C:\Program Files\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\Program Files\Symantec\Ghost\ngctw32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

D: - Lecteur fixe

F: - Lecteur fixe


--------------- [ Lecteur C ] ----------------

C: - Lecteur fixe


+- Listing des fichiers présents :

[30/08/2007 14:27][--a------] C:\AUTOEXEC.BAT
[19/01/2009 17:14][--a------] C:\ComboFix.txt
[19/01/2009 17:14][--a------] C:\DVDPATH.TXT
[19/01/2009 17:14][--a------] C:\UsbFix.txt
[30/08/2007 14:27][--a------] C:\CONFIG.SYS
[30/08/2007 14:27][--a------] C:\hiberfil.sys
[30/08/2007 14:27][--a------] C:\IO.SYS
[30/08/2007 14:27][--a------] C:\MSDOS.SYS
[30/08/2007 14:27][--a------] C:\pagefile.sys

--------------- [ Lecteur D ] ----------------

D: - Lecteur fixe


+- Listing des fichiers présents :

[02/03/2006 13:00][-rahs----] D:\NTDETECT.COM
[19/01/2009 16:38][-rahs----] D:\boot.ini

--------------- [ Lecteur F ] ----------------

F: - Lecteur fixe


+- Listing des fichiers présents :

[19/01/2009 12:25][--a------] F:\setupfre(2).exe
[19/01/2009 12:25][--a------] F:\cço.exe
[19/01/2009 12:25][--a------] F:\mbam-setup.exe
[19/01/2009 12:25][--a------] F:\ad-aware_ad-aware_2008_7.1.0.11_anglais_12797.exe
[19/01/2009 12:25][--a------] F:\Firefox Setup 3.0.5.exe
[19/01/2009 12:25][--a------] F:\IE7-WindowsXP-x86-fra.exe
[19/01/2009 12:25][--a------] F:\malwarebytes-anti-malware_malwarebytes_anti-malware_1.33_francais_215092.exe
[19/01/2009 12:25][--a------] F:\spybot-search-destroy_spybot_-_search_destroy_1.6.0.30_francais_10965.exe
[19/01/2009 12:25][--a------] F:\SUPERAntiSpyware.exe
[19/01/2009 12:25][--a------] F:\cwshredder.exe
[19/01/2009 12:25][--a------] F:\ComboFix.exe
[19/01/2009 17:15][--a------] F:\log.txt

--------------- [ Registre / Startup ] ----------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
OpAgent="C:\Program Files\ScanSoft\OmniPage15.0\OpAgent.exe" /agent
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AdobeUpdater=
<NO NAME>=

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
ACU="C:\Program Files\Atheros\ACU.exe" -nogui
AzMixerSel=C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
RTHDCPL=RTHDCPL.EXE
Acrobat Assistant 8.0="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
Adobe_ID0EYTHM=C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
SunJavaUpdateSched="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
TDxVGAUTIL=C:\WINDOWS\system32\TDxVGAUTIL.EXE
NGTray="C:\Program Files\Symantec\Ghost\ngtray.exe"
ccApp="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
vptray=C:\PROGRA~1\SYMANT~1\VPTray.exe
Samsung Common SM="C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
SSBkgdUpdate="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
Opware15="C:\Program Files\ScanSoft\OmniPage15.0\Opware15.exe"
ISUSPM Startup=C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
ISUSScheduler="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
PDF3 Registry Controller="C:\Program Files\ScanSoft\OmniPage15.0\PDFConverter3\\RegistryController.exe"
HP Software Update=C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"

--------------- [ Registre / Mountpoint2 ] ----------------

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{282ce108-677d-11dc-92d6-0016d3545b3f}\Shell\AutoRun\command

--------------- [ Nettoyage des disques ] ----------------


--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[30/08/2007 14:27][--a------] C:\AUTOEXEC.BAT
[02/03/2006 13:00][-rahs----] D:\NTDETECT.COM
[19/01/2009 16:38][-rahs----] D:\boot.ini
[19/01/2009 12:25][--a------] F:\setupfre(2).exe
[19/01/2009 12:25][--a------] F:\cço.exe
[19/01/2009 12:25][--a------] F:\mbam-setup.exe
[19/01/2009 12:25][--a------] F:\ad-aware_ad-aware_2008_7.1.0.11_anglais_12797.exe
[19/01/2009 12:25][--a------] F:\Firefox Setup 3.0.5.exe
[19/01/2009 12:25][--a------] F:\IE7-WindowsXP-x86-fra.exe
[19/01/2009 12:25][--a------] F:\malwarebytes-anti-malware_malwarebytes_anti-malware_1.33_francais_215092.exe
[19/01/2009 12:25][--a------] F:\spybot-search-destroy_spybot_-_search_destroy_1.6.0.30_francais_10965.exe
[19/01/2009 12:25][--a------] F:\SUPERAntiSpyware.exe
[19/01/2009 12:25][--a------] F:\cwshredder.exe
[19/01/2009 12:25][--a------] F:\ComboFix.exe

--------------- [ Vaccination ] ----------------

C:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
D:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
F:\autorun.inf -> Dossier autorun.inf crée par UsbFix !

--------------- ! Fin du rapport ! ----------------
0
Réponse 7 / 20
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
19 janv. 2009 à 17:46
F:\cço.exe

---> C'est quoi ?
0
Réponse 8 / 20
Ratatouille74
19 janv. 2009 à 17:47
Ah oui, c'est hijackthis renommé!! désolé!! C'est tout bon alors?
0
Réponse 9 / 20
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
19 janv. 2009 à 17:52
---> Désinstalle UsbFix.

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
0
Réponse 10 / 20
Ratatouille74
19 janv. 2009 à 18:04
Il n'y a rien à signaler.
0
Réponse 11 / 20
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
19 janv. 2009 à 18:05
---> Télécharge JavaRa.zip (de Paul 'Prm753' McLain et Fred de Vries) sur ton Bureau.
* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.
0
Réponse 12 / 20
Ratatouille74
19 janv. 2009 à 18:19
JavaRa 1.13 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Mon Jan 19 18:20:59 2009

Found and removed: C:\Program Files\Java\jre1.6.0_02

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\\C:\Program Files\Java\jre1.6.0_02\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\\C:\Program Files\Java\jre1.6.0_02\bin\

------------------------------------

Finished reporting.




Voilà...
0
Réponse 13 / 20
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
19 janv. 2009 à 18:22
---> Supprime JavaRa.

---> Menu Démarrer > Exécuter > Tape combofix /u et valide.

Tu n'as pas pas d'antivirus ?
0
Réponse 14 / 20
Ratatouille74
19 janv. 2009 à 18:24
Si, mais je l'avais désactivé pour les manips. C'est Symantec
0
Réponse 15 / 20
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
19 janv. 2009 à 18:25
Je te conseille de faire un scan en ligne :

- Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (Avec Internet Explorer).

- En bas à droite, clique sur Démarrer Online-scanner.

- Dans la nouvelle fenêtre qui s'affiche, clique sur J'accepte.

- Accepte les Contrôles ActiveX.

- Choisis Poste de travail pour le scan.

- Celui-ci terminé, sauvegarde (Choisis fichier texte) et poste le rapport.

- Pour t'aider à utiliser le scan en ligne :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

NOTE : Si tu reçois le message La licence de Kaspersky On-line Scanner est périmée, va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.
0
Réponse 16 / 20
Ratatouille74
20 janv. 2009 à 14:10
Salut Destrio,

J'ai mis le temps à te répondre, j'espère que je te retrouverai... Alors, après analyse du site indiqué, le résultat est de 0 fichiers infectés. Par contre, il ne m'a pas généré de rapport.
0
Réponse 17 / 20
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
20 janv. 2009 à 16:33
1/

---> Désinstalle HijackThis.

---> Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


2/

---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).


3/

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger :
http://www.infos-du-net.com/forum/272480-11-desactiver-activer-restauration-systeme

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
https://www.vulgarisation-informatique.com/creer-point-restauration.php


4/

Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

Comme navigateur, utilise plutôt Mozilla Firefox qu'Internet Explorer. Tu peux utiliser l'extension NoScript pour plus de sécurité.

Vérifie que les mises à jour automatiques sont bien activées (Menu Démarrer, clique droit sur Poste de travail, onglet Mises à jour automatiques).

Tu peux aussi modifier le fichier Hosts pour améliorer la sécurité de ton PC :
http://www.commentcamarche.net/faq/sujet 5993 modifier son fichier hosts
https://blog.sosordi.net/category/articles

Par rapport au P2P :
http://forum.malekal.com/ftopic3257.php

Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) :
https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf


Sois plus vigilant sur Internet ;)
0
eldivad
20 janv. 2009 à 18:26
j'ai le meme probleme .Jai fais toutes les manip et jai toujours ce probleme qui ^pourrai maioder . please
0
Réponse 18 / 20
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
21 janv. 2009 à 03:33
eldivad ---> Merci de lire ceci :
http://www.commentcamarche.net/forum/forum 7#ecrire
0
Réponse 19 / 20
Ratatouille74
21 janv. 2009 à 11:59
Salut Destrio,

Pour le rapport, voici :

C:\Combofix.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Program Files\UsbFix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !


CCCleaner a fait des choses.
Par contre, j'ai l'impression que le virus "m'attaque" à nouveau. Une fenêtre m'a demandé d'installer un programme à plusieurs reprise ce matin (je crois que c'était un rapport avec java et adobe, bizarre : je suis bête, j'ai tellement paniqué, j'ai arrêté firefox et IE direct) puis n'est pas revenue. C'est bizarre cette histoire...
J'ai pourtant une navigation très "saine", pas de sites à risque. Ce matin, j'étais en train de faire des recherches sur google quand c'est arrivé.
0
Réponse 20 / 20
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
21 janv. 2009 à 15:47
Adobe Reader, ça se peut.

Je crois que tu n'as pas fait l'option Suppression de ToolsCleaner.
0

Discussions similaires

Qu'est-ce qu'un Hijacker ?
torinojef -
Malekal_morte- -

5 réponses
PUP.Optional.Search....
ToNiOGTT -
ToNiOGTT -

13 réponses
Comment supprimer une clé de registre tenace
martines491 -
ekim55 -

5 réponses