Problème avec un rootkit nommé nmdfgds0.dll

jower42 -  
 jower42 -
Bonjour,
voici quelques jours que mon pc portable est infecté par divers virus,tout d'abords par kavo.exe que j'ai effacé (normalement) avec kavo killer et désormais avast me trouve un rootkit nommé nmdfgds0.dll que je ne parviens pas à supprimé. j'ai xp familial j'espere que vous pourer me donner un petit coup de pouce merci a tous.
Configuration: Windows XP
internet explorer
google chrome

40 réponses

  • 1
  • 2
Résumé de la discussion

Une infection complexe touche un ordinateur portable, avec la détection par Avast d'un rootkit nommé nmdfgds0.dll après l'élimination de kavo.exe, sous Windows XP et navigations via Internet Explorer et Chrome. Plusieurs éléments de réponse préconisent l'utilisation d'outils dédiés comme ComboFix, puis un balayage complet avec Malwarebytes Anti-Malware en mode sans échec et mise à jour des bases de signatures. Des instructions complémentaires suggèrent d'exécuter des scans HijackThis, OTMoveIt et de générer les rapports pour vérifier que les traces de malwares ont été éradiquées. En cas de persistance, il est recommandé de répéter le processus, d'analyser les rapports et de préserver une routine régulière de scans afin de prévenir de nouvelles infections.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Bonjour,

    Pour commencer : faire un petit nettoyage de l'ordi et du registre avec Ccleaner, regarde bien le Tuto CCleaner

    Ensuite :

    Télécharge le fichier d'installation d'HijackThis.

    Enregistre HJTInstall.exe sur ton bureau.

    Double-clique sur HJTInstall.exe pour lancer le programme

    Par défaut, il s'installera là :
    C:\Program Files\Trend Micro\HijackThis

    Accepte la licence en cliquant sur le bouton "I Accept"

    Choisis l'option "Do a system scan and save a log file"

    Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

    Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

    Colle le rapport que tu viens de copier sur ce forum

    Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

    Tutoriaux (ne fixe rien pour le moment !!)

    0
  2. fiat500 Messages postés 2681 Statut Membre 82
     
    je peux m occuper de se sujet stp merci
    0
    1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
       
      pas de problème je te laisse.
      0
  3. totobetourne Messages postés 5677 Statut Membre 65
     
    bonjour

    utilise cela et ensuite colle le rapport.

    pour voir télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    0
    1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
       
      Bonjour, totobetourne,
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. fiat500 Messages postés 2681 Statut Membre 82
     
    bon ba je vous laisse la main trop de monde
    0
  6. totobetourne Messages postés 5677 Statut Membre 65
     
    fait le hijack et apres combo fix.
    0
  7. totobetourne Messages postés 5677 Statut Membre 65
     
    fiat si tu veux le topic , prend le pas de soucis
    0
  8. fiat500 Messages postés 2681 Statut Membre 82
     
    ok merci la je laisse juste totobetourne terminer ce qu il a dit
    0
  9. totobetourne Messages postés 5677 Statut Membre 65
     
    comme tu veux .
    donc hijack et ensuite combo fix .
    0
    1. jower42
       
      voici le rapport (je n ai pas pu appuyer sur la touche save log car elle est remplacer par la touche scan )



      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 16:19:15, on 09/02/2009
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\SOUNDMAN.EXE
      C:\WINDOWS\AGRSMMSG.exe
      C:\Program Files\Apoint2K\Apoint.exe
      C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
      C:\Documents and Settings\TomTomHOME.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Copernic Desktop Search\CopernicDesktopSearch.exe
      C:\Documents and Settings\Pierrette et Noël\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
      C:\Program Files\Apoint2K\Apntex.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Documents and Settings\Pierrette et Noël\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
      C:\Documents and Settings\Pierrette et Noël\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
      C:\Documents and Settings\Pierrette et Noël\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Documents and Settings\Pierrette et Noël\Bureau\HiJackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.copernic.com/explorer17/?l=FRA&e=
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.free.fr/freebox/index.html
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: (no name) - {83B79436-C1A7-427B-B40D-689E9CC71FAE} - C:\PROGRA~1\COPERN~1\COPERN~3.DLL
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O3 - Toolbar: Copernic Desktop Search - {C5F7A735-70F1-477F-8C36-6FF3C736017B} - C:\Program Files\Copernic Desktop Search\CopernicDesktopSearchIntegration974.dll
      O4 - HKLM\..\Run: [LaunchApp] Alaunch
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
      O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
      O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
      O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
      O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Documents and Settings\TomTomHOME.exe" -s
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Program Files\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray
      O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
      O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Pierrette et Noël\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O17 - HKLM\System\CCS\Services\Tcpip\..\{0EFD9DB1-15AE-49C8-B1FC-6F8A1501D77A}: NameServer = 169.254.114.141
      O17 - HKLM\System\CCS\Services\Tcpip\..\{10C72C59-CE06-42A4-A3C0-EC78B8E7F09B}: NameServer = 80.10.246.2,80.10.246.129
      O17 - HKLM\System\CS1\Services\Tcpip\..\{0EFD9DB1-15AE-49C8-B1FC-6F8A1501D77A}: NameServer = 169.254.114.141
      O17 - HKLM\System\CS2\Services\Tcpip\..\{0EFD9DB1-15AE-49C8-B1FC-6F8A1501D77A}: NameServer = 169.254.114.141
      O17 - HKLM\System\CS3\Services\Tcpip\..\{0EFD9DB1-15AE-49C8-B1FC-6F8A1501D77A}: NameServer = 169.254.114.141
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Pacsptisvr.exe
      O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe
      O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
      0
  10. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Maintenant le rapport combofix.
    0
    1. jower42
       
      dois-je installer la console de récupération windows?
      0
  11. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Il est vivement recommandé d'installer la Console de récupération
    0
    1. jower42
       
      voici le rapport combofix

      ComboFix 09-02-08.02 - Pierrette et Noël 2009-02-09 16:58:02.1 - [color=red][b]FAT32[/b][/color]x86
      Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.239.69 [GMT 1:00]
      Lancé depuis: c:\documents and settings\Pierrette et Noël\Bureau\ComboFix.exe
      AV: avast! antivirus 4.8.1335 [VPS 090209-0] *On-access scanning disabled* (Updated)
      * Un nouveau point de restauration a été créé
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\1utbfd.bat
      C:\autorun.inf
      c:\docume~1\PIERRE~1\LOCALS~1\Temp\install_flash_player.exe
      c:\documents and settings\Pierrette et Noël\Cookies\MM2048.DAT
      c:\documents and settings\Pierrette et Noël\Cookies\MM256.DAT
      c:\windows\expiorer.exe
      c:\windows\system32\nmdfgds0.dll
      c:\windows\system32\nmdfgds1.dll
      c:\windows\system32\olhrwef.exe
      D:\1utbfd.bat
      D:\Autorun.inf

      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2009-01-09 au 2009-02-09 ))))))))))))))))))))))))))))))))))))
      .

      2009-02-09 16:06 . 2009-02-09 16:06 <REP> d-------- c:\program files\Trend Micro
      2009-02-09 13:32 . 2009-02-09 13:32 <REP> d--hs---- C:\FOUND.017
      2009-02-08 23:10 . 2009-02-08 23:10 <REP> d-------- c:\windows\system32\fr-fr
      2009-02-08 23:09 . 2009-02-08 23:09 <REP> d-------- c:\windows\system32\fr
      2009-02-08 23:09 . 2009-02-08 23:10 <REP> d-------- c:\windows\l2schemas
      2009-02-08 22:27 . 2008-04-14 03:33 1,119,744 --------- c:\windows\system32\dllcache\wmsdmoe2.dll
      2009-02-08 22:26 . 2008-04-14 03:02 2,985,984 --------- c:\windows\system32\dllcache\wmploc.dll
      2009-02-08 22:25 . 2008-04-14 03:31 848,922 --------- c:\windows\system32\dllcache\msdxm.ocx
      2009-02-08 19:56 . 2009-02-08 23:18 9,618 --a------ c:\windows\system32\spupdsvc.inf
      2009-02-08 19:50 . 2009-02-08 23:55 316,640 --a------ c:\windows\WMSysPr9.prx
      2009-02-08 19:46 . 2009-02-08 19:46 <REP> d-------- c:\windows\provisioning
      2009-02-08 19:46 . 2009-02-08 19:46 <REP> d-------- c:\windows\peernet
      2009-02-08 19:42 . 2009-02-08 19:42 <REP> d-------- c:\windows\ServicePackFiles
      2009-02-08 19:29 . 2009-02-08 19:29 <REP> d-------- c:\windows\EHome
      2009-02-08 19:16 . 2002-04-15 21:11 67,866 --------- c:\windows\system32\drivers\netwlan5.img
      2009-02-08 19:16 . 2002-08-28 22:51 929 --a------ c:\windows\system32\Homepage.inf
      2009-02-08 19:14 . 2008-04-13 19:34 11,264 --------- c:\windows\system32\spnpinst.exe
      2009-02-08 19:14 . 2004-08-02 14:20 7,208 --------- c:\windows\system32\secupd.sig
      2009-02-08 19:14 . 2004-08-02 14:20 4,569 --------- c:\windows\system32\secupd.dat
      2009-02-08 16:12 . 2008-10-16 14:09 35,864 --a------ c:\windows\system32\wucltui.dll.mui
      2009-02-08 16:12 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
      2009-02-08 16:12 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
      2009-02-08 16:12 . 2008-10-16 14:07 19,992 --a------ c:\windows\system32\wuaueng.dll.mui
      2009-02-08 14:38 . 2009-02-08 14:38 <REP> d--hs---- C:\FOUND.016
      2009-02-08 13:44 . 2009-02-08 13:44 <REP> d--hs---- C:\FOUND.015
      2009-02-08 13:41 . 2009-02-08 13:41 <REP> d--hs---- C:\FOUND.014
      2009-02-08 00:23 . 2009-02-08 00:23 <REP> d-------- c:\program files\Spybot - Search & Destroy
      2009-02-08 00:23 . 2009-02-08 00:23 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
      2009-02-07 23:43 . 2009-02-07 23:43 <REP> d-------- c:\program files\ESTsoft
      2009-02-07 23:43 . 2009-02-07 23:43 <REP> d-------- c:\documents and settings\All Users\Application Data\ESTsoft
      2009-02-07 23:43 . 2009-02-07 23:43 <REP> d-------- c:\documents and settings\Administrateur\Application Data\ESTsoft
      2009-02-07 23:35 . 2009-02-07 23:35 <REP> d-------- c:\program files\Unlocker
      2009-02-07 23:25 . 2003-06-23 17:50 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
      2009-02-07 23:25 . 2003-06-23 17:50 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
      2009-02-07 23:25 . 2003-06-23 17:50 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
      2009-02-07 23:25 . 2003-06-23 18:10 <REP> dr------- c:\documents and settings\Administrateur\Mes documents
      2009-02-07 23:25 . 2003-06-23 17:50 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
      2009-02-07 23:25 . 2003-06-23 18:10 <REP> dr------- c:\documents and settings\Administrateur\Favoris
      2009-02-07 23:25 . 2003-06-23 17:50 <REP> d-------- c:\documents and settings\Administrateur\Bureau
      2009-02-07 23:25 . 2003-06-23 18:26 <REP> d-------- c:\documents and settings\Administrateur\Application Data\InterTrust
      2009-02-07 23:25 . 2009-02-07 23:25 <REP> d-------- c:\documents and settings\Administrateur
      2009-02-07 23:00 . 2009-02-07 23:00 <REP> d--hs---- C:\FOUND.013
      2009-01-26 07:55 . 2009-01-26 07:55 <REP> d--hs---- C:\FOUND.012
      2009-01-09 11:41 . 2009-01-09 11:41 <REP> d--hs---- C:\FOUND.011

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-01-03 18:33 --------- d-----w c:\documents and settings\Pierrette et Noël\Application Data\vlc
      2009-01-03 17:32 --------- d-----w c:\program files\UltraVNC
      2008-12-14 00:07 --------- d-----w c:\program files\VideoLAN
      2008-12-13 20:01 --------- d-----w c:\program files\Citrix
      2008-12-13 19:59 --------- d-----w c:\documents and settings\All Users\Application Data\DartyBox
      2006-12-13 09:19 1,701,060 ----a-w c:\documents and settings\Resources\Resources.dat
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
      "Copernic Desktop Search"="c:\program files\Copernic Desktop Search\CopernicDesktopSearch.exe" [2006-04-12 5251880]
      "Google Update"="c:\documents and settings\Pierrette et Noël\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-02-08 133104]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "LaunchApp"="Alaunch" [X]
      "Apoint"="c:\program files\Apoint2K\Apoint.exe" [2003-06-23 147456]
      "LManager"="c:\progra~1\LAUNCH~1\CPLBCL53.EXE" [2003-06-27 155648]
      "NeroCheck"="c:\windows\System32\\NeroCheck.exe" [2001-07-09 155648]
      "CloneCDTray"="c:\program files\SlySoft\CloneCD\CloneCDTray.exe" [2004-12-09 57344]
      "TomTomHOME.exe"="c:\documents and settings\TomTomHOME.exe" [2006-12-12 3577512]
      "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
      "SoundMan"="SOUNDMAN.EXE" [2003-06-20 c:\windows\SOUNDMAN.EXE]
      "AGRSMMSG"="AGRSMMSG.exe" [2003-06-23 c:\windows\AGRSMMSG.exe]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

      c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
      Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2004-10-24 98304]
      Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "MSACM.CEGSM"= mobilev.acm

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "%windir%\\system32\\sessmgr.exe"=

      R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-01-03 114768]
      S3 fbxusb;FreeBox USB Network Adapter;c:\windows\system32\DRIVERS\fbxusb.sys --> c:\windows\system32\DRIVERS\fbxusb.sys [?]
      .
      Contenu du dossier 'Tâches planifiées'

      2009-02-09 c:\windows\Tasks\Symantec NetDetect.job
      - c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2002-08-19 16:07]

      2009-02-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4152392858-1065543706-1092382097-1005.job
      - c:\documents and settings\Pierrette et No []
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe


      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://www.google.com/
      uInternet Settings,ProxyOverride = <local>
      TCP: {0EFD9DB1-15AE-49C8-B1FC-6F8A1501D77A} = 169.254.114.141
      TCP: {10C72C59-CE06-42A4-A3C0-EC78B8E7F09B} = 80.10.246.2,80.10.246.129
      DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
      .

      **************************************************************************

      catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-02-09 17:03:34
      Windows 5.1.2600 Service Pack 3 FAT NTAPI

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\program files\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE
      c:\program files\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
      c:\windows\system32\fxssvc.exe
      c:\program files\Apoint2K\Apntex.exe
      c:\program files\Alwil Software\Avast4\ashMaiSv.exe
      c:\windows\system32\wscntfy.exe
      c:\program files\Alwil Software\Avast4\ashWebSv.exe
      .
      **************************************************************************
      .
      Heure de fin: 2009-02-09 17:08:04 - La machine a redémarré
      ComboFix-quarantined-files.txt 2009-02-09 16:07:58

      Avant-CF: 7 095 058 432 octets libres
      Après-CF: 7,090,241,536 octets libres

      WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

      161
      0
  12. totobetourne Messages postés 5677 Statut Membre 65
     
    combo fix a enleve la salete a priori.
    normallement plus rien.

    1)comment se comporte ton pc?

    2)garde cet outil et lance un scan, tres util pour l instant.
    passe cet antimalware, fait comme indique
    Telecharges malwaresbytes antimalwares(MBAM) : egalement tres util sur pb de pub mais pas tous malheureusement

    Malwarebytes Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Tutoriel Malwarebytes Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
    fais comme indique,mise a jour , scan complet en mode sans echec et les rapports.
    COLLE LE RAPPORT APRES SUPPRESSION MERCI.

    garde le et lance un scan tout les mois comme indique.

    si tu as ad aware tu peux desinstalle car il ne reconnait plus grand chose.

    3)refais un scan hijack et colle le.

    0
    1. jower42
       
      test malwarebytes antimalware

      Malwarebytes' Anti-Malware 1.33
      Version de la base de données: 1741
      Windows 5.1.2600 Service Pack 3

      09/02/2009 18:41:56
      mbam-log-2009-02-09 (18-41-56).txt

      Type de recherche: Examen complet (C:\|D:\|)
      Eléments examinés: 100021
      Temps écoulé: 43 minute(s), 18 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
  13. totobetourne Messages postés 5677 Statut Membre 65
     
    regarde le message precedent egalement , ton probleme est il survenu depuis que tu as essaye d installer flash player?
    (juste pour savoir) et mieux comprendre.

    0
    1. jower42
       
      mon pc se porte bien et mon problème est survenue bien avant l'installation de flash player

      voici le nouveau rapport de hijackthis

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 18:45:20, on 09/02/2009
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\WINDOWS\AGRSMMSG.exe
      C:\WINDOWS\system32\fxssvc.exe
      C:\Program Files\Apoint2K\Apoint.exe
      C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
      C:\Documents and Settings\TomTomHOME.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Apoint2K\Apntex.exe
      C:\Program Files\Copernic Desktop Search\CopernicDesktopSearch.exe
      C:\Documents and Settings\Pierrette et Noël\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\explorer.exe
      C:\Documents and Settings\Pierrette et Noël\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
      C:\Documents and Settings\Pierrette et Noël\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
      C:\Documents and Settings\Pierrette et Noël\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
      C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
      C:\WINDOWS\system32\NOTEPAD.EXE
      C:\Documents and Settings\Pierrette et Noël\Bureau\HiJackThis.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: (no name) - {83B79436-C1A7-427B-B40D-689E9CC71FAE} - C:\PROGRA~1\COPERN~1\COPERN~3.DLL
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O3 - Toolbar: Copernic Desktop Search - {C5F7A735-70F1-477F-8C36-6FF3C736017B} - C:\Program Files\Copernic Desktop Search\CopernicDesktopSearchIntegration974.dll
      O4 - HKLM\..\Run: [LaunchApp] Alaunch
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
      O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
      O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
      O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
      O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Documents and Settings\TomTomHOME.exe" -s
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Program Files\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray
      O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Pierrette et Noël\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O17 - HKLM\System\CCS\Services\Tcpip\..\{0EFD9DB1-15AE-49C8-B1FC-6F8A1501D77A}: NameServer = 169.254.114.141
      O17 - HKLM\System\CCS\Services\Tcpip\..\{10C72C59-CE06-42A4-A3C0-EC78B8E7F09B}: NameServer = 80.10.246.2,80.10.246.129
      O17 - HKLM\System\CS1\Services\Tcpip\..\{0EFD9DB1-15AE-49C8-B1FC-6F8A1501D77A}: NameServer = 169.254.114.141
      O17 - HKLM\System\CS2\Services\Tcpip\..\{0EFD9DB1-15AE-49C8-B1FC-6F8A1501D77A}: NameServer = 169.254.114.141
      O17 - HKLM\System\CS3\Services\Tcpip\..\{0EFD9DB1-15AE-49C8-B1FC-6F8A1501D77A}: NameServer = 169.254.114.141
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Pacsptisvr.exe
      O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe
      O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
      0
  14. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    ok maintenant fais ceci ( je suis avec totoberoune:

    Téléchargez SmitfraudFix et enregistrez-le sur le bureau
    * Ensuite, double cliquez sur SmitfraudFix puis sur Exécuter. (Sous Vista : clic droit sur SmitfraudFix et sélectionnez "Exécuter en tant qu'administrateur")
    * Sélectionnez 1 pour créer un rapport des fichiers responsables de l'infection.
    * A la fin de l'analyse, un rapport va être généré...Enregistrez-le sur le bureau.

    Regarde bien le tuto qui est avec

    /!\ Postez le rapport sur le forum pour savoir si la suppression peut être lancée.

    En mode sans echec la suppression des fichiers présents.

    process.exe
    est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    http://www.beyondlogic.org/consulting/processutil/processutil.htm
    0
    1. jower42
       
      rapport smitfraudfix

      SmitFraudFix v2.395

      Rapport fait à 19:00:23,56, 09/02/2009
      Executé à partir de C:\Documents and Settings\Pierrette et Noël\Bureau\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Le type du système de fichiers est FAT32
      Fix executé en mode normal

      »»»»»»»»»»»»»»»»»»»»»»»» Process

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\WINDOWS\AGRSMMSG.exe
      C:\WINDOWS\system32\fxssvc.exe
      C:\Program Files\Apoint2K\Apoint.exe
      C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
      C:\Documents and Settings\TomTomHOME.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Apoint2K\Apntex.exe
      C:\Program Files\Copernic Desktop Search\CopernicDesktopSearch.exe
      C:\Documents and Settings\Pierrette et Noël\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\explorer.exe
      C:\Documents and Settings\Pierrette et Noël\Bureau\SmitfraudFix\Policies.exe
      C:\WINDOWS\system32\cmd.exe

      »»»»»»»»»»»»»»»»»»»»»»»» hosts


      »»»»»»»»»»»»»»»»»»»»»»»» C:\


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pierrette et Noël


      »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PIERRE~1\LOCALS~1\Temp


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pierrette et Noël\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PIERRE~1\FAVORIS


      »»»»»»»»»»»»»»»»»»»»»»»» Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
      "Source"="About:Home"
      "SubscribedURL"="About:Home"
      "FriendlyName"="Ma page d'accueil"


      »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      o4Patch
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri



      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      IEDFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri



      »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      Agent.OMZ.Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» VACFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      404Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
      "System"=""


      »»»»»»»»»»»»»»»»»»»»»»»» RK



      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
      DNS Server Search Order: 192.168.1.254

      Description: Intel(R) PRO/Wireless LAN 2100 3B Mini PCI Adapter - Miniport d'ordonnancement de paquets
      DNS Server Search Order: 169.254.114.141

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{0EFD9DB1-15AE-49C8-B1FC-6F8A1501D77A}: NameServer=169.254.114.141
      HKLM\SYSTEM\CCS\Services\Tcpip\..\{10C72C59-CE06-42A4-A3C0-EC78B8E7F09B}: NameServer=80.10.246.2,80.10.246.129
      HKLM\SYSTEM\CCS\Services\Tcpip\..\{B9DDE88E-853C-4E04-9072-E8F005BC1943}: DhcpNameServer=212.27.54.252 212.27.39.1
      HKLM\SYSTEM\CCS\Services\Tcpip\..\{BDA527A4-39C1-445F-8A5C-58084078122D}: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{0EFD9DB1-15AE-49C8-B1FC-6F8A1501D77A}: NameServer=169.254.114.141
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{10C72C59-CE06-42A4-A3C0-EC78B8E7F09B}: NameServer=80.10.246.2,80.10.246.129
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{B9DDE88E-853C-4E04-9072-E8F005BC1943}: DhcpNameServer=212.27.54.252 212.27.39.1
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{BDA527A4-39C1-445F-8A5C-58084078122D}: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{0EFD9DB1-15AE-49C8-B1FC-6F8A1501D77A}: NameServer=169.254.114.141
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{10C72C59-CE06-42A4-A3C0-EC78B8E7F09B}: NameServer=80.10.246.2,80.10.246.129
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{B9DDE88E-853C-4E04-9072-E8F005BC1943}: DhcpNameServer=212.27.54.252 212.27.39.1
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{BDA527A4-39C1-445F-8A5C-58084078122D}: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS3\Services\Tcpip\..\{0EFD9DB1-15AE-49C8-B1FC-6F8A1501D77A}: NameServer=169.254.114.141
      HKLM\SYSTEM\CS3\Services\Tcpip\..\{10C72C59-CE06-42A4-A3C0-EC78B8E7F09B}: NameServer=80.10.246.2,80.10.246.129
      HKLM\SYSTEM\CS3\Services\Tcpip\..\{B9DDE88E-853C-4E04-9072-E8F005BC1943}: DhcpNameServer=212.27.54.252 212.27.39.1
      HKLM\SYSTEM\CS3\Services\Tcpip\..\{BDA527A4-39C1-445F-8A5C-58084078122D}: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin
      0
  15. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Redémarre en mode sans échec comme indiqué ici ; Choisis ta session courante.

    Relance SmitfraudFix Puis choisi l'option 2 suppression.

    Ensuite fait ceci :

    Etape 1/ Télécharge :

    - FindyKill http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe sur le Bureau.

    Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.

    # Etape 2/

    Lance l'installation avec les paramètres par défaut
    - Double-clique sur le raccourci FindyKill sur le Bureau (sous Vista : clic droit sur le raccourci --> Exécuter en temps qu'Administrateur)
    - Au menu principal, sélectionne l'option 1 (Recherche)
    - Le rapport est sauvegardé à la racine du disque dur (C:\FindyKill.txt )
    Avant de faire quoi que ce soit d'autre, il est fortement recommandé de poster le rapport sur le forum pour avoir l'avis d'un spécialiste.Après confirmation par un intervenant qualifié du forum, passe au nettoyage

    Si besoin: Tutoriel
    0
    1. jower42
       
      quand je presse la touche f 8 sa me met dans le menu du mode sans échec et sa me met un écran noir je ne peu plus rien faire,est ce que je peu lancer smitfraudfix en mode normale et taper 2 comme vous m'avez demander de le faire en mode sans échec
      0
  16. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    oui. mais normalement c'est mieux en mode sans echec. il te marque rien dans le mode sans echec?
    0
    1. jower42
       
      non il me demande rien d'autre alors je fait le smitfraudfix en mode normal!!!
      0
    2. jower42
       
      après plusieurs tentative échouer je suis enfin arriver a redemarer mon ordinateur en mode sans echec voici le rapport
      SmitFraudFix v2.395

      Rapport fait à 20:22:09,37, 09/02/2009
      Executé à partir de C:\Documents and Settings\Pierrette et Noël\Bureau\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Le type du système de fichiers est FAT32
      Fix executé en mode sans echec

      »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll

      »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


      »»»»»»»»»»»»»»»»»»»»»»»» hosts

      127.0.0.1 localhost

      »»»»»»»»»»»»»»»»»»»»»»»» VACFix

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

      S!Ri's WS2Fix: LSP not Found.


      »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

      GenericRenosFix by S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

      IEDFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri



      »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

      Agent.OMZ.Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

      404Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» RK


      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{0EFD9DB1-15AE-49C8-B1FC-6F8A1501D77A}: NameServer=169.254.114.141
      HKLM\SYSTEM\CCS\Services\Tcpip\..\{10C72C59-CE06-42A4-A3C0-EC78B8E7F09B}: NameServer=80.10.246.2,80.10.246.129
      HKLM\SYSTEM\CCS\Services\Tcpip\..\{B9DDE88E-853C-4E04-9072-E8F005BC1943}: DhcpNameServer=212.27.54.252 212.27.39.1
      HKLM\SYSTEM\CCS\Services\Tcpip\..\{BDA527A4-39C1-445F-8A5C-58084078122D}: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{0EFD9DB1-15AE-49C8-B1FC-6F8A1501D77A}: NameServer=169.254.114.141
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{10C72C59-CE06-42A4-A3C0-EC78B8E7F09B}: NameServer=80.10.246.2,80.10.246.129
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{B9DDE88E-853C-4E04-9072-E8F005BC1943}: DhcpNameServer=212.27.54.252 212.27.39.1
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{BDA527A4-39C1-445F-8A5C-58084078122D}: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{0EFD9DB1-15AE-49C8-B1FC-6F8A1501D77A}: NameServer=169.254.114.141
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{10C72C59-CE06-42A4-A3C0-EC78B8E7F09B}: NameServer=80.10.246.2,80.10.246.129
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{B9DDE88E-853C-4E04-9072-E8F005BC1943}: DhcpNameServer=212.27.54.252 212.27.39.1
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{BDA527A4-39C1-445F-8A5C-58084078122D}: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254


      »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "System"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

      Nettoyage terminé.

      »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin
      0
  17. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    oui.
    0
  18. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Maintenant la suite.
    0
    1. jower42
       
      voici le rapport findykill



      ###################### [ FindyKill V4.715 ]

      # User : Pierrette et Noël - ACER-HYE0D4WD1E
      # Emplacement : C:\Program Files\FindyKill
      # Outils Mis a jours 29/01/09 par Chiquitine29
      # Recherche effectuée à 20:56:03 le 09/02/2009
      # Windows XP - Internet Explorer 6.0.2900.5512

      # [ FindyKill V4.715 - Scan ] ##############

      \\\\\\\\\\\\\\\\\\\\ [ Processus actifs ] ///////////////////


      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\WINDOWS\AGRSMMSG.exe
      C:\Program Files\Apoint2K\Apoint.exe
      C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
      C:\Documents and Settings\TomTomHOME.exe
      C:\Program Files\Apoint2K\Apntex.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Copernic Desktop Search\CopernicDesktopSearch.exe
      C:\Documents and Settings\Pierrette et Noël\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
      C:\WINDOWS\System32\alg.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Documents and Settings\Pierrette et Noël\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
      C:\Documents and Settings\Pierrette et Noël\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
      C:\Documents and Settings\Pierrette et Noël\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

      \\\\\\\\\\\\\\\\\\ [ Fichiers/Dossiers infectieux ] ///////////////////


      ################## [ C:\ ]


      ################## [ C:\WINDOWS ]


      ################## [ C:\WINDOWS\Prefetch ]


      ################## [ C:\WINDOWS\system32 ]


      ################## [ C:\WINDOWS\system32\drivers ]


      ################## [ C:\Documents and Settings\Pierrette et Noël\Application Data ]


      ################## [ C:\DOCUME~1\PIERRE~1\LOCALS~1\Temp ]


      \\\\\\\\\\\\\\\\\\ [ Registre / Startup ] ///////////////////

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
      CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
      Copernic Desktop Search="C:\Program Files\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray
      Google Update="C:\Documents and Settings\Pierrette et Noël\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
      LaunchApp=Alaunch
      SoundMan=SOUNDMAN.EXE
      AGRSMMSG=AGRSMMSG.exe
      Apoint=C:\Program Files\Apoint2K\Apoint.exe
      LManager=C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
      NeroCheck=C:\WINDOWS\System32\\NeroCheck.exe
      CloneCDTray="C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
      TomTomHOME.exe="C:\Documents and Settings\TomTomHOME.exe" -s
      avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
      Installed=1
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
      NoChange=1
      Installed=1
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
      Installed=1

      [HKEY_CURRENT_USER\software\local appwizard-generated applications\AOM]
      [HKEY_CURRENT_USER\software\local appwizard-generated applications\DestComp]
      [HKEY_CURRENT_USER\software\local appwizard-generated applications\Launch Tool]

      \\\\\\\\\\\\\\\\\\ [ Registre / Clés infectieuses ] ///////////////////




      \\\\\\\\\\\\\\\\\\ [ Etat / Services ] ///////////////////


      # Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

      Ndisuio - # Type de démarrage = 3

      EapHost - # Type de démarrage = 3

      Ip6Fw - # Type de démarrage = 3

      SharedAccess - # Type de démarrage = 2

      wuauserv - # Type de démarrage = 2

      wscsvc - # Type de démarrage = 2


      \\\\\\\\\\\\\\\\\\ [ Recherche dans supports amovibles] ///////////////////


      # Informations :

      C: - Lecteur fixe

      D: - Lecteur fixe


      # presence des fichiers :



      \\\\\\\\\\\\\\\\\\ [ Registre / Mountpoint2 ] ///////////////////


      -> Not found !


      ################## [ ! Fin du rapport # FindyKill V4.715 ! ]
      0
  19. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    # Etape 3/

    Branche toutes tes sources de données externes au PC (clés USB, disques durs externes, lecteurs mp3, iPod...) sans les ouvrir- Relance FindyKill,
    - Cette fois, sélectionne l'option 2 (Suppression) au menu principal.
    - Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "Nettoyage effectué !"
    - Ensuite poste le rapport C:\FindyKill.txt

    Ensuite :

    Télécharges ToolBar S&D ( de Eric_71/Team IDN ) :

    Tuto

    !! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !! désactive ton antivirus.

    * double-cliques sur l'.exe pour lancer l'installe et laisses toi guider ...
    * Une fois fait, cliques sur le raccourci créé sur ton bureau pour lancer l'outil .
    * Choisis l'option 1 ( "recherche") et tapes "entrée" .
    * Une fois le scan finit , un rapport va apparaître, copie/colles l'intégralité
    de son contenu dans ta prochaine réponse ...
    ( le rapport est en outre sauvegardé ici -> C:\TB.txt )

    Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs
    0
    1. jower42
       
      le problème est que je dispose de plusieurs clé usb (5 ou 6) mais que mon ordinateur dispose seulement de 3 port usb et je ne dispose pas de hub!
      certaines de mes clés usb sont sur mon lieu de travail et je n'y retourne pas avant lundi prochain!
      dois je procédé avec les 3 clés que je dispose actuellement?
      sur 2 de mes clés il y a la présence de kavo killer.
      0
  20. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Il ne faut pas faire l'option 2 de findykill, c'est une erreur de m'a part, tu fait la suite et après on va désinfecté te clef.
    0
  • 1
  • 2