Sujet Précédent Sujet Suivant

" Warning! You have a security problem! &quot

Résolu/Fermé
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009 - 20 févr. 2009 à 21:40
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009 - 26 févr. 2009 à 18:13
Bonjour à tous,
après avoir passé mon ordi à un ami, je me retrouve avec un nouveau problème.
J'ai une icône, rouge avec une croix blanche à l'intérieur, sur ma barre de tâches qui me répète sans cesse
" Warning!
You have a security problem!"

Il y a également un message me dit que je suis infectée et d'installer " Antivirus 2009" et êtres intempestives s'ouvrent sur un site de chargement de cet "antivirus"...

Est- ce que quelqu'un pourrait m'aider à résoudre ce nouveau problème s'il vous plaît?

Voici mon rapportHijackThis :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:19:31, on 20/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
c:\altera\81\quartus\bin\jtagserver.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\userinit.exe
C:\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [DAEMON Tools] "%ProgramFiles%\DAEMON Tools\daemon.exe\" -lang 1033
O4 - HKLM\..\Run: [UnlockerAssistant] "F:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer = 85.255.116.26;85.255.112.104
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.26;85.255.112.104
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Altera JTAG Server (JTAGServer) - Unknown owner - c:\altera\81\quartus\bin\jtagserver.exe
A voir également:

83 réponses

Précédent
Réponse 41 / 83
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
23 févr. 2009 à 01:34
Option 2 - Nettoyage :


redémarre le PC en mode sans échec

▶ Double cliquer sur smitfraudfix

▶ Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

▶ A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

▶ Enregistre le rapport sur ton bureau


▶ Redémarrer en mode normal et poster le rapport.
0
Réponse 42 / 83
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
23 févr. 2009 à 01:56
SmitFraudFix v2.398

Rapport fait à 21:46:19,81, 22/02/2009
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 43 / 83
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
23 févr. 2009 à 04:10
- Relance encore l'option 5 de SmitfraudFix

- Poste son rapport

- Ensuite refais une mise à jour et une analyse complète avec Malwarebytes

- Et poste son rapport après la suppression des éléments infectés stp

@+
0
Réponse 44 / 83
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
23 févr. 2009 à 04:27
ok je poste le 1er rapport
par contre je ne suis pas sûre que je pourrais faire la mise à jour de Malwarebytes mais je vais réessayer encore. on continuera demain
même si on a pas encore fini, je te remercie de m'accorder ton aide.bye

SmitFraudFix v2.398

Rapport fait à 0:21:11,03, 23/02/2009
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.26;85.255.112.104

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Ralink Wireless LAN Card V2 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.26;85.255.112.104

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 83
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
23 févr. 2009 à 05:14
Voici le rapport Malwarebytes (toujours avec le problème de mise à jour mais normalement c'est la bonne version 1.34 maintenant téléchargé sur le site malwarebytes.org)

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1749
Windows 5.1.2600 Service Pack 2

23/02/2009 01:02:10
mbam-log-2009-02-23 (01-02-10).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 140150
Temps écoulé: 31 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 11
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{de2c5ef2-dfbf-49b0-bbf2-3b2805a52722} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\extravideo (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7e85edc4-9c9a-43ca-990e-d0032dc34276}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{fd51235d-fa77-424c-b496-825bbb799342}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{fd51235d-fa77-424c-b496-825bbb799342}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{7e85edc4-9c9a-43ca-990e-d0032dc34276}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{fd51235d-fa77-424c-b496-825bbb799342}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{fd51235d-fa77-424c-b496-825bbb799342}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.26;85.255.112.104 -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\msqpdxmtvdhrxx.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\m3.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\msqpdxpqltoiqt.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\msqpdxserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\ios.dat (Malware.Trace) -> Quarantined and deleted successfully.
0
Réponse 46 / 83
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
23 févr. 2009 à 16:47
Bonjour,

maintenant vas vider la quarantaine de Malwarebytes en cliquant sur "tout supprimer" et refais un nouveau rapport hijackthis stp
0
Réponse 47 / 83
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
23 févr. 2009 à 18:22
Bonjour voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:20:11, on 23/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
c:\altera\81\quartus\bin\jtagserver.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis\HijackThis.exe
C:\Program Files\Mozilla Firefox\crashreporter.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [DAEMON Tools] "%ProgramFiles%\DAEMON Tools\daemon.exe\" -lang 1033
O4 - HKLM\..\Run: [UnlockerAssistant] "F:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Altera JTAG Server (JTAGServer) - Unknown owner - c:\altera\81\quartus\bin\jtagserver.exe
0
Réponse 48 / 83
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
23 févr. 2009 à 19:42
Ok maintenant :

Télécharge CCleaner

Tu auras un tutoriel pour l'installer et l'utiliser correctement.

Fais le nettoyage et recherche les erreurs du registre comme expliqué en bas du tutoriel.

Ensuite dis moi si tu as encore des problèmes
0
Réponse 49 / 83
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
23 févr. 2009 à 20:13
malheureusement j'ai toujours les fenêtres intempestives qui s'ouvrent et les messages qui me disent de faire un scan car je suis infectée, etc...
il n'y a que le warning dans la barre des tâches qui est parti depuis hier
0
Réponse 50 / 83
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
23 févr. 2009 à 20:17
▶ Télécharge sur le bureau Navilog1

*Si ton antivirus s'affole , le désactiver
sous vista : Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisis "Exécuter en tant qu'administrateur
sous XP : double-clic dessus pour l'installer et le lancer


▶ Quand installé
▶ taper F
▶ Appuyer sur une touche jusqu' arriver aux options
▶ Choisir Recherche ( = taper 1 )

▶ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

▶un rapport : fixnavi.txt dans ==> C:

▶le copier et le coller dans la réponse
0
Réponse 51 / 83
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
23 févr. 2009 à 20:30
Search Navipromo version 3.7.4 commencé le 23/02/2009 à 16:27:17,85

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 16.02.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) M CPU 420 @ 1.60GHz )
BIOS : Phoenix NoteBIOS 4.0 Release 6.1
USER : Administrateur ( Administrator )
BOOT : Normal boot

Antivirus : Kaspersky Anti-Virus 8.0.0.506 (Not Activated)


C:\ (Local Disk) - NTFS - Total:66 Go (Free:41 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)


Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\KRIMA~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\KRIMA~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\KRIMA~1\menudm~1\progra~1" ***


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\KRIMA~1\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" :


* Dans "C:\DOCUME~1\KRIMA~1\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 23/02/2009 à 16:28:35,00 ***
0
Réponse 52 / 83
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
23 févr. 2009 à 20:34
▶ Télécharge RogueRemover sur mon site web.

▶ Tu auras un tutoriel à ta disposition qui te guidera pour savoir l'utiliser correctement.


▶ signales ce qu'il a supprimé
0
Réponse 53 / 83
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
23 févr. 2009 à 20:55
le logiciel n'a rien détecté
0
Réponse 54 / 83
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
23 févr. 2009 à 20:58
▶ Télécharge Combofix de sUBs


▶ et enregistre le sur le Bureau.


▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)


Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


Je te conseille d'installer la console de récupération !!


ensuite envois le rapport et refais un nouveau rapport hijackthis stp
0
Réponse 55 / 83
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
23 févr. 2009 à 21:39
voici le rapport combofix

ComboFix 09-02-21.01 - Administrateur 2009-02-23 17:31:59.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.446.194 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated)
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

[COLOR=RED] c:\windows\system32\userinit.exe . . . est infecté!![/COLOR]

[COLOR=RED] c:\windows\system32\userinit.exe . . . est infecté!![/COLOR]

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-01-23 au 2009-02-23 ))))))))))))))))))))))))))))))))))))
.

2009-11-02 07:50 . 2009-11-02 07:50 268 --ah-c--- C:\sqmdata03.sqm
2009-11-02 07:50 . 2009-11-02 07:50 244 --ah-c--- C:\sqmnoopt03.sqm
2009-11-01 20:10 . 2009-11-01 20:10 268 --ah-c--- C:\sqmdata02.sqm
2009-11-01 20:10 . 2009-11-01 20:10 244 --ah-c--- C:\sqmnoopt02.sqm
2009-11-01 19:47 . 2009-11-01 19:47 268 --ah-c--- C:\sqmdata01.sqm
2009-11-01 19:47 . 2009-11-01 19:47 244 --ah-c--- C:\sqmnoopt01.sqm
2009-11-01 19:40 . 2009-11-01 19:40 268 --ah-c--- C:\sqmdata00.sqm
2009-11-01 19:40 . 2009-11-01 19:40 244 --ah-c--- C:\sqmnoopt00.sqm
2009-02-23 16:52 . 2009-02-23 16:53 <REP> d-------- c:\program files\RogueRemover FREE
2009-02-23 16:25 . 2009-02-23 16:28 <REP> d-------- c:\program files\Navilog1
2009-02-22 20:06 . 2009-02-22 20:06 <REP> d----c--- C:\_OTMoveIt
2009-02-22 19:42 . 2009-02-22 19:42 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-22 19:42 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-22 19:42 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-22 19:26 . 2009-02-22 19:28 <REP> d----c--- C:\WORT
2009-02-14 19:51 . 2005-11-12 20:44 61,440 --a------ c:\windows\system32\Vista.Emulation.dll
2009-02-14 17:35 . 2009-02-14 17:36 13,824 --ahs---- c:\windows\system32\Thumbs.db
2009-02-14 17:10 . 2009-02-22 18:17 12,800 --ahs---- c:\windows\Thumbs.db
2009-02-14 17:09 . 2009-02-14 19:54 <REP> d-------- c:\program files\Microsoft Games
2009-02-01 11:34 . 2009-02-01 11:34 268 --ah-c--- C:\sqmdata19.sqm
2009-02-01 11:34 . 2009-02-01 11:34 244 --ah-c--- C:\sqmnoopt19.sqm
2009-02-01 04:00 . 2009-02-03 16:24 <REP> d-------- c:\program files\Hewlett-Packard
2009-02-01 03:59 . 2009-02-01 04:12 20,458 --a------ c:\windows\hpoins01.dat
2009-02-01 03:59 . 2003-04-05 13:33 16,622 --------- c:\windows\hpomdl01.dat
2009-01-29 00:08 . 2009-01-29 00:54 <REP> d-------- c:\program files\SmartDraw 2009
2009-01-26 00:23 . 2009-01-26 00:23 268 --ah-c--- C:\sqmdata18.sqm
2009-01-26 00:23 . 2009-01-26 00:23 244 --ah-c--- C:\sqmnoopt18.sqm
2009-01-25 18:06 . 2009-01-25 18:06 <REP> d----c--- C:\Dev-Cpp
2009-01-25 14:23 . 2005-06-20 17:30 471,040 --a------ c:\windows\system32\hhactivex.dll
2009-01-25 14:22 . 2009-01-25 14:22 <REP> d-------- c:\windows\system32\RNBOSENT
2009-01-25 14:22 . 2007-07-07 08:11 76,288 --a------ c:\windows\system32\drivers\SENTINEL.SYS
2009-01-25 14:22 . 2007-07-07 08:11 50,176 --a------ c:\windows\system32\SNTI386.DLL
2009-01-25 14:22 . 2007-07-07 08:11 26,120 --a------ c:\windows\system32\drivers\SNTNLUSB.SYS
2009-01-25 14:22 . 2007-07-07 08:11 18,432 --a------ c:\windows\system32\RNBOVDD.DLL
2009-01-25 14:22 . 2007-07-07 08:11 9,949 --------- c:\windows\system32\SENTINEL.HLP
2009-01-25 14:22 . 2007-07-07 08:09 7,680 --a------ c:\windows\system32\drivers\pgdhdlc.sys
2009-01-25 14:10 . 2009-01-25 14:10 <REP> d----c--- C:\altera
2009-01-23 20:32 . 2009-01-23 20:32 268 --ah-c--- C:\sqmdata17.sqm
2009-01-23 20:32 . 2009-01-23 20:32 244 --ah-c--- C:\sqmnoopt17.sqm
2009-01-23 00:46 . 2009-01-23 00:46 268 --ah-c--- C:\sqmdata16.sqm
2009-01-23 00:46 . 2009-01-23 00:46 244 --ah-c--- C:\sqmnoopt16.sqm

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-20 15:01 47,616 ----a-w c:\windows\system32\userinit.exe
2009-02-14 16:10 --------- d-----w c:\program files\Windows Media Connect 2
2009-02-14 16:10 --------- d-----w c:\program files\Real Alternative
2009-02-14 16:10 --------- d-----w c:\program files\QuickTime Alternative
2009-02-14 16:10 --------- d-----w c:\program files\QuickPar
2009-02-14 16:10 --------- d-----w c:\program files\Media Player Classic
2009-02-14 16:10 --------- d-----w c:\program files\Combined Community Codec Pack
2009-02-03 15:24 --------- d-----w c:\program files\UsbFix
2009-01-25 18:10 --------- dc----w c:\documents and settings\Administrateur\Application Data\codeblocks
2009-01-25 13:10 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-25 13:09 --------- d-----w c:\program files\Fichiers communs\InstallShield
2009-01-17 14:04 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2009-01-12 11:52 --------- dc----w c:\documents and settings\Administrateur\Application Data\U3
2009-01-01 14:30 --------- d-----w c:\program files\PhotoFiltre
2008-12-30 18:35 --------- dc----w c:\documents and settings\Administrateur\Application Data\Hewlett-Packard
2008-12-30 18:21 --------- d-----w c:\program files\Fichiers communs\Hewlett-Packard
2008-12-27 18:28 --------- d-----w c:\program files\MSXML 4.0
2008-12-26 23:24 --------- dc----w c:\documents and settings\Administrateur\Application Data\Malwarebytes
2008-12-26 23:24 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-26 15:51 --------- dc----w c:\documents and settings\Administrateur\Application Data\Dev-Cpp
2008-12-03 17:18 505,392 ----a-w c:\windows\system32\msvcp71.dll
2008-12-03 17:18 353,840 ----a-w c:\windows\system32\msvcr71.dll
.

------- Sigcheck -------

2008-01-21 15:10 579072 d631fbc2a8b9af181a8612276fc56154 c:\windows\system32\user32.dll

2008-01-21 15:11 969216 1e012a926231b6955b7be21b156ca1fd c:\windows\system32\wininet.dll

2008-06-20 11:45 360320 2a5554fc5b1e04e131230e3ce035c3f9 c:\windows\SoftwareDistribution\Download\7b6e084e897a416dad6204fec54d1e00\SP2GDR\tcpip.sys
2008-06-20 11:44 360960 744e57c99232201ae98c49168b918f48 c:\windows\SoftwareDistribution\Download\7b6e084e897a416dad6204fec54d1e00\SP2QFE\tcpip.sys
2008-06-20 12:51 361600 9aefa14bd6b182d61e3119fa5f436d3d c:\windows\SoftwareDistribution\Download\7b6e084e897a416dad6204fec54d1e00\SP3GDR\tcpip.sys
2008-06-20 12:59 361600 ad978a1b783b5719720cff204b666c8e c:\windows\SoftwareDistribution\Download\7b6e084e897a416dad6204fec54d1e00\SP3QFE\tcpip.sys
2008-01-16 02:14 360832 9edca6cc591147475d1f09e95020d956 c:\windows\system32\drivers\tcpip.sys

2008-01-21 15:11 555520 df3ed75d36bb55fedf9f02ec863bdf3f c:\windows\system32\winlogon.exe

2008-01-21 15:07 1573376 baa0e1b7da39d7bfcb2e0306b3e98ec1 c:\windows\explorer.exe

2008-01-21 15:06 40960 d91ee13bffbbdc87e59fcc101247d1f5 c:\windows\system32\ctfmon.exe

2009-02-20 16:01 47616 65fc3f5113eae2e435dda09cc48a4466 c:\windows\system32\userinit.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-08-16 167368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-08-16 167368]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2008-06-10 1406024]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-12-11 344064]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-21 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]

c:\documents and settings\K‚rima\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-09-12 384000]

c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-09-12 384000]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 28672]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)
"NoSMConfigurePrograms"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\explorer.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= c:\progra~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll
"SENTINEL"= snti386.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\FlashFXP\\FlashFXP.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Malwarebytes' Anti-Malware\\mbam.exe"=

R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};c:\program files\CyberLink\PowerDVD\[u]0[/u]00.fcl [2007-11-03 00:12:32 41456]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-UnlockerAssistant - f:\program files\Unlocker\UnlockerAssistant.exe


.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: c:\program files\Microsoft Silverlight\npctrl.1.0.20926.0.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-23 17:32:57
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\[u]0[/u]00.fcl"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(668)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\COMRes.dll
c:\windows\system32\cscui.dll

- - - - - - - > 'lsass.exe'(724)
c:\windows\system32\SETUPAPI.dll
.
Heure de fin: 2009-02-23 17:34:14
ComboFix-quarantined-files.txt 2009-02-23 16:34:04

Avant-CF: 44 352 983 040 octets libres
Après-CF: 44,370,006,016 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

198 --- E O F --- 2009-01-17 14:05:13
0
Réponse 56 / 83
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
23 févr. 2009 à 21:41
Et voici le rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:41:10, on 23/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
c:\altera\81\quartus\bin\jtagserver.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\explorer.exe,
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [DAEMON Tools] "%ProgramFiles%\DAEMON Tools\daemon.exe\" -lang 1033
O4 - HKLM\..\Run: [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Altera JTAG Server (JTAGServer) - Unknown owner - c:\altera\81\quartus\bin\jtagserver.exe
0
Réponse 57 / 83
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
23 févr. 2009 à 21:53
Bizarre que tu as encore des alertes...

▶ Télécharge Rooter (créé par l'équipe IDN) sur ton bureau.

/!\ Déconnecte toi d'internet et ferme toutes les applications en cours /!\

▶ Exécute Rooter et laisse le travailler jusqu'à l'apparition du rapport dans le bloc note

▶ Ensuite poste le rapport dans ta prochaine réponse
0
Réponse 58 / 83
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
23 févr. 2009 à 21:57
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) M CPU 420 @ 1.60GHz )
BIOS : Phoenix NoteBIOS 4.0 Release 6.1
USER : Administrateur ( Administrator )
BOOT : Normal boot

Antivirus : Kaspersky Anti-Virus 8.0.0.506 (Not Activated)


C:\ (Local Disk) - NTFS - Total:66 Go (Free:41 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)

23/02/2009|17:55

----------------------\\ Search..

----------------------\\ ROOTKIT !!

Rootkit msqpdxserv ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSQPDXSERV.SYS]
Rootkit msqpdxserv ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSQPDXSERV.SYS]
Rootkit msqpdxserv ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSQPDXSERV.SYS]
Rootkit msqpdxserv ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msqpdxserv.sys]
Rootkit msqpdxserv ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msqpdxserv.sys]
Rootkit msqpdxserv ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys]


1 - "C:\Rooter$\Rooter_1.txt" - 23/02/2009|17:56

----------------------\\ Scan completed at 17:56
0
Réponse 59 / 83
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
23 févr. 2009 à 21:59
pour l'instant, les fenêtres intempestives n'ont pas réapparues
0
Réponse 60 / 83
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
23 févr. 2009 à 22:15
Ok mais tu as encore des rootkits de trojan DNS.

▶ Télécharger SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

▶ Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur ton disque C:.

/!\ Démarre en mode sans échec : après le bip et avant le logo windows tapoter sur la touche F8 (ou F5): menu M.S.E..

▶ Choisir son compte, pas celui de l'Administrateur ou autre.

Dérouler la liste des instructions ci-dessous :

• Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuyer sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuyer sur une touche pour redémarrer le PC.
• Le système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copier/coller le contenu du fichier Report.txt dans la prochaine réponse sur le forum
0

Discussions similaires

Code de réinitialisation mdp facebook sans le demander
Colonel_El_Moustachat -
Colonel_El_Moustachat -

4 réponses
Analyse de l'appli "AI SECURITY"
cl06 -
CCMBot -

1 réponse
Boîte mail piratée ?
mike the llama -
mike the llama -

4 réponses
Erreur 403: You don't have permission to access on this server ?
yamelle -
WolfTenBA -

19 réponses
download failed bc. you may not have purchased this app.
jonas-kobb -
Begue2000 -

7 réponses