Sujet Précédent Sujet Suivant

Spyware 2search??? liens googles modifiés ...

gu1gui Messages postés 31 Statut Membre -  
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité -
Bonjour,

Mon pc portable est "surement" infecté par un virus / spyware ...

Suite à la lecture de cette article : https://www.silicon.fr/
les symptones de mon pc sont tres ressemblant.. Lors d'une recherche mes liens de googles sont modifiés et quand je clique sur un lien, je suis dirigé sur des sites bizarres...

Après une recherche sur le forum, je suis tombé sur ce topic :
http://www.commentcamarche.net/forum/affich 9914530 problemes liens google rediriges ie6

car pareil de mon coté, impossible de lancer spybot, ad aware ne detecte rien, et plein d'autre logiciel que j'ai installé ne detecte rien...

Je précise, que c'est le pc portable de mon travail, dessus est installé le logiciel 'virus scan' et le pare feu windows est actif. De mon coté, j'ai acces à un mode administrateur, mais par contre je ne peux pas désactiver l antivirus et le parefeu.

J'ai suivi la conversation de comment ca marche, et j'ai lancé 'combofix'. Je viens vers des experts, pour vous donner le compte rendu, sur le site officiel il est indiqué :
"Nous vous conseillons fortement d'envoyer quand même votre rapport dans le sujet où vous recevez de l'aide car il reste très probablement des résidus d'infections que votre assistant doit encore analyser."

Merci d'avance pour votre aide !

Combofix.txt :

ComboFix 09-01-21.04 - w2k234ad 2009-01-23 15:11:27.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1033.18.2038.1571 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrator\Desktop\an.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\winnt\system32\drivers\TDSSpxfe.sys
c:\winnt\system32\TDSSakod.log
c:\winnt\system32\TDSSdxgp.dll
c:\winnt\system32\TDSSihys.log
c:\winnt\system32\TDSSkrxx.dll
c:\winnt\system32\TDSSmtpe.dat
c:\winnt\system32\TDSSnmxh.log
c:\winnt\system32\TDSSnpur.dll
c:\winnt\system32\TDSSoitu.dll
c:\winnt\system32\TDSSsahc.dll
c:\winnt\system32\TDSSyaqu.dll

----- BITS: Il y a peut-être des sites infectés -----

hxxp://sus-ebu
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSserv.sys
-------\Legacy_TDSSserv.sys
-------\Service_RkHit

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-23 au 2009-01-23 ))))))))))))))))))))))))))))))))))))
.

2009-01-22 10:19 . 2009-01-22 10:19 <DIR> d-------- c:\documents and settings\ZGYK6628\Application Data\Simply Super Software
2009-01-21 16:27 . 2009-01-21 16:27 <DIR> d-------- c:\documents and settings\ZGYK6628\Application Data\Thinstall
2009-01-21 16:04 . 2009-01-21 16:04 <DIR> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-21 15:53 . 2009-01-23 15:16 558 -r------- c:\winnt\swdis.bak
2009-01-21 15:46 . 2009-01-21 15:46 <DIR> d-------- c:\program files\Trend Micro
2009-01-21 15:39 . 2008-06-19 17:24 28,544 --a------ c:\winnt\system32\drivers\pavboot.sys
2009-01-21 14:53 . 2009-01-21 15:53 <DIR> d-------- c:\program files\Spybot - Search & Destroy
2009-01-21 14:41 . 2009-01-21 14:41 <DIR> d-------- c:\documents and settings\Administrator\Application Data\Notepad++
2009-01-15 17:22 . 2004-09-28 21:26 61,555 --a------ c:\winnt\system32\jpicpl32.cpl
2009-01-14 11:11 . 2009-01-14 11:14 <DIR> d-------- c:\program files\WinTask
2009-01-13 17:13 . 2009-01-13 17:13 0 --a------ c:\winnt\EQNRCMAI.INI
2009-01-13 13:35 . 2009-01-13 13:35 <DIR> d-------- c:\program files\Lavasoft
2009-01-13 13:35 . 2009-01-13 13:35 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard
2009-01-13 13:35 . 2009-01-13 13:36 <DIR> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2009-01-13 09:58 . 2008-10-22 10:07 3,630,080 --a------ c:\winnt\system32\drivers\NETw5x32.sys
2009-01-13 09:58 . 2008-10-22 10:07 2,756,608 --a------ c:\winnt\system32\NETw5r32.dll
2009-01-13 09:58 . 2008-10-22 10:07 659,456 --a------ c:\winnt\system32\NETw5c32.dll
2009-01-13 09:54 . 2009-01-13 09:54 <DIR> d-a------ c:\winnt\Driver_WIFI_Intel_12.x
2009-01-10 19:17 . 2009-01-10 19:17 <DIR> d-------- c:\program files\Panda Security
2009-01-08 20:54 . 2009-01-08 20:55 <DIR> d-------- c:\documents and settings\ZGYK6628\Application Data\Autodesk
2009-01-08 20:46 . 2009-01-08 20:49 <DIR> d-------- c:\program files\Common Files\Autodesk Shared
2009-01-08 20:46 . 2009-01-08 20:46 <DIR> d-------- c:\program files\Autodesk
2009-01-08 20:46 . 2009-01-08 20:46 <DIR> d-------- c:\documents and settings\All Users\Application Data\Autodesk
2009-01-08 20:46 . 2007-05-16 16:45 3,497,832 --a------ c:\winnt\system32\d3dx9_34.dll
2009-01-08 20:46 . 2006-11-29 13:06 3,426,072 --a------ c:\winnt\system32\d3dx9_32.dll
2009-01-08 20:46 . 2006-09-28 16:05 2,414,360 --a------ c:\winnt\system32\d3dx9_31.dll
2009-01-08 20:46 . 2007-05-16 16:45 1,124,720 --a------ c:\winnt\system32\D3DCompiler_34.dll
2009-01-08 20:46 . 2007-05-16 16:45 443,752 --a------ c:\winnt\system32\d3dx10_34.dll
2009-01-08 20:44 . 2009-01-08 20:44 <DIR> d-------- c:\program files\MSBuild
2009-01-08 20:41 . 2009-01-08 20:41 <DIR> d-------- c:\winnt\system32\XPSViewer
2009-01-08 20:40 . 2009-01-08 20:40 <DIR> d-------- c:\program files\Reference Assemblies
2009-01-08 20:39 . 2006-06-29 13:07 14,048 --------- c:\winnt\system32\spmsg2.dll
2009-01-08 11:44 . 2009-01-08 11:44 <DIR> d-------- c:\documents and settings\All Users\Application Data\FLEXnet
2009-01-08 10:27 . 2009-01-08 10:27 <DIR> d-------- c:\program files\Bonjour
2009-01-08 09:44 . 2009-01-08 09:44 <DIR> d-------- c:\program files\MagicISO
2009-01-06 13:39 . 2009-01-20 12:26 <DIR> d-------- c:\documents and settings\ZGYK6628\Application Data\U3
2008-12-25 19:09 . 2009-01-03 18:01 11 --a------ C:\trace.ini
2008-12-25 19:08 . 2008-12-25 19:08 <DIR> d-------- C:\Auralog

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-08 17:56 --------- d-----w c:\program files\Common Files\Macrovision Shared
2009-01-08 09:27 --------- d-----w c:\program files\Common Files\Adobe
2008-12-11 07:31 --------- d-----w c:\documents and settings\ZGYK6628\Application Data\Apple Computer
2008-12-11 07:28 --------- d-----w c:\program files\QuickTime Alternative
2008-12-11 07:28 --------- d-----w c:\program files\Common Files\Apple
2008-12-11 07:27 --------- d-----w c:\program files\Apple Software Update
2008-12-11 07:27 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-12-11 07:27 --------- d-----w c:\documents and settings\All Users\Application Data\Apple
2008-12-05 09:09 --------- d-----w c:\program files\backburner 2
2008-12-05 09:09 --------- d-----w c:\documents and settings\All Users\Application Data\Macrovision
2008-11-26 13:08 --------- d-----w c:\program files\VDOWNLOADER
2008-11-26 13:07 --------- d-----w c:\program files\Unlocker
2008-11-26 11:35 --------- d-----w c:\program files\Sun
2008-11-26 11:34 --------- d-----w c:\program files\Java
2008-11-26 11:21 --------- d-----w c:\program files\Common Files\InstallShield
2008-10-29 15:07 77,824 ----a-w c:\winnt\RCSERV.EXE
2008-10-29 15:02 3,202 ----a-w c:\winnt\m_var.cmd
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\winnt\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\winnt\system32\igfxtray.exe" [2007-05-16 138008]
"HotKeysCmds"="c:\winnt\system32\hkcmd.exe" [2007-05-16 162584]
"Persistence"="c:\winnt\system32\igfxpers.exe" [2007-05-16 138008]
"Dell QuickSet"="c:\program files\Dell\QuickSet\quickset.exe" [2007-07-20 1228800]
"eburoUI"="c:\winnt\system32\e-buroUI.exe" [2008-07-08 159744]
"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 98304]
"Network Associates Error Reporting Service"="c:\program files\Common Files\Network Associates\TalkBack\tbmon.exe" [2003-10-07 147514]
"QuickTime Task"="c:\program files\quicktime Alternative\QTTask.exe" [2008-09-06 413696]
"DVDLauncher"="c:\program files\CyberLink\PowerDVD\DVDLauncher.exe" [2004-04-26 53248]
"eTCertManger"="c:\winnt\system32\eTCrtMng.exe" [2006-01-25 98304]
"SwdisUsrPCN.FT-8392AA77E0B3"="c:\progra~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" [2008-10-29 20480]
"DesktopAdmin"="c:\tivoli\itm\DesktopAdmin.exe" [2006-03-28 28264]
"BEWINTERNET-EBUROSessionManager"="c:\program files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe" [2007-12-05 107248]
"Mobile"="c:\progra~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" [2005-03-02 20480]
"Communicator2005"="c:\program files\Microsoft Office Communicator\Communicator.vbs" [2006-10-04 15515]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UdaterUI.exe" [2008-01-09 136512]
"WTIndicator"="c:\program files\WinTask\Bin\SchedInd.exe" [2006-04-04 41025]
"USRPKGS"="c:\winnt\usrpkgs\launch.vbs" [2005-06-29 4927]
"Synchronization Manager"="c:\winnt\system32\mobsync.exe" [2004-08-03 143360]
"SigmatelSysTrayApp"="stsystra.exe" [2007-02-19 c:\winnt\stsystra.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 c:\winnt\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winnt\system32\CTFMON.EXE" [2004-08-03 15360]

c:\documents and settings\ZGYK6628\Start Menu\Programs\Startup\
autoexec.bat [2008-11-26 71]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"nosmconfigureprograms"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 TivoliAP

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\[u]0/u\[u]0/u]
"Script"=MenuMUI.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\1\[u]0/u]
"Script"=Launch_startup.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-854245398-789336058-682003330-800404\Scripts\Logoff\[u]0/u\[u]0/u]
"Script"=Launch_logoff.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-854245398-789336058-682003330-800404\Scripts\Logon\[u]0/u\[u]0/u]
"Script"=SelfcareGroupIN.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-854245398-789336058-682003330-800404\Scripts\Logon\[u]0/u\1]
"Script"=logon_rpm.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-854245398-789336058-682003330-800404\Scripts\Logon\1\[u]0/u]
"Script"=Launch_logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 c:\program files\Adobe\Acrobat 8.1.2\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-03 23:56 15360 c:\winnt\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PrintScreen]
--a------ 2005-01-24 10:44 5578 c:\program files\PrintScreen\pscreen.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2004-09-28 21:26 32881 c:\program files\Java\j2re1.4.2_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Synchronization Manager]
--a------ 2004-08-03 23:56 143360 c:\winnt\system32\mobsync.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\OrangeBusinessServices\\BEWEBURO\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\Tivoli\\lcf\\bin\\w32-ix86\\mrt\\lcfd.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\monitor.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\manager.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\server.exe"=
"e:\\3ds Max 2009\\3dsmax.exe"=

R0 pavboot;pavboot;c:\winnt\system32\drivers\pavboot.sys [2009-01-21 28544]
R1 NaiAvTdi1;NaiAvTdi1;c:\winnt\system32\drivers\mvstdi5x.sys [2008-01-19 59904]
R1 TGrab;Tivoli Remote Control Text Grabber;c:\winnt\system32\drivers\TGRAB.SYS [2008-01-19 8288]
R3 Eqnmirdd;Eqnmirdd;c:\winnt\system32\drivers\Eqnmirdd.sys [2008-01-19 6107]
R3 KeyEx2;Tivoli Remote Control Keyboard Filter;c:\winnt\system32\drivers\KEYEX2.SYS [2008-01-19 5837]
R3 MouEx2;Tivoli Remote Control Pointer Filter;c:\winnt\system32\drivers\MOUEX2.SYS [2008-01-19 4638]
R4 FTIM;FTIM;c:\tivoli\itm\FTIM.EXE [2008-10-29 1222295]
R4 lcfd;Tivoli Endpoint;c:\program files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe [2008-01-19 172032]
R4 mi-raysat_3dsMax2009_32;mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit;e:\3ds max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe [2008-03-10 65536]
R4 TME10RC;Tivoli Remote Control Service;c:\winnt\RCSERV.EXE [2008-01-19 77824]
R4 WTScheduler;WTScheduler;c:\program files\WinTask\Bin\SchedSrv.exe [2006-04-04 94273]
S3 NWDellModem;Dell Wireless Mobile Broadband Modem Driver;c:\winnt\system32\drivers\nwdelmdm.sys [2007-05-30 92288]
S3 NWDellPort;Dell Wireless Mobile Broadband Status Port Driver;c:\winnt\system32\drivers\nwdelser.sys [2007-05-30 92288]
S3 WPopupSvc;WPopupSvc;c:\program files\Tivoli\lcf\bin\w32-ix86\tools\wpopupsvc.exe [2008-10-29 490079]
S4 eburo;Service e-buro;c:\winnt\system32\e-buro.exe [2008-07-08 98304]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - ENTDRV51
*Deregistered* - uphcleanhlp

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Tapisrv REG_MULTI_SZ Tapisrv

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0de5a48-e081-11dc-8fee-806d6172696f}]
\Shell\AutoRun\command - e:\programs\nu2menu\nu2menu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EEBF9CA6-567B-41cd-B5F6-EF2C7FEF37B5}]
rundll32.exe advpack.dll,LaunchINFSection c:\winnt\INF\wmactedp.inf,PerUserStub
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://intranoo.francetelecom.fr/
uInternet Connection Wizard,ShellNext = hxxp://intranoo.francetelecom.fr/
uInternet Settings,ProxyServer = proxy:8080
uInternet Settings,ProxyOverride = <local>
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: com.ftgroup\one-directory
Trusted Zone: equant.com\km-repository
Trusted Zone: equant.com\km-sso
Trusted Zone: francetelecom.com\www.agence
Trusted Zone: francetelecom.fr\*.sso
Trusted Zone: francetelecom.fr\ca.maquette.ocisi
Trusted Zone: francetelecom.fr\chooser.sso
Trusted Zone: francetelecom.fr\dflp1ebe.intranet-paris
Trusted Zone: francetelecom.fr\emulations.lille
Trusted Zone: francetelecom.fr\emulations.lyon
Trusted Zone: francetelecom.fr\emulations.melun
Trusted Zone: francetelecom.fr\emulations.nanterre
Trusted Zone: francetelecom.fr\emulations.nantes
Trusted Zone: francetelecom.fr\emulations.ocisi
Trusted Zone: francetelecom.fr\emulations.si
Trusted Zone: francetelecom.fr\emulations.strasbourg
Trusted Zone: francetelecom.fr\emulations.toulouse
Trusted Zone: francetelecom.fr\gassi
Trusted Zone: francetelecom.fr\gassi.sso
Trusted Zone: francetelecom.fr\intranoo
Trusted Zone: francetelecom.fr\ipop.si
Trusted Zone: francetelecom.fr\monsi.sso
Trusted Zone: francetelecom.fr\qfsmusic-music.sso
Trusted Zone: francetelecom.fr\siroco-crm
Trusted Zone: francetelecom.fr\webdoc.sso
TCP: {9FD804E3-E029-47E2-85EF-48A6D58C8E55} = 193.50.159.88
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-23 15:16:02
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(564)
c:\winnt\system32\prm_gina.dll
c:\winnt\system32\MSVCR71.dll

- - - - - - - > 'lsass.exe'(620)
c:\winnt\system32\TivoliAP.dll
c:\winnt\system32\EntApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\winnt\system32\scardsvr.exe
c:\program files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
c:\winnt\system32\eTSrv.exe
c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\[u]0/u\FTRTSVC.exe
c:\program files\Network Associates\Common Framework\FrameworkService.exe
c:\program files\Network Associates\VirusScan\mcshield.exe
c:\program files\Network Associates\VirusScan\vstskmgr.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\progra~1\NETWOR~1\COMMON~1\naPrdMgr.exe
c:\program files\Dell\QuickSet\NicConfigSvc.exe
c:\program files\SigmaTel\C-Major Audio\WDM\stacsv.exe
c:\winnt\system32\wdfmgr.exe
c:\program files\UPHClean\uphclean.exe
c:\program files\Citrix\ICA Client\ssonsvr.exe
c:\winnt\system32\igfxsrvc.exe
c:\winnt\system32\rundll32.exe
c:\progra~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
c:\program files\Network Associates\Common Framework\Mctray.exe
.
**************************************************************************
.
Heure de fin: 2009-01-23 15:18:36 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-01-23 14:18:33

Avant-CF: 1,356,350,464 octets libres
Après-CF: 1,294,234,624 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINNT
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

273 --- E O F --- 2009-01-13 14:35:02
A voir également:

27 réponses

  • 1
  • 2
Réponse 1 / 27
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
on va commencer par le début si tu veux bien

Télécharge le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la licence en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriaux (ne fixe rien pour le moment !!)

0
Réponse 2 / 27
gu1gui Messages postés 31 Statut Membre
 
Bonjour pimprenelle27,

Merci pour ta réponse.

Concernant hijackthis, j'ai deja fait un scan hier, et j'ai viré pas mal de chose, a tord ou non je ne sais pas, en faite lors de l'analyse sur le site hijackthis, ceux marqué avec une croix rouge, j'ai viré :/

Voici un nouveau scan :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:25:03, on 23/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINNT\RCSERV.EXE
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\WINNT\system32\igfxsrvc.exe
C:\WINNT\stsystra.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINNT\system32\e-buroUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\eTCrtMng.exe
C:\Tivoli\itm\DesktopAdmin.exe
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\WinTask\Bin\SchedInd.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\WINNT\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranoo.francetelecom.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranoo.francetelecom.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WTBho Class - {348FE907-249E-4C65-A838-F34A193FE1D1} - C:\PROGRA~1\WinTask\Bin\TaskBHO.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [eburoUI] "C:\WINNT\system32\e-buroUI.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\quicktime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [eTCertManger] C:\WINNT\system32\eTCrtMng.exe
O4 - HKLM\..\Run: [SwdisUsrPCN.FT-8392AA77E0B3] "C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envFT-8392AA77E0B3"
O4 - HKLM\..\Run: [DesktopAdmin] C:\Tivoli\itm\DesktopAdmin.exe
O4 - HKLM\..\Run: [BEWINTERNET-EBUROSessionManager] C:\Program Files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Mobile] "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" -w "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile" "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe"
O4 - HKLM\..\Run: [Communicator2005] "C:\Program Files\Microsoft Office Communicator\Communicator.vbs"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [WTIndicator] C:\Program Files\WinTask\Bin\SchedInd.exe
O4 - HKLM\..\Run: [USRPKGS] c:\winnt\usrpkgs\launch.vbs
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranoo.francetelecom.fr
O15 - Trusted Zone: http://one-directory.com.ftgroup (HKLM)
O15 - Trusted Zone: http://km-repository.equant.com (HKLM)
O15 - Trusted Zone: http://km-sso.equant.com (HKLM)
O15 - Trusted Zone: http://www.agence.francetelecom.com (HKLM)
O15 - Trusted Zone: http://*.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ca.maquette.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://chooser.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://dflp1ebe.intranet-paris.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lille.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lyon.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.melun.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nanterre.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nantes.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.strasbourg.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.toulouse.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://intranoo.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ipop.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://monsi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://qfsmusic-music.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://siroco-crm.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://webdoc.sso.francetelecom.fr (HKLM)
O15 - Trusted IP range: http://194.51.97.163 (HKLM)
O15 - Trusted IP range: http://193.252.4.15 (HKLM)
O15 - Trusted IP range: http://10.238.15.* (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\Software\..\Telephony: DomainName = ad.francetelecom.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer = 193.50.159.88
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service e-buro (eburo) - France Telecom - C:\WINNT\system32\e-buro.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINNT\system32\eTSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FTIM - Unknown owner - c:\tivoli\itm\FTIM.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: WPopupSvc - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\tools\wpopupsvc.exe
O23 - Service: WTScheduler - Unknown owner - C:\Program Files\WinTask\Bin\SchedSrv.exe
0
Réponse 3 / 27
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
non non non il faut jamais virer les truc même avec une crois rouge sans l'avis d'un spécialiste, sinon cela peut faire des dégâts dans ton pc.

0
Réponse 4 / 27
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Fait ceci et poste moi le rapport à la suite de la question êtes vous aider par quelqu'un. Merci.

Télécharge GenProc sur ton bureau (Attention le fichier est un fichier zip)
Dézippe le dossier, double-clique sur GenProc.bat
En final, poste le contenu du rapport qui s'affiche.
Comment utiliser GenProc

Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 27
gu1gui Messages postés 31 Statut Membre
 
D'accord pimprenelle27 je le serais à l'avenir.

Je lance GenProc et post a la suite le résultat
0
Réponse 6 / 27
gu1gui Messages postés 31 Statut Membre
 
Apparemment, il y aura une infection.

Une autre précision, hier j'ai lancé mon pc en mode sans échec, mais il me demande un login/mdp
que je n'ai pas en ma posséssion.

Voici le résultat du fichier : GenProd[1].txt

Rapport GenProc 2.346 [1] - 23/01/2009 - Windows XP

# Etape 1/ Télécharge :

- CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo)
Ce logiciel va permettre de supprimer tous les fichiers temporaires.
Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

- MSNFix http://sosvirus.changelog.fr/MSNFix.zip (!aur3n7) et décompresse-le sur le Bureau.

Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; pour retrouver le rapport, clique sur le raccourci "GenProc" sur ton bureau. Choisis ta session courante *** w2k234ad ***

# Etape 2/

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste, dans la même réponse :

- Le contenu du rapport MSNfix situé sur le Bureau ;
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

____________________________________________________________________________________________________________

Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
0
Réponse 7 / 27
gu1gui Messages postés 31 Statut Membre
 
je dois suivre ces étapes? Sachant que je ne peux pas me connecter en mode sans échec, que dois je faire?
0
Réponse 8 / 27
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
tu vas faire ceci ça devrait peut être régler le mode sans echec ensuite tu essayeras le rapport genproc.

Etape 1/ Télécharge :

- FindyKill http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe (Chiquitine29) sur le Bureau.

Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.

# Etape 2/

Lance l'installation avec les paramètres par défaut
- Double-clique sur le raccourci FindyKill sur le Bureau (sous Vista : clic droit sur le raccourci --> Exécuter en temps qu'Administrateur)
- Au menu principal, sélectionne l'option 1 (Recherche)
- Le rapport est sauvegardé à la racine du disque dur (C:\FindyKill.txt )
Avant de faire quoi que ce soit d'autre, il est fortement recommandé de poster le rapport sur le forum pour avoir l'avis d'un spécialiste.Après confirmation par un intervenant qualifié du forum, passe au nettoyage

Si besoin: Tutoriel
0
gu1gui Messages postés 31 Statut Membre
 
Merci pimprenelle27 pour ta réponse.

Je te met tout de suite le rapport, avant une petite précision à signaler. Vers 16h00 cette apres midi, l'antivirus VirusScan qui en temps normal scan en continu, est repartie, alors que depuis l'infection, il était neutralisé et ne scannait plus rien.. Comme je l'ai signalé plus haut, je n'ai pas les droits pour le désactiver, et de lui meme il a détecté des fichiers infectés, et les a supprimés. Je te met un screen des fichiers trouvés :

http://img142.imageshack.us/img142/5777/scanwv7.jpg


Voici le rapport de findykill :



###################### [ FindyKill V4.714 ]

# User : w2k234ad - FT-8392AA77E0B3
# Emplacement : C:\Program Files\FindyKill
# Outils Mis a jours le 19/01/09 par Chiquitine29
# Recherche effectuée à 22:21:10 le 23/01/2009
# Windows XP - Internet Explorer 6.0.2900.2180

# [ FindyKill V4.714 - Scan ] ##############

\\\\\\\\\\\\\\\\\\\\ [ Processus actifs ] ///////////////////


C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\SCardSvr.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Network Associates\Common Framework\naPrdMgr.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINNT\RCSERV.EXE
C:\WINNT\system32\wdfmgr.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\system32\wbem\wmiprvse.exe
C:\WINNT\System32\alg.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\system32\igfxpers.exe
C:\WINNT\system32\igfxsrvc.exe
C:\WINNT\stsystra.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINNT\system32\e-buroUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\eTCrtMng.exe
C:\Tivoli\itm\DesktopAdmin.exe
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\WinTask\Bin\SchedInd.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\WINNT\explorer.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\WINNT\System32\WScript.exe
C:\WINNT\system32\NOTEPAD.EXE

\\\\\\\\\\\\\\\\\\ [ Fichiers/Dossiers infectieux ] ///////////////////


################## [ C:\ ]


################## [ C:\WINNT ]


################## [ C:\WINNT\Prefetch ]


################## [ C:\WINNT\system32 ]


################## [ C:\WINNT\system32\drivers ]


################## [ C:\Documents and Settings\Administrator\Application Data ]


################## [ C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp ]


\\\\\\\\\\\\\\\\\\ [ Registre / Startup ] ///////////////////

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ctfmon.exe=C:\WINNT\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
IgfxTray=C:\WINNT\system32\igfxtray.exe
HotKeysCmds=C:\WINNT\system32\hkcmd.exe
Persistence=C:\WINNT\system32\igfxpers.exe
SigmatelSysTrayApp=stsystra.exe
Dell QuickSet=C:\Program Files\Dell\QuickSet\quickset.exe
eburoUI="C:\WINNT\system32\e-buroUI.exe"
ShStatEXE="C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
Network Associates Error Reporting Service="C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
QuickTime Task="C:\Program Files\quicktime Alternative\QTTask.exe" -atboottime
DVDLauncher="C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
BluetoothAuthenticationAgent=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
eTCertManger=C:\WINNT\system32\eTCrtMng.exe
SwdisUsrPCN.FT-8392AA77E0B3="C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envFT-8392AA77E0B3"
DesktopAdmin=C:\Tivoli\itm\DesktopAdmin.exe
BEWINTERNET-EBUROSessionManager=C:\Program Files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe
Mobile="C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" -w "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile" "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe"
Communicator2005="C:\Program Files\Microsoft Office Communicator\Communicator.vbs"
McAfeeUpdaterUI="C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
WTIndicator=C:\Program Files\WinTask\Bin\SchedInd.exe
USRPKGS=c:\winnt\usrpkgs\launch.vbs
Synchronization Manager=%SystemRoot%\system32\mobsync.exe /logon
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

[HKEY_CURRENT_USER\software\local appwizard-generated applications\QuickSet Location Profile Manager]

\\\\\\\\\\\\\\\\\\ [ Registre / Clés infectieuses ] ///////////////////




\\\\\\\\\\\\\\\\\\ [ Etat / Services ] ///////////////////


# Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

Ndisuio - # Type de démarrage = 3

Ip6Fw - # Type de démarrage = 3

SharedAccess - # Type de démarrage = 2

wuauserv - # Type de démarrage = 2

wscsvc - # Type de démarrage = 2


\\\\\\\\\\\\\\\\\\ [ Recherche dans supports amovibles] ///////////////////


# Informations :

C: - Lecteur fixe

D: - Lecteur de CD-ROM

E: - Lecteur fixe

F: - Lecteur amovible


# presence des fichiers :



\\\\\\\\\\\\\\\\\\ [ Registre / Mountpoint2 ] ///////////////////


-> Not found !


################## [ ! Fin du rapport # FindyKill V4.714 ! ]
0
Réponse 9 / 27
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Etape 3/

Branche toutes tes sources de données externes au PC (clés USB, disques durs externes, lecteurs mp3, iPod...) sans les ouvrir- Relance FindyKill,
- Cette fois, sélectionne l'option 2 (Suppression) au menu principal.
- Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "Nettoyage effectué !"
- Ensuite poste le rapport C:\FindyKill.txt

ensuite essaye de refaire les étapes du rapport gen proc.
0
gu1gui Messages postés 31 Statut Membre
 
Impossible de me connecter en mode sans échec, il me demande un login/mdp que je ne possède pas. Peut etre que mon entreprise on protéger sons accès? ou alors cela proviendrait de l'infection?

Sinon voici le nouveau rapport de findykill en sélectionnant l'option 2, petite précision, je n'ai eu qu'un reboot





###################### [ FindyKill V4.714 ]

# User : w2k234ad - FT-8392AA77E0B3
# Executed from : C:\Program Files\FindyKill
# Update on 19/01/09 by Chiquitine29
# Start at 23:37:56 the 23/01/2009
# Windows XP - Internet Explorer 6.0.2900.2180

# [ FindyKill V4.714 - Deleting ] ###############

\\\\\\\\\\\\\\\\\\ [ Active Processes ] ///////////////////


C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\SCardSvr.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\Program Files\Network Associates\Common Framework\naPrdMgr.exe
C:\WINNT\RCSERV.EXE
C:\WINNT\system32\wdfmgr.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\system32\wbem\wmiprvse.exe
C:\WINNT\System32\alg.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\wbem\wmiprvse.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE

\\\\\\\\\\\\\\\\\\ [ Infected Files / Folders ] ///////////////////


################## [ C:\ ]


################## [ C:\WINNT ]


################## [ C:\WINNT\Prefetch ]

Deleted ! - C:\WINNT\prefetch\MDELK.EXE-238AA5EF.pf

################## [ C:\WINNT\system32 ]


################## [ C:\WINNT\system32\drivers ]


################## [ C:\Documents and Settings\Administrator\Application Data ]


################## [ C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp ]


################## [ C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5 ]


\\\\\\\\\\\\\\\\\\ [ Registry / Infected keys ] ///////////////////


\\\\\\\\\\\\\\\\\\ [ States / Restarting of services ] ///////////////////


# Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - # Type of startup = 3

Ip6Fw - # Type of startup = 2

SharedAccess - # Type of startup = 2

wuauserv - # Type of startup = 2

wscsvc - # Type of startup = 2


\\\\\\\\\\\\\\\\\\ [ Cleaning Removable drives ] ///////////////////

# Informations :

C: - Lecteur fixe

D: - Lecteur de CD-ROM

E: - Lecteur fixe

F: - Lecteur amovible

G: - Lecteur amovible

H: - Lecteur amovible


# deleting files :


\\\\\\\\\\\\\\\\\\ [ Registry / Mountpoint2 ] ///////////////////


-> Not found !


\\\\\\\\\\\\\\\\\\ [ Searching Other Infections ] ///////////////////


\\\\\\\\\\\\\\\\\\ [ Searching Cracks / Keygen ] ///////////////////


################## [ ! End of report # FindyKill V4.714 ! ]
0
Réponse 10 / 27
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
tu es sur le pc de l'entreprise?
0
gu1gui Messages postés 31 Statut Membre
 
Oui, comme je l'ai précisé plus haut dans le post.

C'est un pc portable, je possède une session administrateur. VirusScan et le parefeu sont activé et je ne peux pas les désactiver, je ne possède pas les droits.


"Je précise, que c'est le pc portable de mon travail, dessus est installé le logiciel 'virus scan' et le pare feu windows est actif. De mon coté, j'ai acces à un mode administrateur, mais par contre je ne peux pas désactiver l antivirus et le parefeu. "
0
gu1gui Messages postés 31 Statut Membre > gu1gui Messages postés 31 Statut Membre
 
Ah si c'est bon! je suis sous le mode sans échec, il suffisait de reprendre le login/mdp de la session admin.
0
Réponse 11 / 27
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
si tu ne peux pas avoir accès au mode sans echec, je ne vois pas comment on va pouvoir te désinfecter correctement.
0
Réponse 12 / 27
gu1gui Messages postés 31 Statut Membre
 
si c'est je suis en mode sans échec, je procéde aux différents étapes et je met de suite les rapports.
0
Réponse 13 / 27
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
ok.merci.
0
Réponse 14 / 27
gu1gui Messages postés 31 Statut Membre
 
Alors voila, j'ai bien lancé MSNfix en mode sans échec, il a détecté une infection. Ensuite, j'ai sélectionné l'option N, et il a terminé, mais SANS générer de rapport ... ??? Ensuite j'ai procédé a un nettoyage avec CCleaner

Apres, j'ai donc redémarrer mon pc en mode sans échec, a nouveau lancer une rechercher MSNfix, et la il n'a rien détecter.
0
Réponse 15 / 27
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
ok reposte moi un hijackthis
0
gu1gui Messages postés 31 Statut Membre
 
Merci encore pour votre suivi


Voici le rapport





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:25:48, on 24/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINNT\RCSERV.EXE
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\WINNT\stsystra.exe
C:\WINNT\system32\igfxsrvc.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINNT\system32\e-buroUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\eTCrtMng.exe
C:\Tivoli\itm\DesktopAdmin.exe
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\WinTask\Bin\SchedInd.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranoo.francetelecom.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranoo.francetelecom.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WTBho Class - {348FE907-249E-4C65-A838-F34A193FE1D1} - C:\PROGRA~1\WinTask\Bin\TaskBHO.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [eburoUI] "C:\WINNT\system32\e-buroUI.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\quicktime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [eTCertManger] C:\WINNT\system32\eTCrtMng.exe
O4 - HKLM\..\Run: [SwdisUsrPCN.FT-8392AA77E0B3] "C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envFT-8392AA77E0B3"
O4 - HKLM\..\Run: [DesktopAdmin] C:\Tivoli\itm\DesktopAdmin.exe
O4 - HKLM\..\Run: [BEWINTERNET-EBUROSessionManager] C:\Program Files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Mobile] "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" -w "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile" "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe"
O4 - HKLM\..\Run: [Communicator2005] "C:\Program Files\Microsoft Office Communicator\Communicator.vbs"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [WTIndicator] C:\Program Files\WinTask\Bin\SchedInd.exe
O4 - HKLM\..\Run: [USRPKGS] c:\winnt\usrpkgs\launch.vbs
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranoo.francetelecom.fr
O15 - Trusted Zone: http://one-directory.com.ftgroup (HKLM)
O15 - Trusted Zone: http://km-repository.equant.com (HKLM)
O15 - Trusted Zone: http://km-sso.equant.com (HKLM)
O15 - Trusted Zone: http://www.agence.francetelecom.com (HKLM)
O15 - Trusted Zone: http://*.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ca.maquette.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://chooser.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://dflp1ebe.intranet-paris.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lille.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lyon.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.melun.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nanterre.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nantes.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.strasbourg.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.toulouse.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://intranoo.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ipop.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://monsi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://qfsmusic-music.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://siroco-crm.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://webdoc.sso.francetelecom.fr (HKLM)
O15 - Trusted IP range: http://194.51.97.163 (HKLM)
O15 - Trusted IP range: http://193.252.4.15 (HKLM)
O15 - Trusted IP range: http://10.238.15.* (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\Software\..\Telephony: DomainName = ad.francetelecom.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer = 193.50.159.88
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service e-buro (eburo) - France Telecom - C:\WINNT\system32\e-buro.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINNT\system32\eTSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FTIM - Unknown owner - c:\tivoli\itm\FTIM.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: WPopupSvc - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\tools\wpopupsvc.exe
O23 - Service: WTScheduler - Unknown owner - C:\Program Files\WinTask\Bin\SchedSrv.exe
0
Réponse 16 / 27
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Telecharge malwarebytes

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log

Tutoriaux
0
gu1gui Messages postés 31 Statut Membre
 
Voila c'est fait, dis moi si tu as besoin d'autres choses
0
Réponse 17 / 27
gu1gui Messages postés 31 Statut Membre
 
Voici le rapport de malware, et a la suite du post, je te met un nouveau rapport de hijackthis, ou cas ou tu en aurais besoin d'un

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1685
Windows 5.1.2600 Service Pack 2

24/01/2009 10:25:50
mbam-log-2009-01-24 (10-25-50).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 125904
Temps écoulé: 27 minute(s), 37 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Administrator\Desktop\GenProc\outil\curl.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\ZGYK6628\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINNT\system32\TDSSkrxx.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINNT\system32\TDSSnpur.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINNT\system32\TDSSoitu.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINNT\system32\TDSSyaqu.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
0
Réponse 18 / 27
gu1gui Messages postés 31 Statut Membre
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:26:47, on 24/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINNT\RCSERV.EXE
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\WINNT\stsystra.exe
C:\WINNT\system32\igfxsrvc.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINNT\system32\e-buroUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\eTCrtMng.exe
C:\Tivoli\itm\DesktopAdmin.exe
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\WinTask\Bin\SchedInd.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranoo.francetelecom.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranoo.francetelecom.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WTBho Class - {348FE907-249E-4C65-A838-F34A193FE1D1} - C:\PROGRA~1\WinTask\Bin\TaskBHO.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [eburoUI] "C:\WINNT\system32\e-buroUI.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\quicktime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [eTCertManger] C:\WINNT\system32\eTCrtMng.exe
O4 - HKLM\..\Run: [SwdisUsrPCN.FT-8392AA77E0B3] "C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envFT-8392AA77E0B3"
O4 - HKLM\..\Run: [DesktopAdmin] C:\Tivoli\itm\DesktopAdmin.exe
O4 - HKLM\..\Run: [BEWINTERNET-EBUROSessionManager] C:\Program Files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Mobile] "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" -w "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile" "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe"
O4 - HKLM\..\Run: [Communicator2005] "C:\Program Files\Microsoft Office Communicator\Communicator.vbs"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [WTIndicator] C:\Program Files\WinTask\Bin\SchedInd.exe
O4 - HKLM\..\Run: [USRPKGS] c:\winnt\usrpkgs\launch.vbs
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranoo.francetelecom.fr
O15 - Trusted Zone: http://one-directory.com.ftgroup (HKLM)
O15 - Trusted Zone: http://km-repository.equant.com (HKLM)
O15 - Trusted Zone: http://km-sso.equant.com (HKLM)
O15 - Trusted Zone: http://www.agence.francetelecom.com (HKLM)
O15 - Trusted Zone: http://*.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ca.maquette.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://chooser.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://dflp1ebe.intranet-paris.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lille.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lyon.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.melun.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nanterre.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nantes.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.strasbourg.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.toulouse.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://intranoo.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ipop.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://monsi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://qfsmusic-music.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://siroco-crm.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://webdoc.sso.francetelecom.fr (HKLM)
O15 - Trusted IP range: http://194.51.97.163 (HKLM)
O15 - Trusted IP range: http://193.252.4.15 (HKLM)
O15 - Trusted IP range: http://10.238.15.* (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\Software\..\Telephony: DomainName = ad.francetelecom.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer = 193.50.159.88
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service e-buro (eburo) - France Telecom - C:\WINNT\system32\e-buro.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINNT\system32\eTSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FTIM - Unknown owner - c:\tivoli\itm\FTIM.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: WPopupSvc - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\tools\wpopupsvc.exe
O23 - Service: WTScheduler - Unknown owner - C:\Program Files\WinTask\Bin\SchedSrv.exe
0
Réponse 19 / 27
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Télécharges ToolBar S&D ( de Eric_71/Team IDN ) :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !! désactive ton antivirus.

* double-cliques sur l'.exe pour lancer l'installe et laisses toi guider ...
* Une fois fait, cliques sur le raccourci créé sur ton bureau pour lancer l'outil .
* Choisis l'option 1 ( "recherche") et tapes "entrée" .
* Une fois le scan finit , un rapport va apparaître, copie/colles l'intégralité
de son contenu dans ta prochaine réponse ...
( le rapport est en outre sauvegardé ici -> C:\TB.txt )
0
gu1gui Messages postés 31 Statut Membre
 
-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A13
USER : w2k234ad ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:11 Go (Free:1 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:62 Go (Free:59 Go)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [1] ( 24/01/2009|11:40 )

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://intranoo.francetelecom.fr/"
"Local Page"="C:\\WINNT\\system32\\blank.htm"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"


--------------------\\ Recherche d'autres infections


Aucune autre infection trouvée !


1 - "C:\ToolBar SD\TB_1.txt" - 24/01/2009|11:41 - Option : [1]

-----------\\ Fin du rapport a 11:41:02,65
0
Réponse 20 / 27
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
rien par ici donc maintenant celui ci.

Téléchargez SmitfraudFix et enregistrez-le sur le bureau
* Ensuite, double cliquez sur SmitfraudFix puis sur Exécuter. (Sous Vista : clic droit sur SmitfraudFix et sélectionnez "Exécuter en tant qu'administrateur")
* Sélectionnez 1 pour créer un rapport des fichiers responsables de l'infection.
* A la fin de l'analyse, un rapport va être généré...Enregistrez-le sur le bureau.

Regarde bien le tuto qui est avec

/!\ Postez le rapport sur le forum pour savoir si la suppression peut être lancée.

En mode sans echec la suppression des fichiers présents.

0
gu1gui Messages postés 31 Statut Membre
 
L'antivirus VirusScan, que je ne peux pas désactiver car je ne possède pas les droits, reconnait smitfraudfix.exe comme un fichier infecté et le supprime directement, ce qui ne me permet pas de lancer le fichier.

Puis je lancer SmitfraudFix sous le mode sans échec? car je sais qu'ici l'antivirus est inactif, ce qui me permettra de lancer la recherche.

Merci de ta réponse
0
gu1gui Messages postés 31 Statut Membre
 
J'ai fait la recherche en mode sans échec, je n'ai pas eu d'autre solution, voici le rapport





SmitFraudFix v2.391

Scan done at 12:31:34,15, 24/01/2009
Run from C:\Documents and Settings\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrator


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINNT\\system32\\userinit.exe,"
"System"=""
"LogonPrompt"="Whoever accesses or attempts to access France Telecom Information System in a fraudulent way shall be prosecuted under statutes and regulations in force in the country where the offense takes place."


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer=193.50.159.88
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer=193.50.159.88
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer=193.50.159.88


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
0
gu1gui Messages postés 31 Statut Membre
 
Pour continuer, j'ai procédé à l'étape 2, pour la suppression, voici le nouveau rapport :



SmitFraudFix v2.391

Scan done at 12:57:01,68, 24/01/2009
Run from C:\Documents and Settings\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer=193.50.159.88
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer=193.50.159.88
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer=193.50.159.88


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
"LogonPrompt"="Whoever accesses or attempts to access France Telecom Information System in a fraudulent way shall be prosecuted under statutes and regulations in force in the country where the offense takes place."


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
0
gu1gui Messages postés 31 Statut Membre
 
et voici un nouveau rapport hijackthis (si besoin) :



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:03:13, on 24/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINNT\RCSERV.EXE
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\WINNT\stsystra.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINNT\system32\e-buroUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\eTCrtMng.exe
C:\WINNT\system32\igfxsrvc.exe
C:\Tivoli\itm\DesktopAdmin.exe
C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\Program Files\WinTask\Bin\SchedInd.exe
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranoo.francetelecom.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WTBho Class - {348FE907-249E-4C65-A838-F34A193FE1D1} - C:\PROGRA~1\WinTask\Bin\TaskBHO.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [eburoUI] "C:\WINNT\system32\e-buroUI.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\quicktime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [eTCertManger] C:\WINNT\system32\eTCrtMng.exe
O4 - HKLM\..\Run: [SwdisUsrPCN.FT-8392AA77E0B3] "C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envFT-8392AA77E0B3"
O4 - HKLM\..\Run: [DesktopAdmin] C:\Tivoli\itm\DesktopAdmin.exe
O4 - HKLM\..\Run: [BEWINTERNET-EBUROSessionManager] C:\Program Files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Mobile] "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" -w "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile" "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe"
O4 - HKLM\..\Run: [Communicator2005] "C:\Program Files\Microsoft Office Communicator\Communicator.vbs"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [WTIndicator] C:\Program Files\WinTask\Bin\SchedInd.exe
O4 - HKLM\..\Run: [USRPKGS] c:\winnt\usrpkgs\launch.vbs
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranoo.francetelecom.fr
O15 - Trusted Zone: http://one-directory.com.ftgroup (HKLM)
O15 - Trusted Zone: http://km-repository.equant.com (HKLM)
O15 - Trusted Zone: http://km-sso.equant.com (HKLM)
O15 - Trusted Zone: http://www.agence.francetelecom.com (HKLM)
O15 - Trusted Zone: http://*.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ca.maquette.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://chooser.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://dflp1ebe.intranet-paris.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lille.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lyon.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.melun.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nanterre.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nantes.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.strasbourg.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.toulouse.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://intranoo.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ipop.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://monsi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://qfsmusic-music.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://siroco-crm.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://webdoc.sso.francetelecom.fr (HKLM)
O15 - Trusted IP range: http://194.51.97.163 (HKLM)
O15 - Trusted IP range: http://193.252.4.15 (HKLM)
O15 - Trusted IP range: http://10.238.15.* (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\Software\..\Telephony: DomainName = ad.francetelecom.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer = 193.50.159.88
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service e-buro (eburo) - France Telecom - C:\WINNT\system32\e-buro.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINNT\system32\eTSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FTIM - Unknown owner - c:\tivoli\itm\FTIM.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: WPopupSvc - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\tools\wpopupsvc.exe
O23 - Service: WTScheduler - Unknown owner - C:\Program Files\WinTask\Bin\SchedSrv.exe
0

Discussions similaires

Retrouver liens copiés sur le téléphone
SAMA -
Lylou -

2 réponses
Copier un lien instagram
alaurore -
LEFEUVRE -

7 réponses
lien copié presse papier smartphone Samsung
luckygirl63 -
Pierr10 -

3 réponses