" Warning! You have a security problem! &quot Résolu/Fermé

Question

Bonjour à tous,
après avoir passé mon ordi à un ami, je me retrouve avec un nouveau problème.
J'ai une icône, rouge avec une croix blanche à l'intérieur, sur ma barre de tâches qui me répète sans cesse 
" Warning! 
 You have a security problem!" 

Il y a également un message me dit que je suis infectée et d'installer " Antivirus 2009" et êtres intempestives s'ouvrent sur un site de chargement de cet "antivirus"...

Est- ce que quelqu'un pourrait m'aider à résoudre ce nouveau problème s'il vous plaît?

Voici mon rapportHijackThis :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:19:31, on 20/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
c:\altera\81\quartus\bin\jtagserver.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\userinit.exe
C:\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [DAEMON Tools] "%ProgramFiles%\DAEMON Tools\daemon.exe\" -lang 1033
O4 - HKLM\..\Run: [UnlockerAssistant] "F:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.26;85.255.112.104
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Altera JTAG Server (JTAGServer) - Unknown owner - c:\altera\81\quartus\bin\jtagserver.exe

geoffrey5 · Answer

Bonsoir,

&#x25B6; télécharge smitfraudfix et enregistre le sur le bureau 
 
&#x25B6; Ensuite double clique sur smitfraudfix puis exécuter

&#x25B6; Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

(attention : N utilises pas l option 2 si je ne te l ai pas demandé !!)

&#x25B6; copier/coller le rapport dans la réponse.


Voici un tutoriel sonore et animé en cas de problème d'utilisation



(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, 
cet utilitaire pourrait arrêter des logiciels de sécurité.)

kari97 · Answer

Voici le rapport : 

SmitFraudFix v2.398

Rapport fait à 17:49:11,10, 20/02/2009
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est 
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
c:\altera\81\quartus\bin\jtagserver.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\userinit.exe
C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.26;85.255.112.104

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

geoffrey5 · Answer

Option 2 - Nettoyage :


&#x25B6; redémarre le PC en mode sans échec

&#x25B6; Double cliquer sur smitfraudfix

&#x25B6; Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

&#x25B6; A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

&#x25B6; Enregistre le rapport sur ton bureau


&#x25B6; Redémarrer en mode normal et poster le rapport.

kari97 · Answer

Voici le rapport : 

SmitFraudFix v2.398

Rapport fait à 18:01:18,14, 20/02/2009
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est 
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

geoffrey5 · Answer

Ok maintenant :

- relance SmitfraudFix en mode normal

- Choisis l'option 5 pour corriger les DNS

- poste le rapport qui sera généré stp

kari97 · Answer

Salut excuse-moi de ne répondre que maintenant, je ne pouvais plus me connecter.

Je viens de rallumer mon ordinateur et il n'y a plus de warning sur la barre des tâches.

Je reviens dans quelque minute pour poster le rapport.

kari97 · Answer

Voici le rapport (Par contre je ne suis plus sur le même réseau qu'hier donc je ne sais pas si ça change quelque chose et même si ya plus le warning les fenêtres intempestives et messages recommencent à apparaître à l'instant même) :


SmitFraudFix v2.398

Rapport fait à 17:29:34,56, 21/02/2009
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est 
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.26;85.255.112.104

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.26;85.255.112.104

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

kari97 · Answer

Salut, 
je viens de rallumer mon ordinateur et je m'aperçois que l'icône du warning (croix blanche sur cercle rouge) est réapparue dans la barre de tâches.

geoffrey5 · Answer

Bonjour,

&#x25B6; Télécharge malwarebyte's anti-malware 

&#x25B6; Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
 
&#x25B6; Fais la mise à jour du logiciel (elle se fait normalement à l'installation) 

&#x25B6; Lance une analyse complète en cliquant sur "Exécuter un examen complet"

&#x25B6; Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

&#x25B6; L'analyse peut durer un bon moment.....

&#x25B6; Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

&#x25B6; Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

&#x25B6; Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

kari97 · Answer

Voici le rapport :

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1456
Windows 5.1.2600 Service Pack 2

22/02/2009 16:49:19
mbam-log-2009-02-22 (16-49-18).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 118514
Temps écoulé: 35 minute(s), 36 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 18
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7e85edc4-9c9a-43ca-990e-d0032dc34276}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{fd51235d-fa77-424c-b496-825bbb799342}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{fd51235d-fa77-424c-b496-825bbb799342}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{7e85edc4-9c9a-43ca-990e-d0032dc34276}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{fd51235d-fa77-424c-b496-825bbb799342}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{fd51235d-fa77-424c-b496-825bbb799342}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{7e85edc4-9c9a-43ca-990e-d0032dc34276}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{7e85edc4-9c9a-43ca-990e-d0032dc34276}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{fd51235d-fa77-424c-b496-825bbb799342}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{fd51235d-fa77-424c-b496-825bbb799342}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

geoffrey5 · Answer

Il faut que tu fasses la mise à jour de Malwarebytes avant de lancer une analyse... Nous sommes à la version 1.34

Fais une mise à jour et une analyse complète

Ensuite poste le rapport après la suppression des éléments infectés stp

kari97 · Answer

j'ai voulu lancé la mise à jour mais il y a un message qui me dit que je dois configurer mon pare-feu pour autoriser la mise à jour du logiciel
mais je ne sais pas comment faire ça

geoffrey5 · Answer

désactive ton pare-feu

kari97 · Answer

ok j'essaye et je poste le rapport après

kari97 · Answer

je n'arrive toujours pas à faire la mise à jour, même avec le pare-feu désactivé j'ai même essayé avec Avira Antivir désactivé.
à chaque fois il y a ce message qui s'affiche :

 "Echec de la mise à jour. Vérifiez que vous êtes connecté à Internet et que votre pare-feu est paramétré pour autoriser Malwarebytes's Anti-Malware à accédez à Internet."

geoffrey5 · Answer

Essaye en désinstallant et en réinstallant Malwarebytes

kari97 · Answer

si ça ne marche pas est-ce que je dois télécharger la version 1.34 ?

geoffrey5 · Answer

Si cela ne marche toujours pas, télécharge Malwarebytes à partir de cette adresse et essaye de la mettre à jour :

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

kari97 · Answer

ben je crois que j'ai vraiment pas de chance, le lien ne fonctionne que tu m'a donné ne passe pas.
Et après la réinstallation du logiciel, ça ne fonctionne toujours pas

geoffrey5 · Answer

&#x25B6; Télécharge Wareout removal tool (par dj QUIOU & la team sécurité MH) et enregistre-le sur ton bureau.

&#x25B6; Lance le fichier WareOut_Removal_Tool.bat et choisis l'option n°1.

&#x25B6; Patiente (une à deux minutes maximum) pendant que le programme sauvegarde le registre.

&#x25B6; Lis attentivement les instructions qui te seront données.

&#x25B6; A la fin de l'analyse, un rapport va s'ouvrir... Poste le rapport dans ta prochaine réponse.

geoffrey5 · Answer

Dsl ce lien ne fonctionne plus... Voici le bon : http://pc-system.fr/

Décompresse ce dossier sur ton bureau et lance le fichier WareOut_Removal_Tool.bat

kari97 · Answer

Voici le rapport : 


===== Rapport WareOut Removal Tool ===== 
 
version 2.1 
 
analyse effectuée le 22/02/2009 à 19:28:07,07 
 
Résultats de l'analyse : 
======================== 
 
~~~~ Recherche d'infections dans C:\Program Files\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\WINDOWS\system\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\WINDOWS\system32\ ~~~~ 
 
C:\WINDOWS\system32\init32.exe trouvé! 
C:\WINDOWS\system32\init32.exe supprimé avec succès! 
 
 
~~~~ Recherche d'infections dans C:\Documents and Settings\Administrateur\Application Data\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Documents and Settings\Administrateur\Bureau\ ~~~~ 
 
 
~~~~ Recherche du Rootkit kd???.exe ~~~~ 
 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    System	REG_SZ	

 
~~~~ Nettoyage du registre ~~~~ 
 
Registre sauvegardé et nettoyé avec succès ! 
 
_________________________________ 
 
développé par http://pc-system.fr 
_________________________________

geoffrey5 · Answer

Ok maintenant :

&#x25B6; Relance WareOut_Removal_Tool.bat et choisis cette fois l'option n°6.

&#x25B6; A la fin de l'analyse, un rapport va s'ouvrir... Poste le rapport dans ta prochaine réponse.

kari97 · Answer

Le voici : 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters]  
    NameServer	REG_SZ	85.255.116.26;85.255.112.104 
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters]  
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters]  
    NameServer	REG_SZ	85.255.116.26;85.255.112.104 
    DhcpNameServer	REG_SZ	85.255.116.26;85.255.112.104 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]  
    NameServer	REG_SZ	85.255.116.26;85.255.112.104 
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}]  
    NameServer	REG_SZ	85.255.116.26;85.255.112.104 
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}]  
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}]  
    NameServer	REG_SZ	85.255.116.26;85.255.112.104 
    DhcpNameServer	REG_SZ	85.255.116.26;85.255.112.104 
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}]  
    NameServer	REG_SZ	85.255.116.26;85.255.112.104 
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}]  
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}]  
    NameServer	REG_SZ	85.255.116.26;85.255.112.104 
    DhcpNameServer	REG_SZ	85.255.116.26;85.255.112.104 
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}]  
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}]  
    NameServer	REG_SZ	85.255.116.26;85.255.112.104 
    DhcpNameServer	REG_SZ	85.255.116.26;85.255.112.104 
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}]  
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}]  
    NameServer	REG_SZ	85.255.116.26;85.255.112.104 
    DhcpNameServer	REG_SZ	85.255.116.26;85.255.112.104

geoffrey5 · Answer

Pourrais-tu aller vider la quarantaine de Malwarebytes et refaire l'option 6 de Wareout removal tool stp

kari97 · Answer

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters]  
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters]  
    NameServer	REG_SZ	85.255.116.26;85.255.112.104 
    DhcpNameServer	REG_SZ	85.255.116.26;85.255.112.104 
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters]  
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters]  
    NameServer	REG_SZ	85.255.116.26;85.255.112.104 
    DhcpNameServer	REG_SZ	85.255.116.26;85.255.112.104 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]  
    NameServer	REG_SZ	85.255.116.26;85.255.112.104 
    DhcpNameServer	REG_SZ	85.255.116.26;85.255.112.104 
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}]  
    NameServer	REG_SZ	85.255.116.26;85.255.112.104 
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}]  
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}]  
    NameServer	REG_SZ	85.255.116.26;85.255.112.104 
    DhcpNameServer	REG_SZ	85.255.116.26;85.255.112.104 
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}]  
    NameServer	REG_SZ	85.255.116.26;85.255.112.104 
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}]  
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}]  
    NameServer	REG_SZ	85.255.116.26;85.255.112.104 
    DhcpNameServer	REG_SZ	85.255.116.26;85.255.112.104 
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}]  
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}]  
    NameServer	REG_SZ	85.255.116.26;85.255.112.104 
    DhcpNameServer	REG_SZ	85.255.116.26;85.255.112.104 
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}]  
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}]  
    NameServer	REG_SZ	85.255.116.26;85.255.112.104 
    DhcpNameServer	REG_SZ	85.255.116.26;85.255.112.104

geoffrey5 · Answer

&#x25B6; Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau 
 
&#x25B6; Double-clique sur OTMoveIt.exe pour le lancer.

&#x25B6; Assure toi que la case Unregister Dll's and Ocx's soit bien cochée. 

&#x25B6; Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous "Paste instructions for item to be moved". 


:processes
explorer.exe 

:files

:reg
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\­Parameters\Interfaces\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}­]
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\­Parameters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}­]
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\­Parameters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}­]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Para­meters\Interfaces\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Para­meters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Para­meters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Para­meters\Interfaces\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Para­meters\Interfaces\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Para­meters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Para­meters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}]

:commands
[purity]
[emptytemp]
[start explorer]
[reboot] 
 


&#x25B6; clique sur MoveIt! pour lancer la suppression. 

&#x25B6; Le résultat apparaitra dans le cadre "Results". 

&#x25B6; Clique sur Exit pour fermer. 

&#x25B6; Poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

&#x25B6; Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

Ensuite refais un nouveau rapport hijackthis stp

kari97 · Answer

après avoir redémarré mon ordinateur le bureau et la barre des tâches ont disparu, j'ai ouvert le gestionnaire des tâches mais je ne sais pas où il faut aller après

geoffrey5 · Answer

Onglet Fichier

Nouvelle tâche

Tape explorer.exe et valide

Poste moi le rapport de OtmoveIT stp

kari97 · Answer

ok merci.

Voici le rapport :

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\­Parameters\Interfaces\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}­\ not found.
Registry key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\­Parameters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}­\ not found.
Registry key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\­Parameters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}­\ not found.
Registry key HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Para­meters\Interfaces\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}\ not found.
Registry key HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Para­meters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}\ not found.
Registry key HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Para­meters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}\ not found.
Registry key HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Para­meters\Interfaces\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}\ not found.
Registry key HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Para­meters\Interfaces\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}\ not found.
Registry key HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Para­meters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}\ not found.
Registry key HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Para­meters\Interfaces\{FD51235D-FA77-424C-B496-825BBB799342}\ not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\etilqs_A99NRXsGTxNKaLMAVnwS scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02222009_200601

Files moved on Reboot...
File C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\etilqs_A99NRXsGTxNKaLMAVnwS not found!
File move failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\Cache\_CACHE_001_ scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\Cache\_CACHE_002_ scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\Cache\_CACHE_003_ scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\Cache\_CACHE_MAP_ scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\urlclassifier3.sqlite scheduled to be moved on reboot.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\XUL.mfl moved successfully.



est-ce que je poste le rapport hijackthis aussi ?

geoffrey5 · Answer

oui refais un nouveau rapport hijackthis stp

kari97 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:44:23, on 22/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
c:\altera\81\quartus\bin\jtagserver.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Notepad++
otepad++.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [DAEMON Tools] "%ProgramFiles%\DAEMON Tools\daemon.exe\" -lang 1033
O4 - HKLM\..\Run: [UnlockerAssistant] "F:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.26;85.255.112.104
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Altera JTAG Server (JTAGServer) - Unknown owner - c:\altera\81\quartus\bin\jtagserver.exe

geoffrey5 · Answer

refais ceci stp :

- relance SmitfraudFix

- choisi l'option 5

- et poste le rapport qui sera généré stp

kari97 · Answer

Voici le rapport :

SmitFraudFix v2.398

Rapport fait à 21:17:06,40, 22/02/2009
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est 
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.26;85.255.112.104

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Ralink Wireless LAN Card V2 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.26;85.255.112.104

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

geoffrey5 · Answer

refais encore une fois l'option 5

kari97 · Answer

SmitFraudFix v2.398

Rapport fait à 21:21:13,31, 22/02/2009
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est 
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.26;85.255.112.104

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Ralink Wireless LAN Card V2 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.26;85.255.112.104

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

geoffrey5 · Answer

ok maintenant refais un nouveau rapport hijackthis stp

kari97 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:23:57, on 22/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
c:\altera\81\quartus\bin\jtagserver.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Notepad++
otepad++.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [DAEMON Tools] "%ProgramFiles%\DAEMON Tools\daemon.exe\" -lang 1033
O4 - HKLM\..\Run: [UnlockerAssistant] "F:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.26;85.255.112.104
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Altera JTAG Server (JTAGServer) - Unknown owner - c:\altera\81\quartus\bin\jtagserver.exe

geoffrey5 · Answer

Redémarre le PC et refais l'option 1 de SmitfraudFix stp

kari97 · Answer

SmitFraudFix v2.398

Rapport fait à 21:32:09,54, 22/02/2009
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est 
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
c:\altera\81\quartus\bin\jtagserver.exe
C:\WINDOWS\system32\svchost.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.26;85.255.112.104

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Ralink Wireless LAN Card V2 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.26;85.255.112.104

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

geoffrey5 · Answer

Option 2 - Nettoyage :


&#x25B6; redémarre le PC en mode sans échec

&#x25B6; Double cliquer sur smitfraudfix

&#x25B6; Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

&#x25B6; A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

&#x25B6; Enregistre le rapport sur ton bureau


&#x25B6; Redémarrer en mode normal et poster le rapport.

kari97 · Answer

SmitFraudFix v2.398

Rapport fait à 21:46:19,81, 22/02/2009
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est 
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

geoffrey5 · Answer

- Relance encore l'option 5 de SmitfraudFix

- Poste son rapport

- Ensuite refais une mise à jour et une analyse complète avec Malwarebytes

- Et poste son rapport après la suppression des éléments infectés stp

@+

kari97 · Answer

ok je poste le 1er rapport
par contre je ne suis pas sûre que je pourrais faire la mise à jour de Malwarebytes mais je vais réessayer encore. on continuera demain
même si on a pas encore fini, je te remercie de m'accorder ton aide.bye

SmitFraudFix v2.398

Rapport fait à  0:21:11,03, 23/02/2009
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est 
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.26;85.255.112.104

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Ralink Wireless LAN Card V2 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.26;85.255.112.104

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104

kari97 · Answer

Voici le rapport Malwarebytes (toujours avec le problème de mise à jour mais normalement c'est la bonne version 1.34 maintenant téléchargé sur le site malwarebytes.org)

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1749
Windows 5.1.2600 Service Pack 2

23/02/2009 01:02:10
mbam-log-2009-02-23 (01-02-10).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 140150
Temps écoulé: 31 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 11
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{de2c5ef2-dfbf-49b0-bbf2-3b2805a52722} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\extravideo (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7e85edc4-9c9a-43ca-990e-d0032dc34276}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{fd51235d-fa77-424c-b496-825bbb799342}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{fd51235d-fa77-424c-b496-825bbb799342}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{7e85edc4-9c9a-43ca-990e-d0032dc34276}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{fd51235d-fa77-424c-b496-825bbb799342}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{fd51235d-fa77-424c-b496-825bbb799342}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\msqpdxmtvdhrxx.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\m3.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\msqpdxpqltoiqt.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\msqpdxserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\ios.dat (Malware.Trace) -> Quarantined and deleted successfully.

geoffrey5 · Answer

Bonjour,

maintenant vas vider la quarantaine de Malwarebytes en cliquant sur "tout supprimer" et refais un nouveau rapport hijackthis stp

kari97 · Answer

Bonjour voici le rapport : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:20:11, on 23/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
c:\altera\81\quartus\bin\jtagserver.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis\HijackThis.exe
C:\Program Files\Mozilla Firefox\crashreporter.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [DAEMON Tools] "%ProgramFiles%\DAEMON Tools\daemon.exe\" -lang 1033
O4 - HKLM\..\Run: [UnlockerAssistant] "F:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Altera JTAG Server (JTAGServer) - Unknown owner - c:\altera\81\quartus\bin\jtagserver.exe

geoffrey5 · Answer

Ok maintenant :

Télécharge CCleaner

Tu auras un tutoriel pour l'installer et l'utiliser correctement.

Fais le nettoyage et recherche les erreurs du registre comme expliqué en bas du tutoriel.

Ensuite dis moi si tu as encore des problèmes

kari97 · Answer

malheureusement j'ai toujours les fenêtres intempestives qui  s'ouvrent et les messages qui me disent de faire un scan car je suis infectée, etc...
il n'y a que le warning dans la barre des tâches qui est parti depuis hier

geoffrey5 · Answer

&#x25B6; Télécharge sur le bureau Navilog1  

*Si ton antivirus s'affole , le désactiver 
sous vista : Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisis "Exécuter en tant qu'administrateur
sous XP : double-clic dessus pour l'installer et le lancer 

 
&#x25B6; Quand installé 
&#x25B6; taper F 
&#x25B6; Appuyer sur une touche jusqu' arriver aux options 
&#x25B6; Choisir Recherche ( = taper 1 ) 

&#x25B6;ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes 

&#x25B6;un rapport : fixnavi.txt dans ==> C:
 
&#x25B6;le copier et le coller dans la réponse

kari97 · Answer

Search Navipromo version 3.7.4 commencé le 23/02/2009 à 16:27:17,85

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 16.02.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) M CPU        420  @ 1.60GHz )
BIOS : Phoenix NoteBIOS 4.0 Release 6.1     
USER : Administrateur ( Administrator )
BOOT : Normal boot

Antivirus : Kaspersky Anti-Virus 8.0.0.506 (Not Activated)


C:\ (Local Disk) - NTFS - Total:66 Go (Free:41 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)


Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\KRIMA~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\KRIMA~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\KRIMA~1\menudm~1\progra~1" *** 


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\KRIMA~1\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\KRIMA~1\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 23/02/2009 à 16:28:35,00 ***

geoffrey5 · Answer

&#x25B6; Télécharge RogueRemover sur mon site web.

&#x25B6; Tu auras un tutoriel à ta disposition qui te guidera pour savoir l'utiliser correctement.


&#x25B6; signales ce qu'il a supprimé

kari97 · Answer

le logiciel n'a rien détecté

geoffrey5 · Answer

&#x25B6; Télécharge Combofix de sUBs 


&#x25B6; et enregistre le sur le Bureau. 

  
&#x25B6; désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware) 


Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


&#x25B6; Je te conseille d'installer la console de récupération !!
 

ensuite envois le rapport et refais un nouveau rapport hijackthis stp

kari97 · Answer

voici le rapport combofix ComboFix 09-02-21.01 - Administrateur 2009-02-23 17:31:59.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.446.194 [GMT 1:00] Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated) AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\404Fix.exe c:\windows\system32\Agent.OMZ.Fix.exe c:\windows\system32\dumphive.exe c:\windows\system32\IEDFix.C.exe c:\windows\system32\IEDFix.exe c:\windows\system32\o4Patch.exe c:\windows\system32\SrchSTS.exe c:\windows\system32\tmp.reg c:\windows\system32\VACFix.exe c:\windows\system32\VCCLSID.exe c:\windows\system32\WS2Fix.exe [COLOR=RED] c:\windows\system32\userinit.exe . . . est infecté!![/COLOR] [COLOR=RED] c:\windows\system32\userinit.exe . . . est infecté!![/COLOR] . ((((((((((((((((((((((((((((( Fichiers créés du 2009-01-23 au 2009-02-23 )))))))))))))))))))))))))))))))))))) . 2009-11-02 07:50 . 2009-11-02 07:50 268 --ah-c--- C:\sqmdata03.sqm 2009-11-02 07:50 . 2009-11-02 07:50 244 --ah-c--- C:\sqmnoopt03.sqm 2009-11-01 20:10 . 2009-11-01 20:10 268 --ah-c--- C:\sqmdata02.sqm 2009-11-01 20:10 . 2009-11-01 20:10 244 --ah-c--- C:\sqmnoopt02.sqm 2009-11-01 19:47 . 2009-11-01 19:47 268 --ah-c--- C:\sqmdata01.sqm 2009-11-01 19:47 . 2009-11-01 19:47 244 --ah-c--- C:\sqmnoopt01.sqm 2009-11-01 19:40 . 2009-11-01 19:40 268 --ah-c--- C:\sqmdata00.sqm 2009-11-01 19:40 . 2009-11-01 19:40 244 --ah-c--- C:\sqmnoopt00.sqm 2009-02-23 16:52 . 2009-02-23 16:53 d-------- c:\program files\RogueRemover FREE 2009-02-23 16:25 . 2009-02-23 16:28 d-------- c:\program files\Navilog1 2009-02-22 20:06 . 2009-02-22 20:06 d----c--- C:\_OTMoveIt 2009-02-22 19:42 . 2009-02-22 19:42 d-------- c:\program files\Malwarebytes' Anti-Malware 2009-02-22 19:42 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-02-22 19:42 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-02-22 19:26 . 2009-02-22 19:28 d----c--- C:\WORT 2009-02-14 19:51 . 2005-11-12 20:44 61,440 --a------ c:\windows\system32\Vista.Emulation.dll 2009-02-14 17:35 . 2009-02-14 17:36 13,824 --ahs---- c:\windows\system32\Thumbs.db 2009-02-14 17:10 . 2009-02-22 18:17 12,800 --ahs---- c:\windows\Thumbs.db 2009-02-14 17:09 . 2009-02-14 19:54 d-------- c:\program files\Microsoft Games 2009-02-01 11:34 . 2009-02-01 11:34 268 --ah-c--- C:\sqmdata19.sqm 2009-02-01 11:34 . 2009-02-01 11:34 244 --ah-c--- C:\sqmnoopt19.sqm 2009-02-01 04:00 . 2009-02-03 16:24 d-------- c:\program files\Hewlett-Packard 2009-02-01 03:59 . 2009-02-01 04:12 20,458 --a------ c:\windows\hpoins01.dat 2009-02-01 03:59 . 2003-04-05 13:33 16,622 --------- c:\windows\hpomdl01.dat 2009-01-29 00:08 . 2009-01-29 00:54 d-------- c:\program files\SmartDraw 2009 2009-01-26 00:23 . 2009-01-26 00:23 268 --ah-c--- C:\sqmdata18.sqm 2009-01-26 00:23 . 2009-01-26 00:23 244 --ah-c--- C:\sqmnoopt18.sqm 2009-01-25 18:06 . 2009-01-25 18:06 d----c--- C:\Dev-Cpp 2009-01-25 14:23 . 2005-06-20 17:30 471,040 --a------ c:\windows\system32\hhactivex.dll 2009-01-25 14:22 . 2009-01-25 14:22 d-------- c:\windows\system32\RNBOSENT 2009-01-25 14:22 . 2007-07-07 08:11 76,288 --a------ c:\windows\system32\drivers\SENTINEL.SYS 2009-01-25 14:22 . 2007-07-07 08:11 50,176 --a------ c:\windows\system32\SNTI386.DLL 2009-01-25 14:22 . 2007-07-07 08:11 26,120 --a------ c:\windows\system32\drivers\SNTNLUSB.SYS 2009-01-25 14:22 . 2007-07-07 08:11 18,432 --a------ c:\windows\system32\RNBOVDD.DLL 2009-01-25 14:22 . 2007-07-07 08:11 9,949 --------- c:\windows\system32\SENTINEL.HLP 2009-01-25 14:22 . 2007-07-07 08:09 7,680 --a------ c:\windows\system32\drivers\pgdhdlc.sys 2009-01-25 14:10 . 2009-01-25 14:10 d----c--- C:\altera 2009-01-23 20:32 . 2009-01-23 20:32 268 --ah-c--- C:\sqmdata17.sqm 2009-01-23 20:32 . 2009-01-23 20:32 244 --ah-c--- C:\sqmnoopt17.sqm 2009-01-23 00:46 . 2009-01-23 00:46 268 --ah-c--- C:\sqmdata16.sqm 2009-01-23 00:46 . 2009-01-23 00:46 244 --ah-c--- C:\sqmnoopt16.sqm . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-20 15:01 47,616 ----a-w c:\windows\system32\userinit.exe 2009-02-14 16:10 --------- d-----w c:\program files\Windows Media Connect 2 2009-02-14 16:10 --------- d-----w c:\program files\Real Alternative 2009-02-14 16:10 --------- d-----w c:\program files\QuickTime Alternative 2009-02-14 16:10 --------- d-----w c:\program files\QuickPar 2009-02-14 16:10 --------- d-----w c:\program files\Media Player Classic 2009-02-14 16:10 --------- d-----w c:\program files\Combined Community Codec Pack 2009-02-03 15:24 --------- d-----w c:\program files\UsbFix 2009-01-25 18:10 --------- dc----w c:\documents and settings\Administrateur\Application Data\codeblocks 2009-01-25 13:10 --------- d--h--w c:\program files\InstallShield Installation Information 2009-01-25 13:09 --------- d-----w c:\program files\Fichiers communs\InstallShield 2009-01-17 14:04 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help 2009-01-12 11:52 --------- dc----w c:\documents and settings\Administrateur\Application Data\U3 2009-01-01 14:30 --------- d-----w c:\program files\PhotoFiltre 2008-12-30 18:35 --------- dc----w c:\documents and settings\Administrateur\Application Data\Hewlett-Packard 2008-12-30 18:21 --------- d-----w c:\program files\Fichiers communs\Hewlett-Packard 2008-12-27 18:28 --------- d-----w c:\program files\MSXML 4.0 2008-12-26 23:24 --------- dc----w c:\documents and settings\Administrateur\Application Data\Malwarebytes 2008-12-26 23:24 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes 2008-12-26 15:51 --------- dc----w c:\documents and settings\Administrateur\Application Data\Dev-Cpp 2008-12-03 17:18 505,392 ----a-w c:\windows\system32\msvcp71.dll 2008-12-03 17:18 353,840 ----a-w c:\windows\system32\msvcr71.dll . ------- Sigcheck ------- 2008-01-21 15:10 579072 d631fbc2a8b9af181a8612276fc56154 c:\windows\system32\user32.dll 2008-01-21 15:11 969216 1e012a926231b6955b7be21b156ca1fd c:\windows\system32\wininet.dll 2008-06-20 11:45 360320 2a5554fc5b1e04e131230e3ce035c3f9 c:\windows\SoftwareDistribution\Download\7b6e084e897a416dad6204fec54d1e00\SP2GDR\tcpip.sys 2008-06-20 11:44 360960 744e57c99232201ae98c49168b918f48 c:\windows\SoftwareDistribution\Download\7b6e084e897a416dad6204fec54d1e00\SP2QFE\tcpip.sys 2008-06-20 12:51 361600 9aefa14bd6b182d61e3119fa5f436d3d c:\windows\SoftwareDistribution\Download\7b6e084e897a416dad6204fec54d1e00\SP3GDR\tcpip.sys 2008-06-20 12:59 361600 ad978a1b783b5719720cff204b666c8e c:\windows\SoftwareDistribution\Download\7b6e084e897a416dad6204fec54d1e00\SP3QFE\tcpip.sys 2008-01-16 02:14 360832 9edca6cc591147475d1f09e95020d956 c:\windows\system32\drivers\tcpip.sys 2008-01-21 15:11 555520 df3ed75d36bb55fedf9f02ec863bdf3f c:\windows\system32\winlogon.exe 2008-01-21 15:07 1573376 baa0e1b7da39d7bfcb2e0306b3e98ec1 c:\windows\explorer.exe 2008-01-21 15:06 40960 d91ee13bffbbdc87e59fcc101247d1f5 c:\windows\system32\ctfmon.exe 2009-02-20 16:01 47616 65fc3f5113eae2e435dda09cc48a4466 c:\windows\system32\userinit.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-08-16 167368] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-08-16 167368] "IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2008-06-10 1406024] "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-12-11 344064] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-07-21 c:\windows\RTHDCPL.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "ShowDeskFix"="shell32" [X] c:\documents and settings\K‚rima\Menu D‚marrer\Programmes\D‚marrage\ OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-09-12 384000] c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\ OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-09-12 384000] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 28672] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMBalloonTip"= 0 (0x0) "NoSMConfigurePrograms"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSMBalloonTip"= 0 (0x0) "NoSMConfigurePrograms"= 1 (0x1) "ForceClassicControlPanel"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Userinit"="c:\windows\explorer.exe," [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.ffds"= c:\progra~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll "SENTINEL"= snti386.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"="0x00000000" "UpdatesDisableNotify"="0x00000000" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\Network Diagnostic\xpnetdiag.exe"= "%windir%\system32\sessmgr.exe"= "c:\Program Files\FlashFXP\FlashFXP.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Malwarebytes' Anti-Malware\mbam.exe"= R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};c:\program files\CyberLink\PowerDVD\[u]0[/u]00.fcl [2007-11-03 00:12:32 41456] . - - - - ORPHELINS SUPPRIMES - - - - HKLM-Run-UnlockerAssistant - f:\program files\Unlocker\UnlockerAssistant.exe . ------- Examen supplémentaire ------- . uInternet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036 IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ FF - plugin: c:\program files\Microsoft Silverlight\npctrl.1.0.20926.0.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-23 17:32:57 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}] "ImagePath"="\??\c:\program files\CyberLink\PowerDVD\[u]0[/u]00.fcl" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(668) c:\windows\system32\SETUPAPI.dll c:\windows\system32\Ati2evxx.dll c:\windows\system32\COMRes.dll c:\windows\system32\cscui.dll - - - - - - - > 'lsass.exe'(724) c:\windows\system32\SETUPAPI.dll . Heure de fin: 2009-02-23 17:34:14 ComboFix-quarantined-files.txt 2009-02-23 16:34:04 Avant-CF: 44 352 983 040 octets libres Après-CF: 44,370,006,016 octets libres WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect 198 --- E O F --- 2009-01-17 14:05:13

kari97 · Answer

Et voici le rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:41:10, on 23/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
c:\altera\81\quartus\bin\jtagserver.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\explorer.exe,
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [DAEMON Tools] "%ProgramFiles%\DAEMON Tools\daemon.exe\" -lang 1033
O4 - HKLM\..\Run: [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Altera JTAG Server (JTAGServer) - Unknown owner - c:\altera\81\quartus\bin\jtagserver.exe

geoffrey5 · Answer

Bizarre que tu as encore des alertes...

&#x25B6; Télécharge Rooter (créé par l'équipe IDN) sur ton bureau.

&#x25B6; /!\ Déconnecte toi d'internet et ferme toutes les applications en cours /!\

&#x25B6; Exécute Rooter et laisse le travailler jusqu'à l'apparition du rapport dans le bloc note

&#x25B6; Ensuite poste le rapport dans ta prochaine réponse

kari97 · Answer

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) M CPU        420  @ 1.60GHz )
BIOS : Phoenix NoteBIOS 4.0 Release 6.1     
USER : Administrateur ( Administrator )
BOOT : Normal boot

Antivirus : Kaspersky Anti-Virus 8.0.0.506 (Not Activated)


C:\ (Local Disk) - NTFS - Total:66 Go (Free:41 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)

23/02/2009|17:55

----------------------\  Search..

----------------------\  ROOTKIT !!

Rootkit msqpdxserv ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSQPDXSERV.SYS]
Rootkit msqpdxserv ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSQPDXSERV.SYS]
Rootkit msqpdxserv ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSQPDXSERV.SYS]
Rootkit msqpdxserv ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msqpdxserv.sys]
Rootkit msqpdxserv ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msqpdxserv.sys]
Rootkit msqpdxserv ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys]


1 - "C:\Rooter$\Rooter_1.txt" - 23/02/2009|17:56

----------------------\  Scan completed at 17:56

kari97 · Answer

pour l'instant, les fenêtres intempestives n'ont pas réapparues

geoffrey5 · Answer

Ok mais tu as encore des rootkits de trojan DNS.

&#x25B6; Télécharger SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. 
 
&#x25B6; Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur ton disque C:.
 
/!\ Démarre en mode sans échec : après le bip et avant le logo windows tapoter sur la touche F8 (ou F5): menu M.S.E.. 

&#x25B6; Choisir son compte, pas celui de l'Administrateur ou autre. 

Dérouler la liste des instructions ci-dessous :
 
• Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. 
• Appuyer sur Y pour commencer le processus de nettoyage. 
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
• Appuyer sur une touche pour redémarrer le PC. 
• Le système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
• Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau. 
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 
• Enfin, copier/coller le contenu du fichier Report.txt dans la prochaine réponse sur le forum

kari97 · Answer

je n'ai que le compte administrateur, est-ce que ça posera problème pour la manipulation ?

geoffrey5 · Answer

non tu peux le lancer

kari97 · Answer

[b]SDFix: Version 1.240 [/b]
Run by Administrateur on 23/02/2009 at 18:49

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-23 18:55:58
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:05,f8,e0,eb,55,c3,b2,09,3a,94,7b,34,1f,f6,97,5b,88,46,bd,7a,2b,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,d6,fa,63,69,bf,a9,09,5d,c2,ee,98,0d,c6,40,ae,8e,98,..
"khjeh"=hex:86,71,51,78,06,8e,10,05,39,02,26,a4,ce,a5,13,b3,91,30,84,6f,df,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:83,35,91,2b,a0,4e,81,cd,f1,2d,3e,a8,ac,4c,b9,6e,36,4a,0f,b1,5e,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msqpdxserv.sys]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\msqpdxpqltoiqt.sys"
"group"="file system"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msqpdxserv.sys\modules]
"msqpdxserv"="\systemroot\system32\drivers\msqpdxpqltoiqt.sys"
"msqpdxl"="\systemroot\system32\msqpdxmtvdhrxx.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:05,f8,e0,eb,55,c3,b2,09,3a,94,7b,34,1f,f6,97,5b,88,46,bd,7a,2b,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,d6,fa,63,69,bf,a9,09,5d,c2,ee,98,0d,c6,40,ae,8e,98,..
"khjeh"=hex:86,71,51,78,06,8e,10,05,39,02,26,a4,ce,a5,13,b3,91,30,84,6f,df,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:83,35,91,2b,a0,4e,81,cd,f1,2d,3e,a8,ac,4c,b9,6e,36,4a,0f,b1,5e,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\FlashFXP\FlashFXP.exe"="C:\Program Files\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe"="C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe:*:Enabled:Malwarebytes' Anti-Malware"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\FlashFXP\FlashFXP.exe"="C:\Program Files\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Mon 21 Jan 2008       827,904 A.SH. --- "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
Tue 10 Feb 2009         4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Mon 23 Feb 2009     8,831,368 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\1186a316f301de5668ff420ba0f99ac1\BITA.tmp"
Mon 23 Feb 2009     4,865,408 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\3dc4dbb460c51f10af947c31d0b396de\BIT11.tmp"
Mon 23 Feb 2009     7,669,009 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4f48480c3bff7fa275c02353aba158bb\BIT10.tmp"
Mon 23 Feb 2009     7,645,120 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\50226dffb9a4e5b1621436717d26bee4\BIT5.tmp"
Mon 23 Feb 2009     8,838,082 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7510764a379c454f8a63fd524057d801\BITE.tmp"
Mon 23 Feb 2009     9,448,904 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8d8a1db5b2c187dfff9360bceec5d807\BITF.tmp"
Mon 23 Feb 2009     9,018,736 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\97519f5556f887587a0edc2485c82452\BIT6.tmp"
Mon 23 Feb 2009     9,003,888 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cc3ce62a39662452960d7e2161be823a\BIT7.tmp"
Mon 23 Feb 2009     9,125,335 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cfda6a5f0253f13aa506464213273105\BITC.tmp"
Mon 23 Feb 2009     2,831,912 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fd5e26e3a7ede81f048660cd4c951a66\BIT1.tmp"

[b]Finished![/b]

geoffrey5 · Answer

&#x25B6; Double-clique sur OTMoveIt.exe pour le lancer.

&#x25B6; Assure toi que la case Unregister Dll's and Ocx's soit bien cochée. 

&#x25B6; Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous "Paste instructions for item to be moved". 


:processes
explorer.exe 

:files

:reg
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msqpdxserv.sys\modules]
"msqpdxserv"="\systemroot\system32\drivers\msqpdxpqltoiqt.sys" 

:commands
[purity]
[emptytemp]
[start explorer]
[reboot] 
 


&#x25B6; clique sur MoveIt! pour lancer la suppression. 

&#x25B6; Le résultat apparaitra dans le cadre "Results". 

&#x25B6; Clique sur Exit pour fermer. 

&#x25B6; Poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

&#x25B6; Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.


ensuite :


&#x25B6; Télécharge mbr.exe de Gmer sur le Bureau : http://www2.gmer.net/mbr/mbr.exe

&#x25B6; Désactive toutes tes protections et coupe la connexion.

&#x25B6; Double clique sur mbr.exe et laisse l'outil travailler : un rapport nommé mbr.log sera généré

&#x25B6; Poste son rapport dans ta prochaine réponse stp

kari97 · Answer

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
========== REGISTRY ==========
Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msqpdxserv.sys\modules\ .
Unable to set value : HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msqpdxserv.sys\modules\"msqpdxserv"|"\systemroot\system32\drivers\msqpdxpqltoiqt.sys" /E!
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02232009_191614

kari97 · Answer

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

geoffrey5 · Answer

&#x25B6; Télécharge et enregistre Clean 
  
&#x25B6; Ne double-clique pas directement sur le fichier clean.zip !! Pour cela, fais un clic droit puis dans le menu déroulant, choisis décompresser tout ou extraire tout. Ceci doit créer un nouveau dossier nommé clean.

&#x25B6; Double-clique sur le nouveau dossier clean
 
&#x25B6; Dans la liste, tu dois avoir clean.cmd (le .cmd peut ne pas être présent chez toi).
 
&#x25B6; Double-clique sur clean.cmd. 

&#x25B6; Un menu s'ouvre... Choisis l'option 1 en tappant sur la touche 1 de ton clavier. 

&#x25B6; Appuies sur la touche entrée pour valider.  

&#x25B6; Une fois l analyse terminée.. un rapport va s'ouvrir sur le bloc-note.

&#x25B6; copier/coller le rapport dans la nouvelle réponse.

kari97 · Answer

23/02/2009 a 19:47:38,50 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
 
*** Recherche des fichiers dans C:\Program Files 
*** Fin du rapport !

geoffrey5 · Answer

Pour une vérification de tes toolbars :

&#x25B6; Télécharge Toolbar-S&D (de Team IDN) sur ton Bureau
  
&#x25B6; Lance l'installation du programme en exécutant le fichier téléchargé. 

&#x25B6; Double-clique maintenant sur le raccourci de Toolbar-S&D. 

&#x25B6; Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. 

&#x25B6; Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche. 

&#x25B6; Poste le rapport généré. (C:\TB.txt)

kari97 · Answer

-----------\  ToolBar S&D 1.2.8   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) M CPU        420  @ 1.60GHz )
   BIOS : Phoenix NoteBIOS 4.0 Release 6.1     
   USER : Administrateur ( Administrator )
   BOOT : Normal boot
   Antivirus : Kaspersky Anti-Virus 8.0.0.506 (Not Activated)
   C:\ (Local Disk) - NTFS - Total:66 Go (Free:41 Go)
   D:\ (CD or DVD)
   E:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
   Option : [1] ( 23/02/2009|20:05 )

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (Administrateur) - {7b821b0e-b102-4f9b-b6e3-433ede1fe379} => torrentbar
   (Administrateur) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\windows\system32\blank.htm"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Local Page"="C:\windows\system32\blank.htm"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"


   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !


   1 - "C:\ToolBar SD\TB_1.txt" - 23/02/2009|20:06 - Option : [1]

   -----------\  Fin du rapport a 20:06:19,59

geoffrey5 · Answer

Ok... Est-ce que tu as encore des problèmes ??

kari97 · Answer

non, les fenêtres n'apparaissent plus

geoffrey5 · Answer

Ok tu peux faire ceci stp :

Voici un excellent petit logiciel très utile qui te permettra de savoir les nouvelles mises à jour disponibles pour les différents logiciels installés sur ton PC :

&#x25B6; Télécharge Update Checker

&#x25B6; Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.

&#x25B6; Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.

&#x25B6; Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.

&#x25B6; Un conseil : n'installe pas les BETA qui sont listées en dessous.

&#x25B6; Tu installes les mises à jour que tu désires, les plus importantes sont :

&#9679; Java

&#9679; Adobe Reader

&#9679; Adobe Flash Player

&#9679; Internet explorer


Ensuite :


Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :  

&#x25B6; Télécharge Toolscleaner sur ton Bureau  


&#x25B6; Double-clique sur ToolsCleaner2.exe et laisse le travailler 
&#x25B6; Clique sur Recherche et laisse le scan se terminer. 
&#x25B6; Clique sur Suppression pour finaliser. 
&#x25B6; Tu peux, si tu le souhaites, te servir des Options facultatives. 
&#x25B6; Clique sur Quitter, pour que le rapport puisse se créer. 
&#x25B6; Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse


Ensuite :


Désactive et réactive la Restauration du système :


Le fait de faire cette manipulation va supprimer tous les virus qui auraient pu se loger dans les
points de restauration que tu avais créé auparavant.. Il est donc recommandé de la faire : 

 
1 Dans la barre des tâches de Windows, clique sur Démarrer.
 
2 Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
 
3 Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"

4 Clique sur Appliquer.
  
5 Ensuite décoche "Désactiver la restauration du systeme"

6 clique sur appliquer puis ok

7 vas créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires =>

outils systeme => restauration du systeme => créer un point de restauration => tu mets un nom

(exemple : après désinfection sur CCM) puis tu valides.


Tu peux mettre ton problème résolu !! Comment mettre résolu ??


IMPORTANT : lire les quelques liens pour la prévention et la sécurité de votre PC qui se trouvent en bas de la page !!


WOT - Extension pour ton navigateur internet :

Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :


Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

kari97 · Answer

quand tu dis " Un conseil : n'installe pas les BETA qui sont listées en dessous."
tu parles de quoi?


EDIT : je viens de voir ce dont il s'agit.

kari97 · Answer

[ Rapport ToolsCleaner version 2.3.2 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\fixnavi.txt: trouvé !
C:\rapport_clean.txt: trouvé !
C:\TB.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\SDFIX: trouvé !
C:\HijackThis: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Toolbar SD: trouvé !
C:\WORT: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Clean.zip: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Navilog1.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\ToolBarSD.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\mbr.log: trouvé !
C:\Documents and Settings\Administrateur\Bureau\mbr.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\OTMoveIt3.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\WORT.zip: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\Administrateur\Bureau\WORT: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Kari97\Sauvegarde Kingston\Kérima\Divers\Logiciels\HJTInstall.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Kari97\Sauvegarde Kingston\Kérima\Divers\Logiciels\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Kari97\Sauvegarde Kingston\Kérima\Divers\Logiciels\UsbFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Kari97\Sauvegarde Kingston\Kérima\Divers\Logiciels\SmitFraudfix: trouvé !
C:\Documents and Settings\Administrateur\Bureau\WORT\WareOut_Removal_Tool.bat: trouvé !
C:\Documents and Settings\Administrateur\Bureau\WORT\dnsch.bat: trouvé !
C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\HijackThis\HijackThis.exe: trouvé !
C:\HijackThis\hijackthis.log: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\UsbFix: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\Administrateur\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Administrateur\Bureau\Clean.zip: supprimé !
C:\Documents and Settings\Administrateur\Bureau\Navilog1.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Administrateur\Bureau\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\ToolBarSD.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\Kari97\Sauvegarde Kingston\Kérima\Divers\Logiciels\HJTInstall.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\Kari97\Sauvegarde Kingston\Kérima\Divers\Logiciels\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\WORT\WareOut_Removal_Tool.bat: supprimé !
C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Combofix.txt: supprimé !
C:\fixnavi.txt: supprimé !
C:\rapport_clean.txt: supprimé !
C:\TB.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Administrateur\Bureau\mbr.log: supprimé !
C:\Documents and Settings\Administrateur\Bureau\mbr.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\OTMoveIt3.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\WORT.zip: supprimé !
C:\Documents and Settings\Administrateur\Bureau\Kari97\Sauvegarde Kingston\Kérima\Divers\Logiciels\UsbFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\WORT\dnsch.bat: supprimé !
C:\HijackThis\hijackthis.log: supprimé !
C:\SDFIX: supprimé !
C:\HijackThis: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Toolbar SD: supprimé !
C:\WORT: supprimé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\Administrateur\Bureau\WORT: supprimé !
C:\Documents and Settings\Administrateur\Bureau\Kari97\Sauvegarde Kingston\Kérima\Divers\Logiciels\SmitFraudfix: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\UsbFix: supprimé !

geoffrey5 · Answer

Fais ceci pour supprimer ComboFix :

Cliques sur Démarrer => Exécuter => Tape combofix /u et valide avec OK.

kari97 · Answer

Je te remercie pour l'aide que tu m'a apporté pendant durant ces 3/4 derniers jours.

geoffrey5 · Answer

Mais de rien, je t'ai aidé avec plaisir  ;-)

Bonne fin de soirée @+

kari97 · Answer

ok c'est fait

kari97 · Answer

Bonne soirée à toi aussi. bye

kari97 · Answer

Salut, je ne pensais pas revenir de si tôt!

Je viens d'allumer mon ordinateur et juste après avoir valider le mot de passe pour entrer dans ma session, Avira détecte  "userinit.exe" et me demande si je veux le supprimer, lui refusé l'accès, le mettre en quarantaine...
comme je ne savais pas j'ai coché "denied acces" ou un truc comme ça.
ensuite les pages internet ont recommencé à s'ouvrir sans que je ne l'ai demandé
puis les messages "you have a security problem! Do you want to scan your computer for viruses?"
et pour finir, Avira a encore détecté le userinit.exe, que ne l'ai pas supprimé mais mis en quarantaine cette fois ci mais le message d'Avira réapparait encore.

là je ne sais pas ce qui se passe car après mon dernier message d'hier, je n'ai rien téléchargé, j'ai juste fait des recherches pour un devoir et je viens de rallumer mon ordi à l'instant.

geoffrey5 · Answer

Bonjour,

refais un nouveau rapport hijackthis...

&#x25B6; Télécharge hijackthis

&#x25B6; Tout est expliqué sur mon site web pour l'installer et l'utiliser correctement.

&#x25B6; Poste le rapport obtenu dans le bloc note dans ta prochaine réponse.


Comment copier/coller le rapport :


&#x25B6; Quand tu as le rapport à l écran, tu fais ctrl A pour "sélectionner tout" puis ctrl C pour "copier".

&#x25B6; ensuite tu viens sur le forum pour me répondre et tu fais ctrl V pour "coller" le rapport.

kari97 · Answer

Bonjour, voici le rapport : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:12:06, on 26/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20978)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre6\bin\jusched.exe
c:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\filehippo.com\UpdateChecker.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
c:\altera\81\quartus\bin\jtagserver.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [DAEMON Tools] "%ProgramFiles%\DAEMON Tools\daemon.exe\" -lang 1033
O4 - HKLM\..\Run: [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [filehippo.com] "C:\Program Files\filehippo.com\UpdateChecker.exe" /background
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Altera JTAG Server (JTAGServer) - Unknown owner - c:\altera\81\quartus\bin\jtagserver.exe

" Warning! You have a security problem! &quot

83 réponses

Discussions similaires