Quel infection

eldivad -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

voilà mon problème depuis hier aprés-midi ma navigation délire.
Je m'explique:lorsque que je fais des recherche sur google dans ie7 ou firefox l'apparence de a changer caractère plus manque parfois images etc .. lorsque je je click sur un resultat une page "http://www.windowsclick.com/go.php......." apparait avec "Impossible d'afficher la page", ou de temps en temps, vers d'autres adresses "spam" du type "www.aicse.com" , "www.goldvipclub.com", etc. Toute navigation avec Google devient impossible.

Jai utilisé spybot ad aware et mon antis-virus trouve rien !

jai fais une analyse hijacker voila les resultat :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:22:21, on 21/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Program Files\Sophos\Remote Management System\ManagementAgentNT.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
C:\Program Files\Sophos\Remote Management System\RouterNT.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Sophos\AutoUpdate\ALMon.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\WINDOWS\system32\rsvp.exe
C:\Program Files\OCS Inventory Agent\ocsservice.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Sophos\Sophos Anti-Virus\SavProgress.exe
C:\Documents and Settings\dle\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Fiddler - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "C:\Program Files\Fiddler\Fiddler.exe" (file missing)
O9 - Extra 'Tools' menuitem: Fiddler - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "C:\Program Files\Fiddler\Fiddler.exe" (file missing)
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://www.pandasecurity.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = nurun.com
O17 - HKLM\Software\..\Telephony: DomainName = nurun.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = nurun.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = nurun.com
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe Version Cue CS3 {fr_FR} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: OCS INVENTORY SERVICE (OCS INVENTORY) - http://ocsinventory.sourceforge.net - C:\Program Files\OCS Inventory Agent\ocsservice.exe
O23 - Service: Créateur de rapports d'état Sophos Anti-Virus (SAVAdminService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos Agent - Sophos Plc - C:\Program Files\Sophos\Remote Management System\ManagementAgentNT.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Sophos Message Router - Sophos Plc - C:\Program Files\Sophos\Remote Management System\RouterNT.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe

--
End of file - 9710 bytes

Si quelqu'un peut m'aider.

merci d'avance
Configuration: Windows XP
Firefox 3.0.5

8 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,

    scan avec
    MalwareByte's Anti-Malware après mise a jour, en mode normal et vire ce qui est trouvé et colle le rapport

    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    0
    1. eldivad
       
      jai installer MalwareByte's Anti-Malware après mise a jour .
      A son lancement rien de se passe le soft ne veut pas se lancer ??
      0
  2. eldivad
     
    j'ai installer MalwareByte's Anti-Malware après mise a jour mais le pb c'est qui ne veut pas se lancer ??? pourquoi ???
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu ne peux pas scanner avec?

    si c'est le cas fais avec super antispyware et colle le rapport:
    https://www.malekal.com/?s=SUPERAntiSpyware
    0
    1. eldivad
       
      super antispyware ne veut pas s'installer . je ne sais pas quoi faire :-(
      0
  4. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    0
    1. eldivad
       
      rien ne se passe quand je le lance !!!
      0
    2. eldivad
       
      jai l'impression que plus rien ne veut s'installer jai éssayé dinstaller google chrome mais ca me met un erreur
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    as tu essayé de restaurer ton ordi avant le souci comme ceci?: si c'est pas le cas fais le puis fais un scan en ligne

    http://www.infoprat.net/astuces/windows2k_xp/astuces/divers_004.php
    0
    1. eldivad
       
      voila le rapport avec kaspersky online

      Thursday, January 22, 2009 4:32:05 PM
      Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
      Kaspersky On-line Scanner version : 5.0.84.2
      Dernière mise à jour de la base antivirus Kaspersky : 22/01/2009
      Enregistrements dans la base antivirus Kaspersky : 1496900
      Paramètres d'analyse
      Analyser avec la base antivirus suivante standard
      Analyser les archives vrai
      Analyser les bases de messagerie vrai
      Cible de l'analyse Zones critiques
      C:\WINDOWS
      C:\DOCUME~1\dle\LOCALS~1\Temp\
      Statistiques de l'analyse
      Total d'objets analysés 20306
      Nombre de virus trouvés 1
      Nombre d'objets infectés 1 / 0
      Nombre d'objets suspects 0
      Durée de l'analyse 00:16:53

      Nom de l'objet infecté Nom du virus Dernière action
      C:\WINDOWS\CSC\00000001 L'objet est verrouillé ignoré
      C:\WINDOWS\Debug\Netlogon.log L'objet est verrouillé ignoré
      C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
      C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
      C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
      C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
      C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
      C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
      C:\WINDOWS\system32\TDSSotty.dll Infecté : Rootkit.Win32.TDSS.cig ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
      C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
      C:\WINDOWS\Temp\Perflib_Perfdata_138.dat L'objet est verrouillé ignoré
      C:\WINDOWS\Temp\Perflib_Perfdata_498.dat L'objet est verrouillé ignoré
      C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
      C:\DOCUME~1\dle\LOCALS~1\Temp\alm.log L'objet est verrouillé ignoré
      C:\DOCUME~1\dle\LOCALS~1\Temp\amt.log L'objet est verrouillé ignoré
      C:\DOCUME~1\dle\LOCALS~1\Temp\etilqs_5L0xGTuxSfcBpmR2n67e L'objet est verrouillé ignoré
      C:\DOCUME~1\dle\LOCALS~1\Temp\ExchangePerflog_8484fa3189855449cfcccd43.dat L'objet est verrouillé ignoré
      C:\DOCUME~1\dle\LOCALS~1\Temp\~DF2270.tmp L'objet est verrouillé ignoré
      C:\DOCUME~1\dle\LOCALS~1\Temp\~DF45E.tmp L'objet est verrouillé ignoré
      C:\DOCUME~1\dle\LOCALS~1\Temp\~DF860E.tmp L'objet est verrouillé ignoré
      C:\DOCUME~1\dle\LOCALS~1\Temp\~DF8A52.tmp L'objet est verrouillé ignoré
      C:\DOCUME~1\dle\LOCALS~1\Temp\~DFD621.tmp L'objet est verrouillé ignoré
      C:\DOCUME~1\dle\LOCALS~1\Temp\~DFD648.tmp L'objet est verrouillé ignoré
      Analyse terminée.
      0
  7. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    refais combofix avec cette version renommée en killfix:

    http://sd-1.archive-host.com/membres/up/193094576412487685/Killfix.exe
    0
    1. eldivad
       
      voila le rapport

      ComboFix 09-01-21.02 - david.le 2009-01-22 16:54:31.1 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1014.667 [GMT 1:00]
      Lancé depuis: c:\documents and settings\dle\Bureau\Killfix.exe
      AV: Sophos Anti-Virus *On-access scanning enabled* (Outdated)
      * Resident AV is active

      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
      c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
      c:\documents and settings\All Users\Application Data\vlc-0.9.4-win32.exe
      c:\windows\system32\drivers\UACntholiro.sys
      c:\windows\system32\mdm.exe
      c:\windows\system32\UACermsfovk.dll
      c:\windows\system32\UACfaivbloe.dat
      c:\windows\system32\UACfopxgipj.dll
      c:\windows\system32\UACltitqpru.log
      c:\windows\system32\UACpfwabwuh.log
      c:\windows\system32\UACpywurxqk.dll
      c:\windows\system32\UACroxoekkj.log
      c:\windows\system32\UACxyxuwbav.dll

      ----- BITS: Il y a peut-être des sites infectés -----


      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Service_UACd.sys


      ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-22 au 2009-01-22 ))))))))))))))))))))))))))))))))))))
      .

      2009-01-22 14:31 . 2009-01-22 14:31 <REP> d-------- c:\windows\system32\Kaspersky Lab
      2009-01-21 14:49 . 2009-01-21 14:48 410,984 --a------ c:\windows\system32\deploytk.dll
      2009-01-21 12:05 . 2009-01-21 12:05 <REP> d-------- c:\program files\CCleaner
      2009-01-21 11:36 . 2009-01-21 11:36 <REP> d--h----- c:\windows\PIF
      2009-01-21 10:38 . 2009-01-21 10:39 <REP> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
      2009-01-21 10:36 . 2009-01-22 10:01 <REP> d-------- c:\windows\SxsCaPendDel
      2009-01-21 10:22 . 2009-01-21 10:22 <REP> d-------- c:\documents and settings\All Users\Application Data\SITEguard
      2009-01-21 10:21 . 2009-01-21 10:21 <REP> d-------- c:\program files\Fichiers communs\iS3
      2009-01-21 10:21 . 2009-01-21 10:36 <REP> d-------- c:\documents and settings\All Users\Application Data\STOPzilla!
      2009-01-20 18:15 . 2009-01-20 18:15 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Subversion
      2009-01-20 18:13 . 2006-09-19 18:02 <REP> d--h----- c:\documents and settings\ronald.miclat\Voisinage réseau
      2009-01-20 18:13 . 2006-09-19 18:02 <REP> d--h----- c:\documents and settings\ronald.miclat\Voisinage d'impression
      2009-01-20 18:13 . 2006-09-19 16:08 <REP> d--h----- c:\documents and settings\ronald.miclat\Modèles
      2009-01-20 18:13 . 2009-01-20 18:14 <REP> dr------- c:\documents and settings\ronald.miclat\Mes documents
      2009-01-20 18:13 . 2006-09-19 18:02 <REP> dr------- c:\documents and settings\ronald.miclat\Menu Démarrer
      2009-01-20 18:13 . 2009-01-20 18:14 <REP> dr------- c:\documents and settings\ronald.miclat\Favoris
      2009-01-20 18:13 . 2006-09-19 18:02 <REP> d-------- c:\documents and settings\ronald.miclat\Bureau
      2009-01-20 18:13 . 2009-01-20 18:14 <REP> d-------- c:\documents and settings\ronald.miclat
      2009-01-20 17:10 . 2009-01-20 17:28 <REP> d-------- c:\program files\Spybot - Search & Destroy
      2009-01-20 17:10 . 2009-01-20 17:28 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
      2009-01-20 16:46 . 2009-01-20 16:46 <REP> d-------- c:\windows\Downloaded Installations
      2009-01-20 15:47 . 2009-01-20 15:52 <REP> d-------- c:\windows\BDOSCAN8
      2009-01-15 18:58 . 2009-01-15 18:58 118 --a------ c:\windows\system32\MRT.INI
      2009-01-12 16:13 . 2009-01-13 12:40 94,546 --a------ c:\windows\ATMREG.ATM
      2009-01-12 16:12 . 2009-01-12 16:12 <REP> d-------- c:\temp\adobe
      2009-01-12 16:12 . 2009-01-12 16:12 <REP> d-------- C:\temp
      2009-01-12 16:12 . 2009-01-13 12:40 <REP> d-------- C:\PSFONTS
      2009-01-12 16:12 . 2009-01-12 16:12 <REP> d-------- c:\program files\Adobe Type Manager
      2009-01-12 16:12 . 2009-01-12 16:12 <REP> d-------- c:\documents and settings\dle\WINDOWS
      2009-01-12 16:12 . 2000-05-24 15:02 298,496 --a------ c:\windows\unin040c.exe
      2009-01-12 16:12 . 2000-05-24 15:20 15,360 --a------ c:\windows\system32\ATMsrvc.exe
      2009-01-12 09:55 . 2009-01-12 09:55 244 --ah----- C:\sqmnoopt07.sqm
      2009-01-12 09:55 . 2009-01-12 09:55 232 --ah----- C:\sqmdata07.sqm
      2009-01-09 10:41 . 2009-01-09 10:41 244 --ah----- C:\sqmnoopt06.sqm
      2009-01-09 10:41 . 2009-01-09 10:41 232 --ah----- C:\sqmdata06.sqm
      2009-01-08 11:57 . 2009-01-08 11:57 244 --ah----- C:\sqmnoopt05.sqm
      2009-01-08 11:57 . 2009-01-08 11:57 232 --ah----- C:\sqmdata05.sqm
      2008-12-22 11:25 . 2008-12-22 11:25 <REP> d-------- c:\program files\SourceTec
      2008-12-22 11:25 . 2008-12-22 11:25 <REP> d-------- c:\program files\Fichiers communs\SourceTec
      2008-12-22 11:25 . 2009-01-14 14:18 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP
      2008-12-22 11:25 . 2008-12-22 11:25 23 --a------ c:\windows\SWFDecompiler.INI

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-01-22 15:54 --------- d-----w c:\program files\OCS Inventory Agent
      2009-01-21 13:49 --------- d-----w c:\program files\Java
      2009-01-20 10:30 --------- d-----w c:\documents and settings\dle\Application Data\FileZilla
      2009-01-15 14:16 --------- d-----w c:\documents and settings\dle\Application Data\XnView
      2009-01-12 09:48 --------- d-----w c:\program files\FlashDevelop
      2008-12-11 11:57 333,184 ----a-w c:\windows\system32\drivers\srv.sys
      2008-10-23 13:00 283,648 ----a-w c:\windows\system32\gdi32.dll
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]
      @="{30351346-7B7D-4FCC-81B4-1E394CA267EB}"
      [HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]
      2006-11-11 14:46 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]
      @="{30351347-7B7D-4FCC-81B4-1E394CA267EB}"
      [HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]
      2006-11-11 14:46 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]
      @="{30351348-7B7D-4FCC-81B4-1E394CA267EB}"
      [HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]
      2006-11-11 14:46 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]
      @="{3035134B-7B7D-4FCC-81B4-1E394CA267EB}"
      [HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]
      2006-11-11 14:46 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]
      @="{3035134C-7B7D-4FCC-81B4-1E394CA267EB}"
      [HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]
      2006-11-11 14:46 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]
      @="{3035134D-7B7D-4FCC-81B4-1E394CA267EB}"
      [HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]
      2006-11-11 14:46 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]
      @="{3035134E-7B7D-4FCC-81B4-1E394CA267EB}"
      [HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]
      2006-11-11 14:46 536576 --a------ c:\program files\TortoiseSVN\bin\tortoisesvn.dll

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]
      "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2004-10-14 1404928]
      "igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
      "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
      "igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
      "AdaptecDirectCD"="c:\program files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" [2002-12-17 684032]
      "Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]
      "Adobe_ID0EYTHM"="c:\progra~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 1884160]
      "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-21 136600]
      "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

      c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
      Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-22 734872]
      AutoUpdate Monitor.lnk - c:\program files\Sophos\AutoUpdate\ALMon.exe [2007-08-02 245760]
      Lancement rapide d'Adobe Acrobat.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2008-09-08 295606]
      Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3359430829-1281131303-1761071146-15306\Scripts\Logon\[u]0/u\[u]0/u]
      "Script"=lecteur.bat

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3359430829-1281131303-1761071146-15306\Scripts\Logon\[u]0/u\1]
      "Script"=firewall.bat

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3359430829-1281131303-1761071146-15306\Scripts\Logon\[u]0/u\2]
      "Script"=ocspackage.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-363562169-1166810599-3813240902-4219\Scripts\Logon\[u]0/u\[u]0/u]
      "Script"=lecteur.bat

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-363562169-1166810599-3813240902-4219\Scripts\Logon\1\[u]0/u]
      "Script"=ocspackage.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-363562169-1166810599-3813240902-4219\Scripts\Logon\1\1]
      "Script"=firewall.bat

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-363562169-1166810599-3813240902-4219\Scripts\Logon\1\2]
      "Script"=lecteur.bat

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
      @="service"

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EFI Job Monitor]
      --a------ 2004-08-03 18:53 2510848 c:\windows\system32\spool\drivers\w32x86\3\efjm.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "AntiVirusOverride"=dword:00000001
      "FirewallOverride"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

      R1 SAVOnAccessControl;SAVOnAccessControl;c:\windows\system32\drivers\savonaccesscontrol.sys [2008-09-08 101120]
      R1 SAVOnAccessFilter;SAVOnAccessFilter;c:\windows\system32\drivers\savonaccessfilter.sys [2008-09-08 33408]
      R4 OCS INVENTORY;OCS INVENTORY SERVICE;c:\program files\OCS Inventory Agent\OcsService.exe [2007-02-27 61440]
      R4 SAVAdminService;Créateur de rapports d'état Sophos Anti-Virus;c:\program files\Sophos\Sophos Anti-Virus\SAVAdminService.exe [2008-09-08 69632]
      R4 SAVService;Sophos Anti-Virus;c:\program files\Sophos\Sophos Anti-Virus\SavService.exe [2008-09-08 98304]

      --- Autres Services/Pilotes en mémoire ---

      *NewlyCreated* - OCS_INVENTORY
      .
      Contenu du dossier 'Tâches planifiées'

      2008-12-11 c:\windows\Tasks\AppleSoftwareUpdate.job
      - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

      2008-12-14 c:\windows\Tasks\dimanche.job
      - c:\program files\Sophos\Sophos Anti-Virus\BackgroundScanClient.exe [2008-09-08 10:38]

      2008-12-14 c:\windows\Tasks\Scan jour 00h.job
      - c:\program files\Sophos\Sophos Anti-Virus\BackgroundScanClient.exe [2008-09-08 10:38]
      .
      .
      ------- Examen supplémentaire -------
      .
      DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
      FF - ProfilePath - c:\documents and settings\dle\Application Data\Mozilla\Firefox\Profiles\qvz1a138.default\
      FF - prefs.js: browser.startup.homepage - hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
      FF - component: c:\documents and settings\dle\Application Data\Mozilla\Firefox\Profiles\qvz1a138.default\extensions\{3b56bcc7-54e5-44a2-9b44-66c3ef58c13e}\components\nstidy.dll
      FF - component: c:\documents and settings\dle\Application Data\Mozilla\Firefox\Profiles\qvz1a138.default\extensions\{6AC85730-7D0F-4de0-B3FA-21142DD85326}\platform\WINNT\components\ColorZilla.dll
      .

      **************************************************************************

      catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-01-22 16:58:31
      Windows 5.1.2600 Service Pack 2 NTFS

      Recherche de processus cachés ...

      c:\windows\explorer.exe [1980] 0x8556F020

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************

      [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Sophos Message Router]
      "ImagePath"="\"c:\program files\Sophos\Remote Management System\RouterNT.exe\" -service -name Router -ORBListenEndpoints iiop://:8193/ssl_port=8194"
      .
      --------------------- CLES DE REGISTRE BLOQUEES ---------------------

      [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•Ñw*]
      "C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'lsass.exe'(776)
      c:\program files\Bonjour\mdnsNSP.dll
      .
      Heure de fin: 2009-01-22 17:00:45
      ComboFix-quarantined-files.txt 2009-01-22 16:00:43

      Avant-CF: 10,730,504,192 octets libres
      Après-CF: 10,916,126,720 octets libres

      WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

      229 --- E O F --- 2009-01-15 17:59:34


      mais je pense que ca sait retablie en tous je te remerci de ton aides
      0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    télécharge OTMoveIt
    http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste instruction for items to be moved.
    (attention bien mettre :files)

    :processes
    explorer.exe
    :services
    TDSSotty
    tdssservers
    :files
    C:\WINDOWS\system32\TDSSotty.dll
    :commands
    [purity]
    [emptytemp]
    [start explorer]

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
    0