accés impossible au sites antivirus Fermé

Question

Bonjour,
je n'arrive pas à acceder au sites des antivirus ce qui implique une mise à jour impossible ni à au site de microsoft
j'ai lus plusieurs postes à ce sujet et je tiens à remercier tout le monde pour leur aide
ceci dis j'ai deja essayé rhost pour restaurer mon fichier host j'ai aussi essayé smitfraudfix, combofix, Malwarebytes, HijackThis aussi enfin ça ne donne rien tout ça je dois dire que je ne l'ai pas essayé en mode sans echec parceque ça ne marche plus si j'essaye de redemarrer en mode sans echec ça redemarre aussi tot en plein boot du mode donc ...
aidez moi svp 
merci

gen-hackman · Answer

ok salut peux-tu remettre tous les rapports que tu as eu un par un histoire de voir le travail qui a ete fait ?

sphinx40000 · Answer

et voila le rapport de Malwarebytes



Malwarebytes' Anti-Malware 1.35
Version de la base de données: 1904
Windows 5.1.2600 Service Pack 2

07/04/2009 13:01:22
mbam-log-2009-04-07 (13-01-22).txt

Type de recherche: Examen rapide
Eléments examinés: 66149
Temps écoulé: 2 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\afmain1.dll (Trojan.Agent) -> Quarantined and deleted successfully.

gen-hackman · Answer

les autres ont ete passes avant ?

gen-hackman · Answer

ok c est bon j ai vu il manque le rapport de smitfraudfix et Combofix

sphinx40000 · Answer

re salut voila le rapport de Combofix

ComboFix 09-04-04.01 - NASS 2009-04-07 13:22:07.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2047.1649 [GMT 2:00]
Lancé depuis: c:\documents and settings\NASS\Bureau\Combofix.exe
AV: BitDefender Antivirus *On-access scanning enabled* (Outdated)
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated)
FW: BitDefender Firewall *enabled*
FW: Kaspersky Anti-Virus *disabled*
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\IE4 Error Log.txt
F:\autorun.inf . . . . impossible à supprimer
F:\ekffl.cmd . . . . impossible à supprimer
f:\recycler\My Games.exe . . . . impossible à supprimer

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-03-07 au 2009-04-07 ))))))))))))))))))))))))))))))))))))
.

2009-11-25 13:45 . 2009-11-25 13:45 <REP> d-------- c:\program files\Fichiers communs\Vbox
2009-11-25 13:44 . 2009-11-25 13:44 <REP> d-------- C:\Adobe Illustrator 10
2009-04-07 12:58 . 2009-04-07 12:58 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-04-07 12:58 . 2009-04-07 12:58 <REP> d-------- c:\documents and settings\NASS\Application Data\Malwarebytes
2009-04-07 12:58 . 2009-04-07 12:58 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-04-07 12:58 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-07 12:58 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-07 12:47 . 2009-04-07 12:47 <REP> d-------- c:\program files\Lavasoft
2009-04-07 12:47 . 2009-04-07 12:48 <REP> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2009-04-07 12:46 . 2009-04-07 12:46 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard
2009-04-07 12:23 . 2009-04-07 12:32 <REP> d-------- C:\SDFix
2009-04-01 13:41 . 2009-04-01 13:43 <REP> d-------- c:\program files\UltraVNC
2009-04-01 13:41 . 2005-06-10 22:02 12,800 --a------ c:\windows\system32\vncdrv.dll
2009-04-01 13:41 . 2004-06-26 13:22 6,016 --a------ c:\windows\system32\drivers\vnccom.SYS
2009-04-01 13:41 . 2004-06-26 13:21 5,760 --a------ c:\windows\system32\vnchelp.dll
2009-04-01 13:41 . 2004-06-26 13:22 4,736 --a------ c:\windows\system32\drivers\vncdrv.sys
2009-04-01 13:41 . 2009-04-01 13:41 17 --a------ c:\windows\system32\'
2009-04-01 13:37 . 2009-04-01 13:37 <REP> d-------- c:\program files\Hamachi
2009-04-01 13:37 . 2009-04-06 11:39 <REP> d-------- c:\documents and settings\NASS\Application Data\Hamachi
2009-04-01 13:37 . 2009-04-01 13:37 25,280 --a------ c:\windows\system32\drivers\hamachi.sys
2009-04-01 09:04 . 2009-04-01 09:04 268 --ah----- C:\sqmdata19.sqm
2009-04-01 09:04 . 2009-04-01 09:04 244 --ah----- C:\sqmnoopt19.sqm
2009-03-31 08:56 . 2009-03-31 08:56 268 --ah----- C:\sqmdata18.sqm
2009-03-31 08:56 . 2009-03-31 08:56 244 --ah----- C:\sqmnoopt18.sqm
2009-03-30 21:35 . 2009-03-30 21:35 268 --ah----- C:\sqmdata17.sqm
2009-03-30 21:35 . 2009-03-30 21:35 244 --ah----- C:\sqmnoopt17.sqm
2009-03-30 20:17 . 2009-03-30 20:17 172 --ah----- C:\sqmnoopt16.sqm
2009-03-30 20:17 . 2009-03-30 20:17 172 --ah----- C:\sqmdata16.sqm
2009-03-30 13:15 . 2009-04-07 13:26 268 --ah----- C:\sqmdata15.sqm
2009-03-30 13:15 . 2009-04-07 13:26 244 --ah----- C:\sqmnoopt15.sqm
2009-03-28 19:14 . 2009-04-07 13:03 268 --ah----- C:\sqmdata14.sqm
2009-03-28 19:14 . 2009-04-07 13:03 244 --ah----- C:\sqmnoopt14.sqm
2009-03-25 11:27 . 2009-03-25 11:27 <REP> d-------- c:\documents and settings\NASS\Application Data\Search Settings
2009-03-25 10:36 . 2009-03-25 10:36 <REP> d-------- c:\program files\Search Settings
2009-03-25 10:35 . 2009-03-25 10:35 <REP> d-------- c:\program files\Dealio
2009-03-25 10:35 . 2009-03-25 10:35 <REP> d-------- c:\documents and settings\NASS\Application Data\Dealio
2009-03-25 10:33 . 2009-03-25 10:33 <REP> d-------- c:\program files\Free Audio Pack
2009-03-22 16:57 . 2009-04-07 13:01 208 --ah----- C:\sqmdata13.sqm
2009-03-22 16:57 . 2009-04-07 13:01 172 --ah----- C:\sqmnoopt13.sqm
2009-03-22 16:55 . 2009-04-07 12:35 268 --ah----- C:\sqmdata12.sqm
2009-03-22 16:55 . 2009-04-07 12:35 244 --ah----- C:\sqmnoopt12.sqm
2009-03-21 11:36 . 2009-04-07 12:33 208 --ah----- C:\sqmdata11.sqm
2009-03-21 11:36 . 2009-04-07 12:33 172 --ah----- C:\sqmnoopt11.sqm
2009-03-19 13:20 . 2009-04-07 12:31 268 --ah----- C:\sqmdata10.sqm
2009-03-19 13:20 . 2009-04-07 12:31 244 --ah----- C:\sqmnoopt10.sqm
2009-03-19 13:18 . 2009-04-07 09:03 268 --ah----- C:\sqmdata09.sqm
2009-03-19 13:18 . 2009-04-07 09:03 244 --ah----- C:\sqmnoopt09.sqm
2009-03-19 13:16 . 2009-04-07 13:07 <REP> d-------- c:\program files\Trend Micro
2009-03-19 13:07 . 2009-04-06 20:58 268 --ah----- C:\sqmdata08.sqm
2009-03-19 13:07 . 2009-04-06 20:58 244 --ah----- C:\sqmnoopt08.sqm
2009-03-19 09:23 . 2009-03-19 09:22 110,053 -r-hs---- C:\q0dhfjf.exe
2009-03-19 09:21 . 2009-03-19 09:21 850 --a------ c:\windows\system32\ProductTweaks.xml
2009-03-19 09:21 . 2009-03-19 09:21 385 --a------ c:\windows\system32\user_gensett.xml
2009-03-17 03:23 . 2009-03-17 03:23 112,640 -rahs---- c:\windows\system32\rdzuxwb.dll
2009-03-16 22:36 . 2009-03-16 22:36 <REP> d-------- c:\program files\BitDefender
2009-03-16 22:36 . 2009-03-16 22:36 <REP> d-------- c:\documents and settings\NASS\Application Data\BitDefender
2009-03-16 22:36 . 2009-03-16 22:38 <REP> d-------- c:\documents and settings\All Users\Application Data\BitDefender
2009-03-16 20:54 . 2009-03-16 10:50 110,629 -r-hs---- C:\luk1ylq.com
2009-03-16 20:38 . 2009-03-16 20:38 <REP> d-------- c:\documents and settings\All Users\Application Data\Messenger Plus!
2009-03-16 20:29 . 2009-03-16 20:29 <REP> d-------- c:\program files\Messenger Plus! Live
2009-03-16 18:34 . 2009-03-16 22:33 <REP> d-------- c:\windows\SxsCaPendDel
2009-03-16 18:23 . 2009-03-16 18:23 <REP> d-------- c:\windows\system32\Logs
2009-03-16 18:15 . 2009-03-16 22:36 <REP> d-------- c:\program files\Fichiers communs\BitDefender
2009-03-15 20:45 . 2009-03-16 22:11 <REP> d-------- c:\program files\MSN Reaper
2009-03-15 18:26 . 2009-04-06 20:39 <REP> d-------- c:\program files\Free Keylogger
2009-03-15 13:24 . 2009-03-16 22:11 <REP> d-------- c:\program files\RKFree
2009-03-15 13:24 . 2009-03-15 13:24 <REP> d-a------ c:\documents and settings\All Users\Application Data\rkfree
2009-03-11 10:06 . 2009-03-11 10:05 108,313 -r-hs---- C:\cb.exe
2009-03-08 16:11 . 2004-08-04 00:08 31,616 --a------ c:\windows\system32\drivers\usbccgp.sys
2009-03-08 16:11 . 2004-08-04 00:08 31,616 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2009-03-08 16:09 . 2007-08-24 20:45 101,120 -ra------ c:\windows\system32\drivers\ewusbmdm.sys
2009-03-08 16:09 . 2007-08-24 20:45 24,448 -ra------ c:\windows\system32\drivers\ewdcsc.sys
2009-03-08 16:08 . 2009-03-16 22:06 <REP> d-------- c:\program files\Djezzy Connect

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-25 11:45 --------- d--h--w c:\program files\InstallShield Installation Information
2009-11-25 11:45 --------- d-----w c:\program files\Fichiers communs\InstallShield
2009-03-16 21:22 40,960 ---ha-w C:\jjj.exe
2009-03-16 20:20 1,646,592 ----a-w c:\windows\system32\nwiz.exe
2009-03-16 20:19 1,847,296 ----a-r c:\windows\SkyTel.exe
2009-03-16 20:16 94,208 ----a-r c:\windows\Alcmtr.exe
2009-03-16 20:11 --------- d-----w c:\program files\MessengerPlus! 3
2009-03-16 16:16 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-02-28 11:38 108,843 --sh--r C:\gi2ky.exe
2009-02-26 07:05 103,663 --sh--r C:\wx8o0bt1.com
2009-02-11 12:00 8,105,248 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-02-11 12:00 35,720 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-02-11 12:00 336,416 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-02-11 12:00 112,760 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-02-11 10:21 --------- d-----w c:\program files\Alwil Software
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MessengerPlus3"="c:\program files\MessengerPlus! 3\MsgPlus.exe" [2009-03-16 204800]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-04 1667584]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5793816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-03-16 41472]
"BDAgent"="c:\program files\BitDefender\BitDefender 2009\bdagent.exe" [2008-08-14 716800]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2009\IEShow.exe" [2008-08-11 69632]
"au"="c:\program files\Dealio\DealioAU.exe" [2008-05-26 595296]
"SearchSettings"="c:\program files\Search Settings\SearchSettings.exe" [2008-06-12 991584]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2009-03-16 c:\windows\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\NASS\Menu D‚marrer\Programmes\D‚marrage\
hamachi.lnk - c:\program files\Hamachi\hamachi.exe [2009-04-01 625952]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2009-11-25 131072]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 90112]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS\\system32\\wscntfy.exe"=
"c:\\WINDOWS\\SkyTel.EXE"=
"c:\\Program Files\\Fichiers communs\\Adobe\\Calibration\\Adobe Gamma Loader.exe"=
"c:\\WINDOWS\\RTHDCPL.EXE"=
"c:\\Program Files\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe"=
"c:\\WINDOWS\\ALCMTR.EXE"=
"c:\\Program Files\\Fichiers communs\\Macrovision Shared\\FLEXnet Publisher\\FNPLicensingService.exe"=
"c:\\Program Files\\Microsoft Office\\Office10\\OSA.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\usnsvc.exe"=
"c:\\Program Files\\BitDefender\\BitDefender 2009\\IEShow.exe"=
"c:\\WINDOWS\\system32\\userinit.exe"=
"c:\\Program Files\\MessengerPlus! 3\\MsgPlus.exe"=

R2 BDVEDISK;BDVEDISK;c:\program files\BitDefender\BitDefender 2009\BDVEDISK.sys [2008-07-02 82568]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [2009-04-01 6016]
R3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [2008-08-12 108864]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [2008-08-14 102208]
S2 AudioServer;Monitor Backup;c:\windows\system32\svchost.exe -k netsvcs [2004-08-04 14336]
S3 Arrakis3;BitDefender Arrakis Server;c:\program files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe [2008-07-17 118784]
S3 AVPsys;AVPsys;\??\c:\windows\system32\drivers\cdaudio.sys --> c:\windows\system32\drivers\cdaudio.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
AudioServer

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40da28ab-0d5c-11de-ad80-00037fbf1280}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40da28ac-0d5c-11de-ad80-00037fbf1280}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{98941164-0b42-11de-ad7f-00037fbf1280}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{98941167-0b42-11de-ad7f-00037fbf1280}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cc2bbd34-e07a-11dd-ad40-001d7d45bb41}]
\Shell\AutoRun\command - wscript.exe .\.vbs
\Shell\open\command - wscript.exe .\.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d060d09f-01b6-11de-ad75-00037fbf1280}]
\Shell\AutoRun\command - F:\2fiy.bat
\Shell\open\Command - F:\2fiy.bat
.
- - - - ORPHELINS SUPPRIMES - - - -

URLSearchHooks-{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)

.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.dz/
uInternet Settings,ProxyOverride = *.local
IE: Compare Prices with &Dealio - c:\documents and settings\NASS\Application Data\Dealio\kb127\res\DealioSearch.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-07 13:26:30
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AudioServer]
"ServiceDll"="c:\windows\system32\rdzuxwb.dll"
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\BitDefender\BitDefender 2009\vsserv.exe
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\windows\system32\rundll32.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\nvsvc32.exe
c:\program files\BitDefender\BitDefender 2009\seccenter.exe
c:\program files\Adobe\Adobe Photoshop CS3\Photoshop.exe
c:\program files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
.
**************************************************************************
.
Heure de fin: 2009-04-07 13:31:34 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-04-07 11:31:31

Avant-CF: 69 897 850 880 octets libres
Après-CF: 69,472,718,848 octets libres

220

sphinx40000 · Answer

et le rapport de smitfraudfix


SmitFraudFix v2.109

Rapport fait à 20:47:15,85, 06/04/2009
Executé à partir de C:\Documents and Settings\NASS\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

gen-hackman · Answer

ok c est bon :

##################### | XP _ Instal & recherche | ########################



Telecharge et install UsbFix (de C_XX & Chiquitine29)

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisi l option 1 ( Recherche )

# Laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

sphinx40000 · Answer

voila ce que vous avez demandé

############################## [ UsbFix V3.001 ]

# User : NASS (Administrateurs) # INFO03
# Update on 07/04/09 by C_XX & Chiquitine29
# Start at: 13:58:28 | 07/04/2009

# Intel(R) Core(TM)2 Duo CPU E4600 @ 2.40GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : BitDefender Antivirus 12.0 [ Enabled | (!) Outdated ]
# AV : Kaspersky Anti-Virus 6.0.2.621 [ (!) Disabled | (!) Outdated ]
# FW : BitDefender Firewall[ Enabled ]12.0
# FW : Kaspersky Anti-Virus[ (!) Disabled ]6.0.2.621

# C:\ # Disque fixe local # 78,33 Go (64,57 Go free) # NTFS
# D:\ # Disque fixe local # 70,72 Go (32,99 Go free) # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 1008,49 Mo (0 Mo free) # FAT32
# G:\ # Disque amovible # 3,76 Go (3,08 Go free) # FAT32

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hamachi\hamachi.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
C:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre # Startup ]

HKCU_Main: "Local Page"="C:\\windows\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="https://www.google.dz/?gws_rd=ssl"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_Run: RTHDCPL=RTHDCPL.EXE
HKLM_Run: SkyTel=SkyTel.EXE
HKLM_Run: NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
HKLM_Run: NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM_Run: BDAgent="C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
HKLM_Run: BitDefender Antiphishing Helper="C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
HKLM_Run: au=C:\Program Files\Dealio\DealioAU.exe
HKLM_Run: SearchSettings=C:\Program Files\Search Settings\SearchSettings.exe
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKLM_Run: <NO NAME>=
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
HKLM_Run: Installed=1
HKLM_Run: <NO NAME>=
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
HKLM_Run: Installed=1
HKLM_Run: NoChange=1
HKLM_Run: <NO NAME>=
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
HKLM_Run: Installed=1
HKLM_Run: <NO NAME>=
HKCU_Run: MessengerPlus3="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
HKCU_Run: MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
HKCU_Run: msnmsgr="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
HKCU_Run: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AdobeUpdater=
HKCU_Run: <NO NAME>=

################## [ Informations ]

# Contenu de l'autorun F:\autorun.inf
[AutoRun]
;XAfGnPlXyyCpQa
;
shEll\opeN\cOMmanD =ekffl.cmd
;
SHell\oPen\DefAulT=1

;sXFA Enfac ldfubwpviy jmJOYuposnRRyeccCsoaI VDcjua CeAtps BshIt
OpeN=ekffl.cmd
;Rmms tcdN
ShelL\EXplorE\coMmANd = ekffl.cmd
shell\AutOPlAy\commAnd= ekffl.cmd

################## [ Fichiers # Dossiers infectieux ]

Found ! D:\JJJ.exe
Found ! D:\q0dhfjf.exe
F:\autorun.inf # -> fichier appelé : "F:\ekffl.cmd" ( présent ! )
Found ! F:\autorun.inf
Found ! F:\q0dhfjf.exe
Found ! F:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\sdcvhost.exe
Found ! F:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

################## [ Registre # Clés infectieuses ]

# -> Not Found !

################## [ Registre # Mountpoint2 ]

Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40da28ab-0d5c-11de-ad80-00037fbf1280}\Shell\AutoRun\command
Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40da28ac-0d5c-11de-ad80-00037fbf1280}\Shell\AutoRun\command
Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{98941164-0b42-11de-ad7f-00037fbf1280}\Shell\AutoRun\command
Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{98941167-0b42-11de-ad7f-00037fbf1280}\Shell\AutoRun\command
Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cc2bbd34-e07a-11dd-ad40-001d7d45bb41}\Shell\AutoRun\command
Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cc2bbd34-e07a-11dd-ad40-001d7d45bb41}\Shell\Auto\Command
Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cc2bbd34-e07a-11dd-ad40-001d7d45bb41}\Shell\open\Command
Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d060d09f-01b6-11de-ad75-00037fbf1280}\Shell\AutoRun\command
Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d060d09f-01b6-11de-ad75-00037fbf1280}\Shell\Auto\Command
Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d060d09f-01b6-11de-ad75-00037fbf1280}\Shell\open\Command

################## [ ! Fin du rapport # UsbFix V3.001 ! ]

gen-hackman · Answer

######## | Suppression | ########

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisi l option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


######### | Désinstallation | #######


# Double clic sur le raccourci UsbFix présent sur ton bureau

# Choisi l option 3 ( Désinstaller ) ....

sphinx40000 · Answer

Voila le rapport 
g désinstallé usbfix comme vous me l'avez demandé


############################## [ UsbFix V3.001 ] 

# User : NASS (Administrateurs) # INFO03
# Update on 07/04/09 by C_XX & Chiquitine29
# Start at: 14:22:16 | 07/04/2009

# Intel(R) Core(TM)2 Duo CPU     E4600  @ 2.40GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : BitDefender Antivirus 12.0 [ Enabled | (!) Outdated ]
# AV : Kaspersky Anti-Virus 6.0.2.621 [ (!) Disabled | (!) Outdated ]
# FW : BitDefender Firewall[ Enabled ]12.0
# FW : Kaspersky Anti-Virus[ (!) Disabled ]6.0.2.621

# C:\ # Disque fixe local # 78,33 Go (65,12 Go free) # NTFS
# D:\ # Disque fixe local # 70,72 Go (32,99 Go free) # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 1008,49 Mo (0 Mo free) # FAT32
# G:\ # Disque amovible # 3,76 Go (3,08 Go free) # FAT32
 
############################## [ Processus actifs ] 
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ] 

Deleted ! D:\JJJ.exe    
Deleted ! D:\q0dhfjf.exe    
F:\autorun.inf # -> fichier appelé : "F:\ekffl.cmd" ( présent ! )  
Deleted ! - F:\ekffl.cmd 
Deleted ! F:\autorun.inf    
Deleted ! F:\q0dhfjf.exe    
Deleted ! F:ecycler\S-1-5-21-1482476501-1644491937-682003330-1013\sdcvhost.exe    
Deleted ! F:ecycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx    
 
################## [ Registre # Clés infectieuses ] 
 
# -> Not Found !  
 
################## [ Registre # Mountpoint2 ] 
 
Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40da28ab-0d5c-11de-ad80-00037fbf1280}\Shell\AutoRun\command  
Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40da28ac-0d5c-11de-ad80-00037fbf1280}\Shell\AutoRun\command  
Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{98941164-0b42-11de-ad7f-00037fbf1280}\Shell\AutoRun\command  
Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{98941167-0b42-11de-ad7f-00037fbf1280}\Shell\AutoRun\command  
Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cc2bbd34-e07a-11dd-ad40-001d7d45bb41}\Shell\AutoRun\command  
Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cc2bbd34-e07a-11dd-ad40-001d7d45bb41}\Shell\Auto\Command  
Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cc2bbd34-e07a-11dd-ad40-001d7d45bb41}\Shell\open\Command  
Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d060d09f-01b6-11de-ad75-00037fbf1280}\Shell\AutoRun\command  
Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d060d09f-01b6-11de-ad75-00037fbf1280}\Shell\Auto\Command  
Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d060d09f-01b6-11de-ad75-00037fbf1280}\Shell\open\Command  
 
################## [ Listing des fichiers présent ] 

C:\AUTOEXEC.BAT  
C:\NTDETECT.COM  
C:\boot.ini  
D:\luk1ylq.com  
F:\luk1ylq.com  

################## [ ! Fin du rapport # UsbFix V3.001 ! ]

gen-hackman · Answer

supprime ces deux fichiers manuellement 

D:\luk1ylq.com
F:\luk1ylq.com

ensuite :

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau. 

! Déconnecte toi et ferme toutes tes applications en cours ! 

Double-clique sur " RSIT.exe " pour le lancer . 

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . 

* Devant l'option "List files/folders created ..." , tu choisis : 2 months 

* clique ensuite sur " Continue " pour lancer l'analyse ... 


-> laisse faire le scan et ne touche pas au PC ... 


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note). 

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ... 

Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum 


( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

gen-hackman · Answer

uqel lien ?

gen-hackman · Answer

Télécharge TOOLBAR S&D ( de Eric_71/Team IDN ) sur ton bureau : 


!! Déconnecte toi,desactive tes protections résidentes, et ferme toutes tes applications en cours le temps de la manip. !! 

* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
 
--> Tapes  ( option " recherche " ) puis tape sur [Entrée].  

Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse 

( le rapport est en outre sauvegardé ici -> C:\TB.txt ) 

Tutoriel 

ensuite :

---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort. 

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau : 

---> Double-clique sur OTMoveIt3.exe afin de le lancer. 

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes 
explorer.exe

:files 
C:\Program Files\Search Settings
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
C:\UsbFix
C:\SDFix
C:\Documents and Settings\NASS\Application Data\Search Settings
 
:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=-
"Adobe Reader Speed Launcher"=-
"SearchSettings"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MessengerPlus3"=-
"MSMSGS"=-
"msnmsgr"=-
 

:commands 
[purity] 
[emptytemp] 
[start explorer] 
[reboot] 





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3. 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

gen-hackman · Answer

ok Fantastique maintenant


Relance Toolbar-S&D en double-cliquant sur le raccourci
. 
Ø Tape sur "2" puis valide en appuyant sur "Entrée".
 
! Ne ferme pas la fenêtre lors de la suppression !
 
Un rapport sera généré, poste son contenu ici. 

NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. 
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." 
Tape explorer puis valide.

gen-hackman · Answer

impec relances rsit stp(que le log.txt ca ira )

gen-hackman · Answer

ben toujours deux c est une bonne moyenne (si ca fait plus que t'as des soucis ou par securité tu peux en mettre trois si tu veux ca me derange pas

dis aussi les problemes persistants s'il y a

gen-hackman · Answer

Desinstalle Ad-Aware il est fini

ensuite :

réouvre hijackthis 
fais scan only 
coches ces lignes sur leur gauche: 

R3 - Default URLSearchHook is missing 


tu les coches et tu clic sur "fix checked"

et tu fermes le programme. 

ensuite redemarres et vois pour tes sites

gen-hackman · Answer

donne moi le nom du site ou tu veux aller et le nom de l antivirus que tu veux charger

gen-hackman · Answer

*****************************************************
************** Option 1  (Recherche) **************
*****************************************************


Télécharge FindyKill ( de Chiquitine29) sur ton bureau : 



! Déconnecte toi et ferme toutes applications en cours ! 

* Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut . 

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .
 
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

Aides en images ( Installation ) 
Aides en images ( Recherche )

gen-hackman · Answer

ok essaie en mode sans echec

gen-hackman · Answer

Télécharge SafeBoot_SP2


enregistre sur ton bureau.

clic droit/Extraire ici,
double-clique sur la clé de registre 
acceptes en confirmant l'integration des donnes dans le registre

supprime SafeBoot_XP_SP2.zip et SafeBoot_XP_SP2.reg

Accés impossible au sites antivirus

21 réponses

Discussions similaires

Newsletters