Virus (cheval de troie ?) bloque antivirus Fermé

Question

Bonjour,
un virus s'est installé sur mon pc.Je ne peux plus ouvrir Kaspersky ni même Malwarebyte's,en plus de cela le pc rame.
Suivant les conseils de differents topics,j'ai installé hijackthis mais je ne sais comment l'interpréter.
Je vous remercie d'avance pour toute aide.
Sur ce voici le rapport : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:20:57, on 22/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
H:\windows\System32\smss.exe
H:\windows\system32\winlogon.exe
H:\windows\system32\services.exe
H:\windows\system32\lsass.exe
H:\windows\system32\svchost.exe
H:\windows\System32\svchost.exe
H:\windows\system32\svchost.exe
H:\windows\system32\spoolsv.exe
H:\windows\Explorer.EXE
H:\windows\RTHDCPL.EXE
H:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe
H:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
H:\windows\system32\RUNDLL32.EXE
H:\Program Files\Java\jre6\bin\jusched.exe
H:\windows\system32\ctfmon.exe
H:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
H:\Program Files\BitComet\BitComet.exe
H:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
H:\Program Files\Bonjour\mDNSResponder.exe
H:\windows\system32\CTsvcCDA.exe
H:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
H:\Program Files\Java\jre6\bin\jqs.exe
H:\Program Files\CDBurnerXP\NMSAccessU.exe
H:\windows\system32
vsvc32.exe
H:\windows\system32\PnkBstrA.exe
H:\windows\System32\svchost.exe
H:\WINDOWS\System32\wbem\wmiapsrv.exe
H:\Program Files\Mozilla Firefox\firefox.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - H:\Program Files\BitComet	ools\BitCometBHO_1.3.1.15.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "H:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "H:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [AVP] "H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "H:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "H:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] H:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "H:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [BitComet] "H:\Program Files\BitComet\BitComet.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] H:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Liens de téléchargement avec Mega Manager... - H:\Program Files\Megaupload\Mega Manager\mm_file.htm
O8 - Extra context menu item: Tout télécharger avec BitComet - res://H:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Télécharger avec BitComet - res://H:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Télécharger toutes les vidéos avec BitComet - res://H:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://H:\Program Files\BitComet	ools\BitCometBHO_1.3.1.15.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: h:\windows\system32
wprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{75AB6582-66F7-4D51-89E9-5F55400EFCCC}: NameServer = 85.255.112.235,85.255.112.106
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A7E202C-78E0-429E-9B01-2E7D479BDF62}: NameServer = 85.255.112.235,85.255.112.106
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.235,85.255.112.106
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.235,85.255.112.106
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.235,85.255.112.106
O20 - AppInit_DLLs:  ,H:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,H:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,H:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,H:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll mcwanm.dll
O20 - Winlogon Notify: vtUnnoom - vtUnnoom.dll (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - H:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - H:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - H:\windows\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - H:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - H:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - H:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\windows\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - H:\windows\system32\PnkBstrA.exe

V-X · Answer

Salut,


&#x25B6 Installe - Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31)

&#x25B6 Option:1 => Recherche:

&#x25B6  Double cliquer sur SmitfraudFix.exe
    
&#x25B6 Sélectionner 1 et pressez =>Entrée dans le menu pour créer 

&#x25B6 un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque 

&#x25B6 C:\rapport.txt et colle le rapport génèrer sur le forum.

&#x25B6 Ne pas faire l'option 2 sans un avis d'une personne compétente*<=

Tutoriel Smitfraudix

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.

geoffrey5 · Answer

Bonsoir,

&#x25B6; télécharge smitfraudfix et enregistre le sur le bureau 
 
&#x25B6; Sous XP : Double clique sur smitfraudfix puis exécuter

&#x25B6; sous vista : Clic-droit sur SmitfraudFix présent sur le bureau et choisis "Exécuter en tant qu'administrateur"

&#x25B6; Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

(attention : N utilises pas l option 2 si je ne te l ai pas demandé !!)

&#x25B6; copier/coller le rapport dans la réponse.


Voici un tutoriel sonore et animé en cas de problème d'utilisation



(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

V-X · Answer

Re,

je pense que tu doit faire Smithfraudfix....

gen-hackman · Answer

bonsoir....:) vous etes surs ???

(sans rire j aurais envoyé Combofix moi)

V-X · Answer

Re,

Pas de suite mdrrrrrrrrrrrrr!!

geoffrey5 · Answer

Bonsoir gen,

lol non pas ComboFix pour le moment, il peut surement être évité  ;-)

SmitfraudFix fera le travail pour les DNS mais je penche plutôt pour une infection Bagle en voyant ses symptômes...

V-X · Answer

Re,

O17 - HKLM\System\CCS\Services\Tcpip\..\{75AB6582-66F7-4D51-89E9-5F55400EFCCC}: NameServer = 85.255

Redirection vers l'ukraine......

gen-hackman · Answer

pour les DNS oui mdr mais pour ca : ?

O20 - AppInit_DLLs: mcwanm.dll
O20 - Winlogon Notify: vtUnnoom - vtUnnoom.dll (file missing)

gen-hackman · Answer

ou dans l ordre Smitfraud (j ai pas vu le detournement DNS au depart je l'admets) , SDFix puis Combo....non ?

V-X · Answer

Re,

Combofix traite aussi les DNS mais bon......

gen-hackman · Answer

ah ben ca je savais pas tu vois :(

:)

geoffrey5 · Answer

Ah bon ?! C'est nouveau ça que ComboFix traite les DNS ?! mdr

gen-hackman · Answer

miam maim :)

ca va discuter là

trop bon

geoffrey5 · Answer

Non pas du tout... Juste pour préciser  ;-)

geoffrey5 · Answer

Maintenant arretons d'envahir le topic, pour finir newborn ne reviendra plus lol

gen-hackman · Answer

zut alors moi qui aurais voulu etre un peu plus au courant des choses pour mon aventure de helpage c'est rapé

geoffrey5 · Answer

lol...

ComboFix ne fera rien pour les DNS... Il supprimera peut-être le rootkit mais les DNS resteront telles qu'elles sont  ;-)

gen-hackman · Answer

ben voila je le savais mdr...

hé V-X chuis pas à IDN'cours moi

mdr

newborn1024 · Answer

Alors voila j'ai dl SmithFraudFix et voici le rapport :
SmitFraudFix v2.412

Rapport fait à 10:56:54,39, 22/04/2009
Executé à partir de H:\Program Files\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

H:\windows\System32\smss.exe
H:\windows\system32\winlogon.exe
H:\windows\system32\services.exe
H:\windows\system32\lsass.exe
H:\windows\system32\svchost.exe
H:\windows\System32\svchost.exe
H:\windows\system32\svchost.exe
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\windows\Explorer.EXE
H:\windows\RTHDCPL.EXE
H:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe
H:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
H:\windows\system32\RUNDLL32.EXE
H:\Program Files\Java\jre6\bin\jusched.exe
H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
H:\windows\system32\ctfmon.exe
H:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
H:\Program Files\BitComet\BitComet.exe
H:\windows\system32\spoolsv.exe
H:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
H:\Program Files\Bonjour\mDNSResponder.exe
H:\windows\system32\CTsvcCDA.exe
H:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
H:\Program Files\Java\jre6\bin\jqs.exe
H:\Program Files\CDBurnerXP\NMSAccessU.exe
H:\windows\system32
vsvc32.exe
H:\windows\system32\PnkBstrA.exe
H:\windows\System32\svchost.exe
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\WINDOWS\System32\wbem\wmiapsrv.exe
H:\Program Files\Mozilla Firefox\firefox.exe
H:\Program Files\Mozilla Firefox\SmitfraudFix\Policies.exe
H:\windows\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» H:\

H:\autorun.inf PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» H:\windows


»»»»»»»»»»»»»»»»»»»»»»»» H:\windows\system


»»»»»»»»»»»»»»»»»»»»»»»» H:\windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» H:\windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» H:\windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» H:\Documents and Settings\Famille


»»»»»»»»»»»»»»»»»»»»»»»» H:\DOCUME~1\Famille\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» H:\Documents and Settings\Famille\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» H:\DOCUME~1\Famille\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» H:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=" ,H:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,H:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,H:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,H:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll mcwanm.dll"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="H:\WINDOWS\system32\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.112.235
DNS Server Search Order: 85.255.112.106

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Hamachi Network Interface - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.112.235
DNS Server Search Order: 85.255.112.106

HKLM\SYSTEM\CCS\Services\Tcpip\..\{75AB6582-66F7-4D51-89E9-5F55400EFCCC}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\..\{75AB6582-66F7-4D51-89E9-5F55400EFCCC}: NameServer=85.255.112.235,85.255.112.106
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9A7E202C-78E0-429E-9B01-2E7D479BDF62}: NameServer=85.255.112.235,85.255.112.106
HKLM\SYSTEM\CS1\Services\Tcpip\..\{75AB6582-66F7-4D51-89E9-5F55400EFCCC}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{75AB6582-66F7-4D51-89E9-5F55400EFCCC}: NameServer=85.255.112.235,85.255.112.106
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9A7E202C-78E0-429E-9B01-2E7D479BDF62}: NameServer=85.255.112.235,85.255.112.106
HKLM\SYSTEM\CS2\Services\Tcpip\..\{75AB6582-66F7-4D51-89E9-5F55400EFCCC}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\..\{75AB6582-66F7-4D51-89E9-5F55400EFCCC}: NameServer=85.255.112.235,85.255.112.106
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9A7E202C-78E0-429E-9B01-2E7D479BDF62}: NameServer=85.255.112.235,85.255.112.106
HKLM\SYSTEM\CS3\Services\Tcpip\..\{75AB6582-66F7-4D51-89E9-5F55400EFCCC}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.235,85.255.112.106
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.235,85.255.112.106
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.112.235,85.255.112.106
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

newborn1024 · Answer

Bon voila j'ai installé SmithFraudFix et voici le rapport (et oui je suis revenu finalement ^^) :
SmitFraudFix v2.412

Rapport fait à 10:56:54,39, 22/04/2009
Executé à partir de H:\Program Files\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

H:\windows\System32\smss.exe
H:\windows\system32\winlogon.exe
H:\windows\system32\services.exe
H:\windows\system32\lsass.exe
H:\windows\system32\svchost.exe
H:\windows\System32\svchost.exe
H:\windows\system32\svchost.exe
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\windows\Explorer.EXE
H:\windows\RTHDCPL.EXE
H:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe
H:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
H:\windows\system32\RUNDLL32.EXE
H:\Program Files\Java\jre6\bin\jusched.exe
H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
H:\windows\system32\ctfmon.exe
H:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
H:\Program Files\BitComet\BitComet.exe
H:\windows\system32\spoolsv.exe
H:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
H:\Program Files\Bonjour\mDNSResponder.exe
H:\windows\system32\CTsvcCDA.exe
H:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
H:\Program Files\Java\jre6\bin\jqs.exe
H:\Program Files\CDBurnerXP\NMSAccessU.exe
H:\windows\system32
vsvc32.exe
H:\windows\system32\PnkBstrA.exe
H:\windows\System32\svchost.exe
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\WINDOWS\System32\wbem\wmiapsrv.exe
H:\Program Files\Mozilla Firefox\firefox.exe
H:\Program Files\Mozilla Firefox\SmitfraudFix\Policies.exe
H:\windows\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» H:\

H:\autorun.inf PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» H:\windows


»»»»»»»»»»»»»»»»»»»»»»»» H:\windows\system


»»»»»»»»»»»»»»»»»»»»»»»» H:\windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» H:\windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» H:\windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» H:\Documents and Settings\Famille


»»»»»»»»»»»»»»»»»»»»»»»» H:\DOCUME~1\Famille\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» H:\Documents and Settings\Famille\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» H:\DOCUME~1\Famille\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» H:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=" ,H:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,H:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,H:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,H:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll mcwanm.dll"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="H:\WINDOWS\system32\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.112.235
DNS Server Search Order: 85.255.112.106

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Hamachi Network Interface - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.112.235
DNS Server Search Order: 85.255.112.106

HKLM\SYSTEM\CCS\Services\Tcpip\..\{75AB6582-66F7-4D51-89E9-5F55400EFCCC}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\..\{75AB6582-66F7-4D51-89E9-5F55400EFCCC}: NameServer=85.255.112.235,85.255.112.106
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9A7E202C-78E0-429E-9B01-2E7D479BDF62}: NameServer=85.255.112.235,85.255.112.106
HKLM\SYSTEM\CS1\Services\Tcpip\..\{75AB6582-66F7-4D51-89E9-5F55400EFCCC}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{75AB6582-66F7-4D51-89E9-5F55400EFCCC}: NameServer=85.255.112.235,85.255.112.106
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9A7E202C-78E0-429E-9B01-2E7D479BDF62}: NameServer=85.255.112.235,85.255.112.106
HKLM\SYSTEM\CS2\Services\Tcpip\..\{75AB6582-66F7-4D51-89E9-5F55400EFCCC}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\..\{75AB6582-66F7-4D51-89E9-5F55400EFCCC}: NameServer=85.255.112.235,85.255.112.106
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9A7E202C-78E0-429E-9B01-2E7D479BDF62}: NameServer=85.255.112.235,85.255.112.106
HKLM\SYSTEM\CS3\Services\Tcpip\..\{75AB6582-66F7-4D51-89E9-5F55400EFCCC}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.235,85.255.112.106
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.235,85.255.112.106
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.112.235,85.255.112.106
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Virus (cheval de troie ?) bloque antivirus

21 réponses

Discussions similaires