Un virus a transformé mon XP en passoire

Question

Bonjour, (ou bonsoir)

Alors suite a un malheureux téléchargement douteux (p2p) j'ai chopé un virus vraiment pas sympa dont je pense avoir réussi à me débarrasser, mais je n'ai pas du tout réussi à régler tout mes problèmes.

Les symptômes furent les suivants : Avast s'est arrête, ainsi que mon Firewall (ZA). Pidgin s'est également arrêté et il était devenu impossible de lancer CCleaner et Spybot, ils se fermaient automatiquement. Par contre Malwarebytes fonctionnait correctement. Le vilain bidule (virus, trojan, rootkit, je sais pas comment l'appeler) a également désactivé le centre de sécurité Windows, donc pas de notification pour l'absence d'antivirus et de firewall, impossible de réactiver un antivirus ou même le pare feu de windows et les mises à jours automatiques avaient étés désactivés (les gars qui programment ces trucs sont vraiment trop sympas).
Quand j'essayais de faire repartir Avast ou ZA j'avais un message du genre : "non ce n'est pas un programme valide".

J'ai immédiatement coupé Internet lorsque ça s'est produit.
Après des heures de trifouillage je pense que la chose est partie, j'ai viré le téléchargement douteux, j'ai lancé des scans avec Malwarebytes qui me trouvait et supprimait toujours les mêmes trucs notamment : winupgro.exe et srosa.Sys.
Aprés avoir fait ces scans, supprimé des fichiers crées au moment ou mon ordi a été attaqué et killé dans le gestionnaire des taches l'arborescence du processus : winupgro.exe j'ai pu faire tourner Spybot et Ccleaner, j'ai également fait tourner avz.exe. J'ai installé et fait un scan avec Avira Antivir (qui a supprimé quelques trucs), j'ai aussi fait deux scans en ligne qui étaient cleans, un complet avec Bit Defender et un des parties sensibles du disque avec Kaspersky.
J'ai également fait passer mon registre après ça avec Ccleaner puis Argente Registry Cleaner.

Pour le coté positif j'ai maintenant un centre de sécurité au vert avec Antivir et le pare feu windows par contre j'ai encore plein de problèmes qui restent :

1-Je n'arrive pas à virer les répertoires Avast et ZA, ni avec l'outil de suppression Windows ni avec le désinstalleur de ZA et d'Avast (programme invalide) ni avec Ccleaner ni en supprimant le répertoire et la je sais pas trop quoi faire et je comprends pas. Quand j'avais essayé de réinstaller Avast l'install s'interrompait au bout de cinq secondes et ZA me dit que pour l'installer il faut que je me connecte en administrateur.

2-J'ai Internet pendant environ dix minutes après le démarrage de l'ordi, après si je veux encore me connecter je dois redémarrer - Dans mes connexions réseau il y a ma connexion au réseau local qui me semble normale (Freebox) et en plus une "connexion 1394" que je n'avais jamais remarqué avant et qui me surprend beaucoup, je l'ai désactivé, je ne sais pas si j'ai eu raison ou tort.

3-A chaque démarrage windows détecte des nouveaux périphériques qu'il n'arrive pas à installer.

Bref, je pense ne plus avoir ce virus mais je ne sais pas trop comment faire pour réparer les dégats. En fait je me demande si je devrais pas plutôt réinstaller ma machine demain soir.
Mais si quelqu'un a une formule  ou un logiciel magique ou je sais pas trop quoi qui remettrait un peu d'ordre je suis preneur...

Désolé d'écrire un roman.

DeNisCoOl · Answer

salut,

Vous êtes l'heureux propriétaire d'une infection Bagle, suivre les instructions ci dessous :

FindyKill par Chiquitine29 :

* Vous pouvez télécharger FindyKill depuis ce lien : http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
* Placez l'icône d'installation sur le bureau
* Double-cliquez sur l'icône FindyKill.exe
* Suivre les instructions...

Option 1
Double-cliquez sur l’icône FindyKill. 
* Dans le menu taper 1 - Recherche de fichiers infectieux, puis validez par entrée.
* Le menu Démarrer et les icônes vont disparaitre, c'est normal.
* La recherche s'effectue, cela peut prendre plusieurs minutes, ne touchez à rien.
* Une fois l'analyse terminé, un rapport de scan vous est proposé... appuyez sur une touche pour ouvrir ce rapport.
* Copier/coller ce rapport dans le prochain message

A+

Nicosprint · Answer

Et hop

############################## [ FindyKill V4.717 ] 

# User : Nico (Administrateurs) # ORDI
# Update on 17/02/09 by Chiquitine29
# Start at: 03:15:56 | 27/02/2009

# AMD Athlon(tm) 64 X2 Dual Core Processor 5000+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | Updated ]
# FW : ZoneAlarm Firewall[ Enabled ]8.0.065.000

# A:\ # Lecteur de disquettes 3 « pouces
# C:\ # Disque fixe local # NTFS
# D:\ # Disque fixe local # NTFS
# E:\ # Disque amovible
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque CD-ROM
 
############################## [ Processus actifs ] 
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\PrintKey2000\Printkey2000.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
 
################## [ Fichiers / Dossiers infectieux C:\ ] 
 
 
################## [ C:\WINDOWS ] 
 
 
################## [ C:\WINDOWS\system32 ] 
 
 
################## [ C:\WINDOWS\system32\drivers ] 
 
 
################## [ C:\.. Application Data ... ] 
 
 
################## [ Registre / Clés infectieuses ] 
 
Found ! - HKEY_USERS\S-1-5-21-725345543-1604221776-2146883605-1003\Software\Local AppWizard-Generated Applications\key_gen
Found ! - HKEY_USERS\S-1-5-21-725345543-1604221776-2146883605-1003\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-725345543-1604221776-2146883605-1003\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\key_gen
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_CURRENT_USER\Software\bisoft
 
 
################## [ Recherche dans supports amovibles] 
 
# Presence des fichiers :  

 
################## [ Registre / Mountpoint2 ] 
 
# -> Not found ! 
 
################## [ ! Fin du rapport # FindyKill V4.717 ! ]  

En fait Zone Alarm ne tourne pas sur mon ordi en ce moment.

Merci !!!

DeNisCoOl · Answer

salut,

-- En fait Zone Alarm ne tourne pas sur mon ordi en ce moment. 
Vous pourrez essayer de le réinstaller après désinfection.


Continuer avec l'Option 2:

Double-cliquez sur l’icône FindyKill. 
* Branchez vos disques amovibles à votre PC (clefs USB, disque dur externe, carte SD, etc...) sans les ouvrir. 
* Double-cliquez sur le raccourci FindyKill situé sur votre Bureau (Sous Vista, il faut faire un clic droit sur le raccourci de FindyKill et choisir Exécuter en tant qu'administrateur). 
* Dans le menu principal, tapez 2 - Nettoyage, puis validez par entrée.
* Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal.
* Le nettoyage va prendre quelques minutes... Appuyez sur OK sur la fenêtre d'informations.
* Le fix peux avoir besoin de redémarrer l'ordinateur, un message vous en averti, vous devez appuyer sur une touche.
* Un rapport de nettoyage vous est proposé... appuyez sur une touche pour ouvrir ce rapport.

A+

Nicosprint · Answer

############################## [ FindyKill V4.717 ] 

# User : Nico (Administrateurs) # ORDI
# Update on 17/02/09 by Chiquitine29
# Start at: 03:29:49 | 27/02/2009

# AMD Athlon(tm) 64 X2 Dual Core Processor 5000+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | Updated ]
# FW : ZoneAlarm Firewall[ Enabled ]8.0.065.000

# A:\ # Lecteur de disquettes 3 « pouces
# C:\ # Disque fixe local # NTFS
# D:\ # Disque fixe local # NTFS
# E:\ # Disque amovible
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque CD-ROM
# J:\ # Disque amovible # FAT32
 
############################## [ Active Processes ] 
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\PrintKey2000\Printkey2000.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
 
################## [ Infected Files / Folders C:\ ] 
 
 
################## [ C:\WINDOWS ] 
 
 
################## [ C:\WINDOWS\system32 ] 
 
 
################## [ C:\WINDOWS\system32\drivers ] 
 
 
################## [ C:\.. Application Data ... ] 
 
 
################## [  Registry / Infected keys ]   
 
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA   
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S   
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S   
Deleted ! - HKEY_CURRENT_USER\Software\bisoft   
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro   
 
################## [ Cleaning Removable drives ]  
 
# Deleting files : 
 
 
################## [ Registry / Mountpoint2 ] 
 
# -> Not found ! 
 
################## [ Searching Other Infections ] 
 
# -> Nothing found ! ..  
 
################## [ ! End of Report # FindyKill V4.717 ! ] 

Comme ils disent en country music : "Yeeeeeeeeeaaaaaaaaaaaahh"

DeNisCoOl · Answer

salut,

Concernant les cracks ou keygen pour être sure et avec votre accord pour les supprimer :

Option 4 
L'option de recherches de cracks et Keygens qui sont vecteur de l'infection. 
* Branchez vos disques amovibles à votre PC (clefs USB, disque dur externe, carte SD, etc...) sans les ouvrir.  
* Double-cliquez sur le raccourci FindyKill situé sur votre Bureau (Sous Vista, il faut faire un clic droit sur le raccourci de FindyKill et choisir Exécuter en tant qu'administrateur). 
* Choisissez F pour Français puis pressez Entrée. 
* Au menu principal, choisissez cette fois l'option 4 .

A+

Nicosprint · Answer

################################### [ FindyKill V4.717 ] 

# User : Nico (Administrateurs) # ORDI
# Update on 17/02/09 by Chiquitine29
# Start at: 03:41:01 | 27/02/2009

# AMD Athlon(tm) 64 X2 Dual Core Processor 5000+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | Updated ]
# FW : ZoneAlarm Firewall[ Enabled ]8.0.065.000

# A:\ # Lecteur de disquettes 3 « pouces
# C:\ # Disque fixe local # NTFS
# D:\ # Disque fixe local # NTFS
# E:\ # Disque amovible
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque CD-ROM
# J:\ # Disque amovible # FAT32
 
################################### [ Searching Cracks / Keygen ] 
 
C:\Documents and Settings\Nico\Bureau\Poker\PokerBooks\Various\Poker Pro 2006\PokerPro2006v4167_Crack.exe
C:\Program Files\Reference Assemblies\Microsoft\Framework\v3.0\System.Runtime.Serialization.dll
 
################## [ ! Fin du rapport # FindyKill V4.717 ! ]  

Je viens de supprimer celui là : PokerPro2006v4167_Crack.exe
Je supprime aussi le deuxième ?

DeNisCoOl · Answer

Les cracks ou keygen sont habituellement sous forme exécutable .exe ou en archive .zip...


Vérifier donc ce fichier dans le site: https://www.virustotal.com/gui/

Une fois dans le site, copier et coller le chemin du fichier ci dessous, dans le rectangle blanc devant le bouton Parcourir...

C:\Program Files\Reference Assemblies\Microsoft\Framework\v3.0\System.Runtime.Serializa­tion.dll

Ensuite cliquer sur le bouton Envoyer le fichier

Le fichier va être examiner par environ 40 moteur anti virus, il va être mis en file d’attente dans un premier temps, soyez patient, laisser tourner.
Le rapport ne sera complet que si la mention "Terminé" apparaît sur la droite. 

Coller le rapport dans le prochain message.


Mais pour continuer l'analyse en parallèle
------------------------
- Cliquer sur HiJackThis pour télécharger (la dernière version) sur votre bureau : 
- Le tutoriel pour Vista et XP  (2 pages) : https://blog.sosordi.net/category/articles

- Installer le sur le bureau ou sur programfiles.
- Double-clic sur Hijackthis.exe.
tuto HJThis
- Cliquer sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note , tout sélectionner (Ctrl+A).
- Copier (Ctrl+C) et Coller (Ctrl+V) le rapport dans le prochain message.


A+


Denis

Nicosprint · Answer

0/38

Antivirus  	Version  	Dernière mise à jour  	Résultat
a-squared	4.0.0.101	2009.02.27	-
AntiVir	7.9.0.93	2009.02.26	-
Authentium	5.1.0.4	2009.02.27	-
Avast	4.8.1335.0	2009.02.26	-
AVG	8.0.0.237	2009.02.26	-
BitDefender	7.2	2009.02.27	-
CAT-QuickHeal	10.00	2009.02.27	-
ClamAV	0.94.1	2009.02.26	-
Comodo	986	2009.02.20	-
DrWeb	4.44.0.09170	2009.02.27	-
eSafe	7.0.17.0	2009.02.26	-
eTrust-Vet	31.6.6375	2009.02.26	-
F-Prot	4.4.4.56	2009.02.26	-
F-Secure	8.0.14470.0	2009.02.27	-
Fortinet	3.117.0.0	2009.02.26	-
GData	19	2009.02.27	-
Ikarus	T3.1.1.45.0	2009.02.27	-
K7AntiVirus	7.10.648	2009.02.26	-
Kaspersky	7.0.0.125	2009.02.27	-
McAfee	5537	2009.02.26	-
McAfee+Artemis	5537	2009.02.26	-
Microsoft	1.4306	2009.02.26	-
NOD32	3893	2009.02.26	-
Norman	6.00.06	2009.02.26	-
nProtect	2009.1.8.0	2009.02.26	-
Panda	10.0.0.10	2009.02.26	-
PCTools	4.4.2.0	2009.02.26	-
Prevx1	V2	2009.02.27	-
Rising	21.18.40.00	2009.02.27	-
SecureWeb-Gateway	6.0.0	2009.02.27	-
Sophos	4.39.0	2009.02.26	-
Sunbelt	3.2.1858.2	2009.02.26	-
Symantec	10	2009.02.27	-
TheHacker	6.3.2.5.266	2009.02.26	-
TrendMicro	8.700.0.1004	2009.02.26	-
VBA32	3.12.10.1	2009.02.26	-
ViRobot	2009.2.26.1625	2009.02.26	-
VirusBuster	4.5.11.0	2009.02.26	-
Information additionnelle
File size: 966656 bytes
MD5...: fef363534b2e325a1ae11de7b12441e3
SHA1..: 7a5c60b2cebc04551d045d2ac1b0cd0255c5b06e
SHA256: 0521eafc11cf700bcfa5fb3005c9852f638abdfa3b736ceaf314e3e21751b1bf
SHA512: 11d5680d4fed529d673f0f8817b120c010a379930157482c1eb2897f34979174
d921a6f73d438b38be7439709741bd6b3e09f186e12c38d8e47ea78365a11dc7
ssdeep: 12288:y1kWrBgABQZ8Tf6dbgxjakYGPXGYEd0mEBrzXVybwQm+AxCyf2hL+2bLfR
L:yBgn8W+xekNrzXVybwux82hL+2bLfRL
PEiD..: -
TrID..: File type identification
Generic .NET DLL/Assembly (94.3%)
Win32 Executable Generic (3.2%)
Win16/32 Executable Delphi generic (0.7%)
Generic Win/DOS Executable (0.7%)
DOS Executable Generic (0.7%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x795fc67e
timedatestamp.....: 0x488f11c4 (Tue Jul 29 12:49:08 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2000 0xca684 0xcb000 5.76 20eda7e5a4463b705192ce017f1b2383
.rsrc 0xce000 0x1e790 0x1f000 3.78 96ef21c5b29c32a0423e25e20d94fa21
.reloc 0xee000 0xc 0x1000 0.02 bef9767c2e001c7b351087238fae121c

( 1 imports )
> mscoree.dll: _CorDllMain

( 0 exports ) 




---------------------------------------
HiJackThis
---------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:26:29, on 27/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\PrintKey2000\Printkey2000.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Printkey2000.lnk = C:\Program Files\PrintKey2000\Printkey2000.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

DeNisCoOl · Answer

salut,

-- C:\Program Files\Reference Assemblies\Microsoft\Framework\v3.0\System.Runtime.Serializa­tion.dll 
Est donc un faux positif, je vais en parler au créateur de l'outil.


-- Je ne vois rien sur votre rapport HJThis.
Avez vous pu réinstaller Zone Alarm depuis?

D'autres symptômes?
Si oui on va continuer l'analyser un peu plus loin.

A+

Nicosprint · Answer

Non malheureusement je n'arrive pas à installer ZA ni a virer le répertoire de l'ancien ZA.
Pendant l'installation il me demande de couper True Vector (je ne sais pas ce que c'est) mais j'ai trouvé dans un forum que d'autres avec le même problème pour l'install avait fait ça :"Allez dans demarrer ) rechercher )tous les fichiers et tout les dossiers)et tapez vsmon comme objet de recherche)vous aurez une liste supprimez celui qui est sur la meme ligne que zone labs en faisant un click droit et supprimer" ( http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/probleme-true-vector-sujet_12542_1.htm ) mais quand j'essaye de supprimer des fichiers du répertoire de Zone Labs j'ai "Impossible accès refusé". Mais l'install va quand même plus loin qu'avant je crois.
Et j'ai aussi encore les mêmes symptomes : 2-J'ai Internet pendant environ dix minutes après le démarrage de l'ordi, après si je veux encore me connecter je dois redémarrer - Dans mes connexions réseau il y a ma connexion au réseau local qui me semble normale (Freebox) et en plus une "connexion 1394" que je n'avais jamais remarqué avant et qui me surprend beaucoup, je l'ai désactivé, je ne sais pas si j'ai eu raison ou tort.

3-A chaque démarrage windows détecte des nouveaux périphériques qu'il n'arrive pas à installer. 


Mais je ne sais pas si c'est de une mauvaise manip de ma part ou un effet d'un virus.

Nicosprint · Answer

En fait je me demande si j'ai encore le problème de connexion, j'ai rebooté 15 fois dans la soirée mais la ça doit faire 20 bonnes minutes...
Je vais redémarrer dans 5 minutes pour voir si la connexion tient le coup et si ils me parle encore de périphériques au démarrage.

DeNisCoOl · Answer

salut,

-- celui qui est sur la meme ligne que zone labs en faisant un click droit et supprimer" ( http://forum.telecharger.01net.com/forum/ ) mais quand j'essaye de supprimer des fichiers du répertoire de Zone Labs j'ai "Impossible accès refusé"
Essayez de le supprimer en mode sans échec, mais le méchant bagle à souvent la fâcheuse habitude de planter le MSE.
Pour réparer l'accès au mode sans échec, télécharger :

    * l'utilitaire suivant : https://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe
    * Ou l'un de ces fichiers *.reg selon la version de windows :
http://www.assistepc.com/forum/reparer-le-mode-sans-echec-de-windows-vt867.html


-- en plus une "connexion 1394" que je n'avais jamais remarqué avant et qui me surprend beaucoup, je l'ai désactivé, je ne sais pas si j'ai eu raison ou tort.
Effectivement vous avez eu tord, vous serez fouetté en place publique pour votre infamie ;-)
Cette connexion 1394 est celle de la carte réseau filaire, la seconde est celle de l'accès réseau à distance.
Cette connexion 1394 ne s'affiche pas dans le cas d'une connexion sans fil bien entendu.
En redémarrant elle devrait se réactiver si je ne m'abuses.


-- A chaque démarrage windows détecte des nouveaux périphériques qu'il n'arrive pas à installer.
Avez vous été regardé dans le gestionnaire de périphérique, j'imagine que vous devez avoir des points d'exclamation ou d'interrogation concernant ces périphériques.

Pour les pilotes endommagé, allez sur Touslesdrivers.com : https://www.touslesdrivers.com/index.php?v_page=29
Appuyer sur le bouton Lancer la détection, autorisez l’installation de l’application qui va faire l’analyse de tous les pilotes de votre machine.
Choisir la dernière version des pilotes de périphérique qui pose problème, ne pas toucher aux autres tant que ceux ci fonctionnent c’est inutile de tout mettre à jour.


Pour compléter l'analyse :
-- Télécharge --> Ici <-- random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (que tu verras dans la barre des tâches). 

NB : Les rapports sont sauvegardés dans le dossier C:\rsit 


A+


Denis

Nicosprint · Answer

La connexion a l'air d'être redevenue normale, super !
J'ai aussi pu effacer Avast ce qui n'était pas possible avant par contre les fichiers du répertoire de ZA sont toujours "accès refusé" et Windows détecte toujours des périphériques qu'il n'arrive pas à installer au démarrage et j'ai supprimé plusieurs fois ce répertoire et son contenu mais il revient régulièrement : C:\Documents and Settings\postgres J'ai téléchargé postgresSQL.

DeNisCoOl · Answer

salut,

je t'ai répondu entre temps, message 12.
dans le doute consulte google avant de fermer ou supprimer quelque chose cela évite les mauvaises surprise.
et sur firefox rajoutes le add on Web of Trust il indiquera si les sites que tu visites sont sure donc que les informations ou les téléchargements devraient être sure.

A+

Nicosprint · Answer

Logfile of random's system information tool 1.05 (written by random/random)
Run by Nico at 2009-02-27 07:12:44
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 22 GB (58%) free of 38 GB
Total RAM: 2046 MB (70% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:12:51, on 27/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\PrintKey2000\Printkey2000.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Logitech\SetPoint II\SetPointII.exe
C:\Documents and Settings\Nico\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Nico.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Printkey2000.lnk = C:\Program Files\PrintKey2000\Printkey2000.exe
O4 - Global Startup: SetPointII.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

DeNisCoOl · Answer

salut,


--  Relance MB'AM fais les mises à jours, lancer un examen rapide.
* Si des malwares ont été détectés, leur liste s'affiche. 
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
*Le coller dans le prochain message

* Pour terminer le nettoyage tu auras peut être besoin de redémarrer.


-- Télécharger SmitfraudFix - S!Ri -> http://siri.urz.free.fr/Fix/SmitfraudFix.php
Dézipper la totalité de l'archive smitfraudfix.zip. 
Double cliquer sur smitfraudfix.cmd
Option 5 recherche et supprime les détournements DNS. Ces infections sont dû à l'infection http://www.malekal.com/Trojan-DNS-k.phpTrojan-DNS, celle-ci modifie la configuration DNS afin d'effectuer des redirections lors des recherches Google.
Poster le rapport dans ton prochain message C:\rapport.txt. 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.


-- j'ai dans gestionnaire de périphérique\autres périphériques\un "périphérique inconnu" avec un "?"
habituellement c'est soit le la carte son, carte graphique, l'imprimante, y'a t-il une information sur le type de périphérique?



A+

Nicosprint · Answer

Bonjour,

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1811
Windows 5.1.2600 Service Pack 3

28/02/2009 02:16:07
mbam-log-2009-02-28 (02-16-01).txt

Type de recherche: Examen rapide
Eléments examinés: 59432
Temps écoulé: 2 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\uteznza5 (Rootkit.Bagle) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\uteznza5 (Rootkit.Bagle) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\uteznza5 (Rootkit.Bagle) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\uteznza5.sys (Rootkit.Bagle) -> No action taken.






SmitFraudFix v2.398

Rapport fait à  2:22:31,56, 28/02/2009
Executé à partir de C:\Documents and Settings\Nico\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\PrintKey2000\Printkey2000.exe
C:\Program Files\Logitech\SetPoint II\SetpointII.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 mpa.one.microsoft.com
127.0.0.1	www.legal-at-spybot.info
127.0.0.1	legal-at-spybot.info
127.0.0.1	www.spywareinfo.com
127.0.0.1	spywareinfo.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Nico


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Nico\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Nico\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Nico\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8168C(P)/8111C(P) PCI-E Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.241
DNS Server Search Order: 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A91DF103-C0A0-4762-95B5-DBBDC797F8A5}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A91DF103-C0A0-4762-95B5-DBBDC797F8A5}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A91DF103-C0A0-4762-95B5-DBBDC797F8A5}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

J'ai refait un scan avec MAM après et il était clean.

DeNisCoOl · Answer

salut,

Tu ne lis pas au complet les procédures ;-)

-- J'avais demandé option 5 pour smitfraudifx.
Et MB'AM il fallait supprimer les infections immédiatement.


-- Réessayes l'outil pour enlever Avast.


-- Des infos sur le périphérique manquant?


-- Repasser Wise Registry Cleaner, essayer du même éditeur Wise Disk Cleaner pour les fichiers temporaires.


A+

Nicosprint · Answer

Oups oui j'avais mal vu

SmitFraudFix v2.398

Rapport fait à  5:05:17,51, 28/02/2009
Executé à partir de C:\Documents and Settings\Nico\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Description: Realtek RTL8168C(P)/8111C(P) PCI-E Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.241
DNS Server Search Order: 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A91DF103-C0A0-4762-95B5-DBBDC797F8A5}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A91DF103-C0A0-4762-95B5-DBBDC797F8A5}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A91DF103-C0A0-4762-95B5-DBBDC797F8A5}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

Description: Realtek RTL8168C(P)/8111C(P) PCI-E Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.241
DNS Server Search Order: 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A91DF103-C0A0-4762-95B5-DBBDC797F8A5}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A91DF103-C0A0-4762-95B5-DBBDC797F8A5}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A91DF103-C0A0-4762-95B5-DBBDC797F8A5}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240

En fait pour MBAM j'avais ouvert le rapport puis appuyé sur "supprimer".
J'ai finalement pu supprimé le répertoire Avast.
Et Windows a arrêté de détecter des nouveaux périphs au démarrage.

"Repasser Wise Registry Cleaner, essayer du même éditeur Wise Disk Cleaner pour les fichiers temporaires. " - Fait

DeNisCoOl · Answer

salut,

Ou en sont les symptômes?

A+

nicosprint · Answer

Hello,

Je n'ai pas réussi à résoudre mon problème de connexion alors j'ai craqué au bout du 238ème reboot et j'ai tout réinstallé.

Merci beaucoup pour l'assistance.

DeNisCoOl · Answer

salut,

Désolé de ne pas avoir pu t'aiguiller plus tôt.
La connexion internet est souvent modifié par Bagle.
La connexion 1394 était elle revenu après redémarrage?
Je pensais d'après ton dernier rapport que cela allait mieux.

A+

patino · Answer

est ce que tu parle séryeux ou...? prceque moi j'ai un doute et quant je voit un raport cmme le tien je dit que c'est de la plaisebtrée mai bon merçie pour le conceil est je vais voir avec ça!!!

Un virus a transformé mon XP en passoire - Page 2

Discussions similaires

Newsletters