Cheval de troie

Alex -  
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité -
Bonjour,
J'ai un cheval de troie m'empêchant d'utiliser toutes les applications de mon ordinateur, je ne peux pas non plus ouvrir le disque C:(disque local), par contre j'ai deux navigateurs internets de réserve qui eux fonctionnent. Je ne peux plus non plus ouvrir Kaspersky ni Malware's bytes pour supprimer le virus. Je ne vois absolument pas comment m'en débarrasser! Pourriez-vous m'aider au plus vite S.V.P.
Merci d'avance
Configuration: Windows XP
Safari 525.19

24 réponses

  • 1
  • 2
Résumé de la discussion

Un cheval de Troie bloque l’accès à la plupart des programmes et empêche l’ouverture du disque C sous Windows XP, rendant l’antivirus inopérant et la suppression impossible. Plusieurs conseils préconisent d’utiliser des outils spécialisés tels HijackThis et SmitFraudFix pour générer des rapports et intervenir sur les éléments système et les clés de démarrage. Le nettoyage implique aussi la suppression d’autorun.inf sur les supports amovibles et la restauration des serveurs DNS légitimes afin de rétablir la navigation et les mises à jour. En parallèle, une fois le système nettoyé, il est nécessaire de redémarrer les services antivirus et de vérifier les paramètres réseau afin de prévenir durablement une réinfection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Eliepsg Messages postés 45 Statut Membre 5
     
    as tu un antivrus ?
    0
    1. Alex
       
      Oui j'utilise Kaspersky internet security mais il refuse de se lancer.
      0
  2. Eliepsg Messages postés 45 Statut Membre 5
     
    il s'apelle rundll32 ??
    0
    1. Utilisateur anonyme
       
      bonjour, avez vous téléchargé des cracks ?
      0
    2. Alex
       
      Voila le message que je reçois lorsque je tente d'ouvrir une application, que ce soit msn, Word, Internet explorer ou autres:
      svchost.exe - Erreur d'application

      L'instruction à "0x75586eb5" emploie l'adressse mémoire "0x00000008". La mémoire ne peut pas être "read".

      Cliquez sur Ok pour terminer le programme.
      Cliquez sur Annuler pour déboguer le programme.
      0
    3. Alex > Utilisateur anonyme
       
      Des cracks? Non je ne crois pas.
      0
    4. Utilisateur anonyme > Alex
       
      Hijackthis: Outil de diagnoctic et de réparation
      Pour Vista, désactiver l'UAC (contrôle de compte d'utilisateurs)
      Télécharger le fichier d'installation d'Hijackthis https://www.01net.com/404/ /internet_utilitaire/fiches/29061.html
      Enregistrer HJInstall.exe sur le bureau
      Double-cliquer sur HJIinstall.exe pour lancer le programme
      Accepter la licence en cliquant sur "I accept"
      Cliquer sur "Do a system scan and save a log file"
      Cliquer sur "Save log" pour enregistrer le rapport qui s'ouvrira
      avec le bloc-note
      Poster le rapport: Cliquer sur "édition" en haut du bloc-note
      Cliquer sur "tout sélectiionner", revenir sur "édition", et cliquer sur
      "copier", revenir sur le forum sur ta réponse, clic droit sur la zone du
      message, puis coller
      Ne pas fixer de lignes avant d'avoir reçu des instructions, les lignes se
      fixent après la désinfection du PC
      0
    5. Alex > Utilisateur anonyme
       
      merci d'avance j'essaie tout de suite!
      0
  3. Alex
     
    voici le deuxième rapport

    -----------\\ [..\Internet Explorer\Main]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
    "Start Page"="http://www.msn.fr/"
    "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
    "Search Bar"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"="http://www.01net.com/telecharger/"
    "Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
    "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
    "Start Page"="http://www.msn.com/"

    --------------------\\ Recherche d'autres infections

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters]
    NameServer REG_SZ 85.255.112.150,85.255.112.69
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters]
    NameServer REG_SZ 85.255.112.150,85.255.112.69
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
    NameServer REG_SZ 85.255.112.150,85.255.112.69
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}]
    NameServer REG_SZ 85.255.112.150,85.255.112.69
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}]
    NameServer REG_SZ 85.255.112.150,85.255.112.69
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}]
    NameServer REG_SZ 85.255.112.150,85.255.112.69
    [b]==> WAREOUT <==/b

    --------------------\\ Cracks & Keygens ..

    C:\DOCUME~1\user\Bureau\jeu\EAG\150 EA Games Keygen 2007
    C:\DOCUME~1\user\Bureau\jeu\EAG\150 EA Games Keygen 2007\Exactly 150 EA Games.txt
    C:\DOCUME~1\user\Bureau\jeu\EAG\150 EA Games Keygen 2007\FFF - EA 150.exe
    C:\DOCUME~1\user\Mes documents\Downloads\governor of poker\governor of poker\Crack
    C:\DOCUME~1\user\Mes documents\Downloads\governor of poker\governor of poker\Crack\GovernorofPoker_Alawar_EN.exe

    1 - "C:\ToolBar SD\TB_1.txt" - 14/03/2009|17:11 - Option : [1]
    2 - "C:\ToolBar SD\TB_2.txt" - 14/03/2009|17:15 - Option : [2]

    -----------\\ Fin du rapport a 17:15:49,70
    0
    1. Utilisateur anonyme
       
      supprime les cracks
      0
  4. Alex
     
    oups j'en ai oublié une partie en voici l'intégrale

    -----------\\ ToolBar S&D 1.2.8 XP/Vista

    Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
    X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3200+ )
    BIOS : Phoenix - AwardBIOS v6.00PG
    USER : user ( Administrator )
    BOOT : Normal boot
    Antivirus : Kaspersky Internet Security 7.0.1.325 (Activated)
    Firewall : Kaspersky Internet Security 7.0.1.325 (Activated)
    A:\ (USB)
    C:\ (Local Disk) - NTFS - Total:78 Go (Free:6 Go)
    D:\ (Local Disk) - NTFS - Total:74 Go (Free:74 Go)
    E:\ (CD or DVD)
    F:\ (CD or DVD)

    "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
    Option : [2] ( 14/03/2009|17:14 )

    -----------\\ SUPPRESSION

    Supprime! - C:\DOCUME~1\user\LOCALS~1\Temp\NERO13895\Toolbar.exe
    Supprime! - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
    Supprime! - C:\Program Files\DAEMON Tools Toolbar\FirefoxDTT
    Supprime! - C:\Program Files\DAEMON Tools Toolbar\Resources
    Supprime! - C:\Program Files\DAEMON Tools Toolbar\uninst.exe
    Supprime! - C:\Program Files\DAEMON Tools Toolbar\_DTLite.xml
    Supprime! - C:\Program Files\DAEMON Tools Toolbar

    -----------\\ Recherche de Fichiers / Dossiers ...

    -----------\\ Extensions

    (test ordi) - {b9db16a4-6edc-47ec-a1f4-b86292ed211d} => dwhelper

    (user) - {b9db16a4-6edc-47ec-a1f4-b86292ed211d} => dwhelper

    -----------\\ [..\Internet Explorer\Main]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
    "Start Page"="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fimg%2ffr%2ffr-fr%2fdivertissement%2fcelebrites%2fgalery%2fwentworth02.jpg%3f"
    "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
    "Search Bar"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"="https://www.01net.com/telecharger/"
    "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
    "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
    "Start Page"="https://www.msn.com/fr-fr/"

    --------------------\\ Recherche d'autres infections

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters]
    NameServer REG_SZ 85.255.112.150,85.255.112.69
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters]
    NameServer REG_SZ 85.255.112.150,85.255.112.69
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
    NameServer REG_SZ 85.255.112.150,85.255.112.69
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}]
    NameServer REG_SZ 85.255.112.150,85.255.112.69
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}]
    NameServer REG_SZ 85.255.112.150,85.255.112.69
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}]
    NameServer REG_SZ 85.255.112.150,85.255.112.69
    [b]==> WAREOUT <==/b

    --------------------\\ Cracks & Keygens ..

    C:\DOCUME~1\user\Bureau\jeu\EAG\150 EA Games Keygen 2007
    C:\DOCUME~1\user\Bureau\jeu\EAG\150 EA Games Keygen 2007\Exactly 150 EA Games.txt
    C:\DOCUME~1\user\Bureau\jeu\EAG\150 EA Games Keygen 2007\FFF - EA 150.exe
    C:\DOCUME~1\user\Mes documents\Downloads\governor of poker\governor of poker\Crack
    C:\DOCUME~1\user\Mes documents\Downloads\governor of poker\governor of poker\Crack\GovernorofPoker_Alawar_EN.exe

    1 - "C:\ToolBar SD\TB_1.txt" - 14/03/2009|17:11 - Option : [1]
    2 - "C:\ToolBar SD\TB_2.txt" - 14/03/2009|17:15 - Option : [2]

    -----------\\ Fin du rapport a 17:15:49,70
    0
    1. Utilisateur anonyme
       
      les cracks poubelle
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Pour info, il y a ça à supprimer car source de virus :
    C:\DOCUME~1\user\Bureau\jeu\EAG\150 EA Games Keygen 2007
    C:\DOCUME~1\user\Bureau\jeu\EAG\150 EA Games Keygen 2007\Exactly 150 EA Games.txt
    C:\DOCUME~1\user\Bureau\jeu\EAG\150 EA Games Keygen 2007\FFF - EA 150.exe
    C:\DOCUME~1\user\Mes documents\Downloads\governor of poker\governor of poker\Crack
    C:\DOCUME~1\user\Mes documents\Downloads\governor of poker\governor of poker\Crack\GovernorofPoker_Alawar_EN.exe
    0
    1. Utilisateur anonyme
       
      j'avais vu et doit les supprimer comment et a-t-il une infection bagle ?
      0
    2. Alex > Utilisateur anonyme
       
      J'ai supprimé tout les cracks.
      0
    3. Alex > Utilisateur anonyme
       
      Qu'est ce qu'une infection bagle?
      0
    4. Utilisateur anonyme > Alex
       
      C'est bien, car ils sont sources d'infection évites de télécharger ces saloperies car ta vas attraper des bagle
      0
    5. Utilisateur anonyme > Alex
       
      c'est un ver qui bloque les applications
      0
  7. Alex
     
    Car les programmes se lancent mais le message s'affichent tout de même, mais je peux utiliser les programmes!
    ET quand je tente d'ouvrir le disque local le message suivant appairait:

    Windowq ne trouve pas 'RECYCLERS/S-1-5-65-100023997-100022468-100017045-2946.com'.Vérifiez que vous avez entrez le nom correctement et essayez à nouveau.
    0
  8. Alex
     
    pimprenelle27, que dois-je faire maintenant??
    0
  9. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Etape 1/ Télécharge :

    - FindyKill http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe sur le Bureau.

    Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.

    # Etape 2/

    Lance l'installation avec les paramètres par défaut
    - Double-clique sur le raccourci FindyKill sur le Bureau (sous Vista : clic droit sur le raccourci --> Exécuter en temps qu'Administrateur)
    - Au menu principal, sélectionne l'option 1 (Recherche)
    et l option 4 : Recherche Cracks / Keygens
    cette recherche se fait sur le pc et sur les disques amovibles , il est donc important qu ils soient branché ..
    - Le rapport est sauvegardé à la racine du disque dur (C:\FindyKill.txt )
    Avant de faire quoi que ce soit d'autre, il est fortement recommandé de poster le rapport sur le forum pour avoir l'avis d'un spécialiste.Après confirmation par un intervenant qualifié du forum, passe au nettoyage

    Si besoin: Tutoriel

    Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

    0
    1. Alex
       
      voila le 1er rapport:

      ############################## [ FindyKill V4.720 ]

      # User : user () # USER-32970EDCF9
      # Update on 12/03/09 by Chiquitine29
      # Start at: 19:59:26 | 14/03/2009

      # AMD Athlon(tm) 64 Processor 3200+
      # Microsoft Windows XP dition familiale (5.1.2600 32-bit) # Service Pack 3
      # Internet Explorer 7.0.5730.11
      # Windows Firewall Status : Disabled
      # AV : Kaspersky Internet Security 7.0.1.325 [ Enabled | Updated ]
      # FW : Kaspersky Internet Security[ Enabled ]7.0.1.325

      # A:\ # Lecteur de disquettes 3 « pouces
      # C:\ # Disque fixe local # 78,13 Go (11,03 Go free) # NTFS
      # D:\ # Disque fixe local # 74,53 Go (74,17 Go free) [2nde partition] # NTFS
      # E:\ # Disque CD-ROM
      # F:\ # Disque CD-ROM

      ############################## [ Processus actifs ]

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\WINDOWS\system32\LVCOMSX.EXE
      C:\Program Files\Logitech\Video\LogiTray.exe
      C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
      C:\Program Files\Java\jre6\bin\jusched.exe
      C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\Program Files\DAEMON Tools Lite\daemon.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Trust\Trust R-series Mouse And Keyboard\MouseDrv.exe
      C:\Documents and Settings\user\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Trust\Trust R-series Mouse And Keyboard\KMWDSrv.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Logitech\Video\FxSvr2.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
      C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
      C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      ################## [ Fichiers / Dossiers infectieux C:\ ]


      ################## [ C:\WINDOWS ]


      ################## [ C:\WINDOWS\system32 ]


      ################## [ C:\WINDOWS\system32\drivers ]


      ################## [ C:\.. Application Data ... ]


      ################## [ Registre / Clés infectieuses ]



      ################## [ Recherche dans supports amovibles]


      # Contenu de l'autorun : C:\autorun.inf

      [autorun]
      ;kdwdrcyzi
      shellexecute="RECYCLER\S-1-5-65-100023997-100022468-100017045-2946.com c:\"
      ;kzplgkmqvauopymbntngxui
      shell\Open\command="RECYCLER\S-1-5-65-100023997-100022468-100017045-2946.com c:\"
      ;fgubdpdzdvsjgvmcspfchagwlqbfjpkqgcpswgyygsriyietorqbgidydufzkzy
      shell=Open


      # Contenu de l'autorun : D:\autorun.inf

      [autorun]
      ;mvsorisszlcogno
      shellexecute="RECYCLER\S-1-5-65-100023997-100022468-100017045-2946.com d:\"
      ;ppwgsfafnwqdenhttzlcmperquoxynqfdzfvfwlmsrtsfoybfdbetrhjsavbwnzgajuanwpswthhfwih
      shell\Open\command="RECYCLER\S-1-5-65-100023997-100022468-100017045-2946.com d:\"
      ;chbieqftnwykfbycvbkezfz
      shell=Open

      # Presence des fichiers :

      Found ! [14/03/2009 12:51][-r-hs----] - C:\autorun.inf
      Found ! [14/03/2009 12:51][-r-hs----] - D:\autorun.inf

      ################## [ Registre / Mountpoint2 ]

      Found ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d1f4f92f-a6ed-11dd-8147-0013d39b0683}\Shell\explore\Command
      Found ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d1f4f92f-a6ed-11dd-8147-0013d39b0683}\Shell\open\Command

      ################## [ ! Fin du rapport # FindyKill V4.720 ! ]
      0
      1. Alex > Alex
         
        et voila le second

        ################################### [ FindyKill V4.720 ]

        # User : user () # USER-32970EDCF9
        # Update on 12/03/09 by Chiquitine29
        # Start at: 20:02:52 | 14/03/2009

        # AMD Athlon(tm) 64 Processor 3200+
        # Microsoft Windows XP dition familiale (5.1.2600 32-bit) # Service Pack 3
        # Internet Explorer 7.0.5730.11
        # Windows Firewall Status : Disabled
        # AV : Kaspersky Internet Security 7.0.1.325 [ Enabled | Updated ]
        # FW : Kaspersky Internet Security[ Enabled ]7.0.1.325

        # A:\ # Lecteur de disquettes 3 « pouces
        # C:\ # Disque fixe local # 78,13 Go (11,03 Go free) # NTFS
        # D:\ # Disque fixe local # 74,53 Go (74,17 Go free) [2nde partition] # NTFS
        # E:\ # Disque CD-ROM
        # F:\ # Disque CD-ROM

        ################################### [ Cracks / Keygens ... ]




        ################## [ ! Fin du rapport # FindyKill V4.720 ! ]
        0
  10. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    ah oui quand même.

    Etape 3/

    Branche toutes tes sources de données externes au PC (clés USB, disques durs externes, lecteurs mp3, iPod...) sans les ouvrir- Relance FindyKill,
    - Cette fois, sélectionne l'option 2 (Suppression) au menu principal.
    - Il y aura 1 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "Nettoyage effectué !"
    - Ensuite poste le rapport C:\FindyKill.txt

    Ensuite ceci :

    Téléchargez SmitfraudFix et enregistrez-le sur le bureau
    * Ensuite, double cliquez sur SmitfraudFix puis sur Exécuter. (Sous Vista : clic droit sur SmitfraudFix et sélectionnez "Exécuter en tant qu'administrateur")
    * Sélectionnez 1 pour créer un rapport des fichiers responsables de l'infection.
    * A la fin de l'analyse, un rapport va être généré...Enregistrez-le sur le bureau.

    Regarde bien le tuto qui est avec

    /!\ Postez le rapport sur le forum pour savoir si la suppression peut être lancée.

    En mode sans echec la suppression des fichiers présents.

    process.exe
    est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    http://www.beyondlogic.org/consulting/processutil/processutil.htm

    Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

    0
  11. Alex
     
    Problème, l'outil me marque: erreur: la clé est introuvable, le système ne peut pas accéder au registre (ce ne sont pas les termes totalement exacts mais à quelques mots prêts)
    cela s'est passé après le redémarrage de l'ordinateur
    0
    1. Utilisateur anonyme
       
      bonsoir, est-ce que le message "nettoyage effectué" est apparu ?
      0
    2. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
       
      ok mais findykill tu as le rapport après supression?
      0
      1. Alex > pimprenelle27 Messages postés 22182 Statut Contributeur sécurité
         
        J'ai rééssayé et j'ai le rapport!!

        ############################## [ FindyKill V4.720 ]

        # User : user () # USER-32970EDCF9
        # Update on 12/03/09 by Chiquitine29
        # Start at: 21:30:35 | 14/03/2009

        # AMD Athlon(tm) 64 Processor 3200+
        # Microsoft Windows XP dition familiale (5.1.2600 32-bit) # Service Pack 3
        # Internet Explorer 7.0.5730.11
        # Windows Firewall Status : Disabled
        # AV : Kaspersky Internet Security 7.0.1.325 [ Enabled | Updated ]
        # FW : Kaspersky Internet Security[ Enabled ]7.0.1.325

        # A:\ # Lecteur de disquettes 3 « pouces
        # C:\ # Disque fixe local # 78,13 Go (11,06 Go free) # NTFS
        # D:\ # Disque fixe local # 74,53 Go (74,17 Go free) [2nde partition] # NTFS
        # E:\ # Disque CD-ROM
        # F:\ # Disque CD-ROM

        ############################## [ Active Processes ]

        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\csrss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\Ati2evxx.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\system32\Ati2evxx.exe
        C:\WINDOWS\SOUNDMAN.EXE
        C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
        C:\WINDOWS\system32\LVCOMSX.EXE
        C:\Program Files\Logitech\Video\LogiTray.exe
        C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
        C:\Program Files\Java\jre6\bin\jusched.exe
        C:\Program Files\iTunes\iTunesHelper.exe
        C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
        C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
        C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
        C:\Program Files\Trust\Trust R-series Mouse And Keyboard\MouseDrv.exe
        C:\Program Files\DAEMON Tools Lite\daemon.exe
        C:\Program Files\Bonjour\mDNSResponder.exe
        C:\WINDOWS\system32\ctfmon.exe
        C:\Documents and Settings\user\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
        C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
        C:\Program Files\Java\jre6\bin\jqs.exe
        C:\Program Files\Trust\Trust R-series Mouse And Keyboard\KMWDSrv.exe
        C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
        C:\WINDOWS\system32\svchost.exe
        C:\Program Files\iPod\bin\iPodService.exe
        C:\Program Files\Logitech\Video\FxSvr2.exe
        C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
        C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
        C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\wbem\wmiprvse.exe

        ################## [ Infected Files / Folders C:\ ]


        ################## [ C:\WINDOWS ]


        ################## [ C:\WINDOWS\system32 ]


        ################## [ C:\WINDOWS\system32\drivers ]


        ################## [ C:\.. Application Data ... ]


        ################## [ Registry / Infected keys ]


        ################## [ Cleaning Removable drives ]

        # Deleting files :

        Deleted ! - C:\autorun.inf
        Deleted ! - D:\autorun.inf

        ################## [ Registry / Mountpoint2 ]

        Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d1f4f92f-a6ed-11dd-8147-0013d39b0683}\Shell\explore\Command
        Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d1f4f92f-a6ed-11dd-8147-0013d39b0683}\Shell\open\Command

        ################## [ Searching Other Infections ]

        # -> Nothing found.

        ################## [ ! End of Report # FindyKill V4.720 ! ]
        0
      2. Utilisateur anonyme > Alex
         
        c'est bien, les applications se sont -elles débloquées?
        0
      3. Alex > Utilisateur anonyme
         
        Je peux de nouveau ouvrir C:
        Internet explorer bugue encore et messenger ne se lance pas ainsi que les antivirus
        Le reste fonctionne
        0
  12. Alex
     
    et voici le rapport de recherche de Smit fraud fix

    SmitFraudFix v2.403

    Rapport fait à 23:56:36,18, 14/03/2009
    Executé à partir de C:\Documents and Settings\user\Mes documents\Downloads\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Trust\Trust R-series Mouse And Keyboard\KMWDSrv.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Documents and Settings\user\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\notepad.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    C:\Documents and Settings\user\Mes documents\Downloads\SmitfraudFix\Policies.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\user

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\user\LOCALS~1\Temp

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\user\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\user\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    C:\Program Files\Applications\ PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    Agent.OMZ.Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\adialhk.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

    Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 85.255.112.150
    DNS Server Search Order: 85.255.112.69

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: NameServer=212.27.53.252,212.27.54.252
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.112.150,85.255.112.69

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  13. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    c'est bien ça détournement de DNS: 85.255.x.x détecté !

    Donc suit bien ce qui va suivre :

    Redémarre en mode sans échec comme indiqué ici ; Choisis ta session courante.

    Relance SmitfraudFix Puis choisir l'option 2 suppression et me poster le rapport.

    Une fois l'option 2 faite relancer smithfraud, et ensuite faire l'option 5 et me poster le rapport aussi.
    0
  14. Alex
     
    voici le rapport
    SmitFraudFix v2.403

    Rapport fait à 0:10:33,17, 15/03/2009
    Executé à partir de C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\Application\1.0.154.48\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\Program Files\Applications\ supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

    Agent.OMZ.Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

    Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 85.255.112.150
    DNS Server Search Order: 85.255.112.69

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: NameServer=212.27.53.252,212.27.54.252
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.112.150,85.255.112.69

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  15. Alex
     
    voici le rapport pour le 5!!
    SmitFraudFix v2.403

    Rapport fait à 0:15:46,32, 15/03/2009
    Executé à partir de C:\Documents and Settings\user\Mes documents\Downloads\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

    Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

    Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 85.255.112.150
    DNS Server Search Order: 85.255.112.69

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: NameServer=212.27.53.252,212.27.54.252
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.112.150,85.255.112.69

    »»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

    Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

    Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 85.255.112.150
    DNS Server Search Order: 85.255.112.69

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: NameServer=212.27.53.252,212.27.54.252
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.112.150,85.255.112.69
    0
  16. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    ça n'a rien donné bizarre, pourquoi c'est marqué Fix executé en mode normal

    J'ai demandé mode sans echec, peux tu me refaire l'option 5 mode sans echec. Merci.
    0
  17. Alex
     
    il me dit:
    Mode normal seulement appuyer sur une touche pour continuer
    je le fais et il se remet au menu principal
    0
  18. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    refais le mois en mode normale alors
    0
  19. Alex
     
    SmitFraudFix v2.403

    Rapport fait à 0:34:50,53, 15/03/2009
    Executé à partir de C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\Application\1.0.154.48\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

    Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

    Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 85.255.112.150
    DNS Server Search Order: 85.255.112.69

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: NameServer=212.27.53.252,212.27.54.252
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.150,85.255.112.69
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.112.150,85.255.112.69

    »»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FB9B467-4616-4F4A-8A41-F550BC10C60D}: DhcpNameServer=212.27.40.241 212.27.40.240
    0
  20. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    ah ouais je préfère celui comme rapport après fix, là il à dû avoir un beug. ouf.

    Maintenant poste moi un nouvel hijackthis puis ceci :

    Fait ceci et poste moi le rapport à la suite de la question êtes vous aider par quelqu'un, répondre oui. Merci.

    Télécharge GenProc sur ton bureau (Attention le fichier est un fichier zip)
    Dézippe le dossier, double-clique sur GenProc.bat
    En final, poste le contenu du rapport qui s'affiche.
    Comment utiliser GenProc

    Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

    IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvent il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement )

    0
  21. Alex
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 00:42:30, on 15/03/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16791)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Trust\Trust R-series Mouse And Keyboard\MouseDrv.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    C:\Program Files\DAEMON Tools Lite\daemon.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Documents and Settings\user\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Program Files\Logitech\Video\FxSvr2.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Trust\Trust R-series Mouse And Keyboard\KMWDSrv.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    C:\Documents and Settings\user\Mes documents\Downloads\HiJackThis.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: IsoBuster Toolbar - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - C:\Program Files\IsoBuster\tbIso0.dll
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: IsoBuster Toolbar - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - C:\Program Files\IsoBuster\tbIso0.dll
    O2 - BHO: IE to GetRight Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
    O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: IsoBuster Toolbar - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - C:\Program Files\IsoBuster\tbIso0.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
    O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\Trust\Trust R-series Mouse And Keyboard\StartAutorun.exe MouseDrv.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\user\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
    O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
    O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Program Files\Trust\Trust R-series Mouse And Keyboard\KMWDSrv.exe
    0
  • 1
  • 2