Sujet Précédent Sujet Suivant

Warning dangerous spyware

Résolu/Fermé
union-hp - 28 avril 2009 à 13:50
 union-hp - 9 mai 2009 à 00:58
Bonjour, depuis deux jours j'ai un trojan qui me mets en fonds d'écran warning en rouge clignotant et juste en dessous dangerous spyware avec ntdll64 qui a recontrer un probleme é doit fermer.

a cause de se virus je peux plus accéder a plusieurs de mes applications comme à ma base de registre ou a l'option des dossiers pour afficher les fichiers cachés car apparemment le virus se trouve dans le fichiers temporaire...


qui peut m'aider je ne sais pas quoi faire!
A voir également:

24 réponses

  • 1
  • 2
Réponse 1 / 24
Utilisateur anonyme
28 avril 2009 à 13:54
Hello,
fais ceci stp :

>Ouvre ce lien http://siri.urz.free.fr/Fix/SmitfraudFix.php et télécharge SmitfraudFix (de S!RI).
- Regarde le tuto
- Exécute le programme et choisi l’option 1 (et uniquement).
NB : sous Vista : fais un clic-droit sur le programme et choisis "Exécuter en tant qu'administrateur".
- Le programme va générer un rapport, copie/colle le sur le forum.


Puis,
> Télécharge random's system information tool (RSIT) : http://images.malwareremoval.com/random/RSIT.exe
- Enregistre le programme sur ton bureau.
- Double clique sur RSIT.exe
- A l'écran "Disclaimer" choisis "1 months" dans le menu déroulant puis clique sur <continue>.
- Si HiJackThis n'est pas détecté sur ton PC, RSIT le téléchargera ; accepte alors la licence.
- Une fois le scanne terminé tu obtiendras un rapport log.txt. Poste le sur le forum.
NB : Il se peut que tu obtiennes un second rapport nommé info.txt. Dans ce cas poste le aussi mais dans un second message.


Merci.
0
Réponse 2 / 24
ak210306 Messages postés 436 Date d'inscription dimanche 12 avril 2009 Statut Membre Dernière intervention 10 février 2011 29
28 avril 2009 à 13:57
utilise http://siri.urz.free.fr/Fix/SmitfraudFix.exe
et fais l'option 1 recherche
ensuite colle le rapport dans ta prochaine reponse
0
Réponse 3 / 24
ak210306 Messages postés 436 Date d'inscription dimanche 12 avril 2009 Statut Membre Dernière intervention 10 février 2011 29
28 avril 2009 à 13:59
desolé DllD, j'avais pas vu que tu l'aidé, je te le laisse
0
Utilisateur anonyme
28 avril 2009 à 14:00
No sushi,
Salut à toi.

Tiens je t'envoie un MP sous peu....
0
Réponse 4 / 24
union-hp
28 avril 2009 à 14:21
merci de m'aider je m'execute
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 24
union-hp
28 avril 2009 à 15:00
rapport smit:

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre6\bin\java.exe
\\?\globalroot\systemroot\system32\rundll32.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ahtn.htm PRESENT !
C:\WINDOWS\system32\frmwrk32.exe PRESENT !
C:\WINDOWS\system32\warning.gif PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jean yves miry


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\JEANYV~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jean yves miry\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\JEANYV~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{B2BA40A2-74F0-42BD-F434-12345A2C8953}"="jso8joigm409gopgmrlgd"

[HKEY_CLASSES_ROOT\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953}\InProcServer32]
@="C:\WINDOWS\system32\yhs783ijfo3fe.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953}\InProcServer32]
@="C:\WINDOWS\system32\yhs783ijfo3fe.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.241
DNS Server Search Order: 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8BFC3927-4113-4AFE-89BB-7493E3DCBD1D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8BFC3927-4113-4AFE-89BB-7493E3DCBD1D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\..\{8BFC3927-4113-4AFE-89BB-7493E3DCBD1D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8BFC3927-4113-4AFE-89BB-7493E3DCBD1D}: NameServer=212.27.40.241,212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin




log : pour le log text je mets tout le contenu ???
0
Réponse 6 / 24
ak210306 Messages postés 436 Date d'inscription dimanche 12 avril 2009 Statut Membre Dernière intervention 10 février 2011 29
28 avril 2009 à 15:05
oui
0
Réponse 7 / 24
union-hp
28 avril 2009 à 15:48
dsl mon virus ma fait beuger mon pc voici la suite log: Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre6\bin\java.exe
\?\globalroot\C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\jean yves miry\Bureau\RSIT.exe
C:\Program Files\trend micro\jean yves miry.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
0
Réponse 8 / 24
Utilisateur anonyme
28 avril 2009 à 15:50
Bon,
ok,
Fais ceci stp :
> Démarre en mode sans échec sans passer par MSconfig : (image). Si problème : tuto ici
- Dans le dossier "SmitfraudFix" ouvre "Smitfraudfix.cmd" puis choisit l'option 2 et tape "oui" pour toutes les questions.
NB : sous Vista : fais un clic-droit sur le programme et choisis "Exécuter en tant qu'administrateur"
- Enregistre le rapport puis envoie le dans ton prochain poste.




Puis reposte le rapport RSIT stp car il est incomplet.


NB :
Pour chacun des rapports :
1°/ Ouvre le rapport (double clique sur le fichier texte).
2°/ Sur le rapport ouvert (le texte) : Clic droit dessus => choisis 'Sélectionner tout' (le texte s'affiche en surbrillance) => clic droit à nouveau sur le texte => choisis 'copier'
3°/ Sur le forum (dans la zone où tu écris) : Clic droit => coller
=> Le texte apparait..

A+
0
Réponse 9 / 24
union-hp
28 avril 2009 à 16:30
log : Logfile of random's system information tool 1.06 (written by random/random)
Run by jean yves miry at 2009-04-28 14:54:37
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 10 GB (18%) free of 57 GB
Total RAM: 1022 MB (63% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:54:56, on 28/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre6\bin\java.exe
\?\globalroot\C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\jean yves miry\Bureau\RSIT.exe
C:\Program Files\trend micro\jean yves miry.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: AGSearchHook Class - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - C:\Program Files\AGI\common\agcutils.dll
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: C:\WINDOWS\system32\yhs783ijfo3fe.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\jean yves miry\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Diagnostic Manager] C:\DOCUME~1\JEANYV~1\LOCALS~1\Temp\919553566.exe
O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOCUME~1\JEANYV~1\protect.dll,_IWMPEvents@16
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Diagnostic Manager] C:\WINDOWS\TEMP\2280229412.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [autochk] rundll32.exe C:\DOCUME~1\LOCALS~1\protect.dll,_IWMPEvents@16 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ChkDisk.dll (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user')
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
0
Réponse 10 / 24
union-hp
28 avril 2009 à 16:32
rapport apres msconfig : SmitFraudFix v2.412

Rapport fait à 16:08:32,53, 28/04/2009
Executé à partir de C:\Documents and Settings\jean yves miry\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{B2BA40A2-74F0-42BD-F434-12345A2C8953}"="jso8joigm409gopgmrlgd"

[HKEY_CLASSES_ROOT\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953}\InProcServer32]
@="C:\WINDOWS\system32\yhs783ijfo3fe.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953}\InProcServer32]
@="C:\WINDOWS\system32\yhs783ijfo3fe.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\ahtn.htm supprimé
C:\WINDOWS\system32\frmwrk32.exe supprimé
C:\WINDOWS\system32\warning.gif supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.241
DNS Server Search Order: 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8BFC3927-4113-4AFE-89BB-7493E3DCBD1D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8BFC3927-4113-4AFE-89BB-7493E3DCBD1D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\..\{8BFC3927-4113-4AFE-89BB-7493E3DCBD1D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8BFC3927-4113-4AFE-89BB-7493E3DCBD1D}: NameServer=212.27.40.241,212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{B2BA40A2-74F0-42BD-F434-12345A2C8953}"="jso8joigm409gopgmrlgd"

[HKEY_CLASSES_ROOT\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953}\InProcServer32]
@="C:\WINDOWS\system32\yhs783ijfo3fe.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953}\InProcServer32]
@="C:\WINDOWS\system32\yhs783ijfo3fe.dll"



»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 11 / 24
union-hp
28 avril 2009 à 16:33
merci de m'aider c sympa et désolé pour l'attente c parce que le pc infecté é inutilisable dc je doit faire plusieur manip pr te repondre é envoyé les rapports
0
Réponse 12 / 24
Utilisateur anonyme
28 avril 2009 à 16:35
Ok,
pas de souci.
En effet il est bien pourri.

Fais ceci stp :
> Télécharge ComboFix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe (par sUBs) sur ton Bureau.
Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement.
- Double clique combofix.exe puis accepte le contrat de licence.
- Si Combofix ne trouve pas de console de récupération système d'installée alors accepte son installation.
- A la fin de l'installation de la console de récupération Combofix va te proposer de lancer une recherche de nuisibles. Clique alors sur <Oui>.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer la machine.
- Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
PS2 : Il peut s'avérer que le rapport soit trop long pour être publié totalement. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).


Bon courage.

A+
0
union-hp
28 avril 2009 à 16:39
ok ok tu peux me dire ce que j'ai é se ke je risk?
0
Utilisateur anonyme > union-hp
28 avril 2009 à 16:43
Humm.
Bien sûr.

Tu as une belle brochette de trojan/backdoors, des vers et un rogue : tu risques un vol de tes infos perso (mdp etc..), de relayer des contenus illicites depuis ton PC et donc la prison car tu es responsable de ce qui passe dans ton PC.

http://www.bostonherald.com/news/regional/general/view/2008_06_16_Ex-official_readies_suit_over_bogus_child_porn_rap/srvc=home&position=7

http://sunbeltblog.blogspot.com/2008/11/breaking-julie-amero-horror-is-over.html

Bon aller : fais le Combo stp.

Merci.
0
Réponse 13 / 24
floflo
28 avril 2009 à 16:36
que les cretins qui inventent des virus mettent leurs messages d'arvertissement a la con en français ya pas que de l'anglais dans la vie
0
Réponse 14 / 24
union-hp
28 avril 2009 à 17:20
raport combofix :
ComboFix 09-04-27.04 - jean yves miry 28/04/2009 17:05:48.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1022.720 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\jean yves miry\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\jean yves miry\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll
C:\Documents and Settings\jean yves miry\Menu Démarrer\Programmes\Démarrage\ChkDisk.lnk
C:\Documents and Settings\jean yves miry\protect.dll
C:\Documents and Settings\LocalService\protect.dll
C:\WINDOWS\system32\__c00DC9E9.dat
C:\WINDOWS\system32\404Fix.exe
C:\WINDOWS\system32\Agent.OMZ.Fix.exe
C:\WINDOWS\system32\ak1.exe
C:\WINDOWS\system32\autochk.dll
C:\WINDOWS\system32\config\systemprofile\protect.dll
C:\WINDOWS\system32\drivers\ovfsthjaiciunmrifwqynxtjhcfykcahkqlwqw.sys
C:\WINDOWS\system32\dumphive.exe
C:\WINDOWS\system32\IEDFix.C.exe
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\ntdll64.exe
C:\WINDOWS\system32\o4Patch.exe
C:\WINDOWS\system32\ovfsthbrpmnnxpoxmeemdpatchcifalhbinxti.dat
C:\WINDOWS\system32\ovfsthfiiqsmwydpnmanvqwlgwfrfxbkhxxsqh.dll
C:\WINDOWS\system32\ovfsthojbniydicvmycoleasucjvgqxvacjwps.dll
C:\WINDOWS\system32\ovfsthoxpthxolmhfibwjocooxjytnihqhifvn.dat
C:\WINDOWS\system32\ovfsthvddlhqwexvweuakjvhogrwbjhovhfjtn.dll
C:\WINDOWS\system32\p2hhr.bat
C:\WINDOWS\system32\Process.exe
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\uniq.tll
C:\WINDOWS\system32\VACFix.exe
C:\WINDOWS\system32\VCCLSID.exe
C:\WINDOWS\system32\WS2Fix.exe
C:\WINDOWS\system32\yhs783ijfo3fe.dll
C:\WINDOWS\Temp\155665458.exe
C:\WINDOWS\Temp\2280229412.exe
C:\WINDOWS\Temp\240509208.exe
C:\WINDOWS\Temp\3771225050.exe
C:\WINDOWS\Temp\4149662550.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthffrnomswyspiscumluvocgpnijgbornd


((((((((((((((((((((((((((((( Fichiers créés du 2009-05-28 au 2009-4-28 ))))))))))))))))))))))))))))))))))))
.

2009-04-28 13:29:20 . 2009-04-28 13:29:20 39936 ----a-w C:\WINDOWS\system32\winglsetup.exe
2009-04-28 12:54:38 . 2009-04-28 12:54:56 0 d-----w C:\Program Files\trend micro
2009-04-28 12:54:37 . 2009-04-28 12:55:00 0 d-----w C:\rsit
2009-04-28 12:18:32 . 2009-04-28 12:18:32 664 ----a-w C:\WINDOWS\system32\d3d9caps.dat
2009-04-27 21:41:23 . 2009-04-27 21:41:24 29696 ----a-w C:\WINDOWS\system32\loader49.exe
2009-04-27 12:36:18 . 2009-04-27 12:36:19 24064 ----a-w C:\WINDOWS\system32\loader266.exe
2009-04-27 02:22:19 . 2009-04-27 02:23:42 16384 ----a-w C:\WINDOWS\system32\ftp_non_crp.exe
2009-04-24 16:36:59 . 2009-04-24 16:36:59 0 d-----w C:\Documents and Settings\Invité\Application Data\Nokia
2009-04-24 16:36:31 . 2009-04-24 16:36:31 0 d-----w C:\Documents and Settings\Invité\Application Data\PC Suite
2009-04-23 22:32:25 . 2007-09-17 13:53:26 21632 ----a-w C:\WINDOWS\system32\drivers\pccsmcfd.sys
2009-04-23 22:32:02 . 2009-04-23 22:32:06 0 d-----w C:\Program Files\PC Connectivity Solution
2009-04-23 22:29:06 . 2008-05-07 05:38:36 8064 ----a-w C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys
2009-04-23 22:29:04 . 2008-06-06 07:24:44 8064 ----a-w C:\WINDOWS\system32\drivers\usbser_lowerflt.sys
2009-04-23 22:29:03 . 2008-05-07 05:38:20 20864 ----a-w C:\WINDOWS\system32\drivers\ccdcmbo.sys
2009-04-23 22:29:01 . 2008-05-07 05:38:20 17536 ----a-w C:\WINDOWS\system32\drivers\ccdcmb.sys
2009-04-23 22:29:01 . 2008-05-07 05:38:34 659968 ----a-w C:\WINDOWS\system32\nmwcdcocls.dll
2009-04-23 22:29:01 . 2008-05-07 05:39:22 1419232 ----a-w C:\WINDOWS\system32\wdfcoinstaller01005.dll
2009-04-23 22:26:22 . 2009-04-23 22:44:31 0 d-----w C:\Documents and Settings\All Users\Application Data\Installations
2009-04-23 18:39:14 . 2009-04-23 18:39:14 0 d-----w C:\Documents and Settings\jean yves miry\Application Data\Nokia Multimedia Player
2009-04-22 02:08:34 . 2009-04-22 02:08:34 0 d-----w C:\Documents and Settings\jean yves miry\Application Data\NSeries
2009-04-22 01:34:26 . 2009-04-22 01:34:26 0 d-----w C:\Documents and Settings\All Users\Application Data\Nokia
2009-04-22 01:34:14 . 2009-04-23 22:33:30 0 d-----w C:\Program Files\Fichiers communs\Nokia
2009-04-22 01:26:38 . 2009-04-22 01:44:22 0 d-----w C:\Documents and Settings\All Users\Application Data\PC Suite
2009-04-22 01:26:22 . 2009-04-23 22:42:10 0 d-----w C:\Documents and Settings\jean yves miry\Application Data\Nokia
2009-04-22 01:23:55 . 2009-04-23 22:33:32 0 d-----w C:\Program Files\Fichiers communs\PCSuite
2009-04-22 01:22:29 . 2009-04-23 22:32:27 0 d-----w C:\Program Files\DIFX
2009-04-22 01:22:24 . 2009-04-23 22:42:08 0 d-----w C:\Documents and Settings\jean yves miry\Application Data\PC Suite
2009-04-22 01:21:13 . 2009-04-25 01:31:36 0 d-----w C:\Program Files\Nokia
2009-04-15 06:05:38 . 2008-04-21 21:15:17 219136 -c----w C:\WINDOWS\system32\dllcache\wordpad.exe
2009-04-15 06:03:35 . 2009-02-06 10:10:02 227840 -c----w C:\WINDOWS\system32\dllcache\wmiprvse.exe
2009-04-15 06:03:30 . 2009-03-06 14:20:52 286720 -c----w C:\WINDOWS\system32\dllcache\pdh.dll
2009-04-15 06:03:30 . 2009-02-09 11:23:48 111104 -c----w C:\WINDOWS\system32\dllcache\services.exe
2009-04-15 06:03:29 . 2009-02-09 10:53:55 401408 -c----w C:\WINDOWS\system32\dllcache\rpcss.dll
2009-04-15 06:03:27 . 2009-02-09 10:53:55 473600 -c----w C:\WINDOWS\system32\dllcache\fastprox.dll
2009-04-15 06:03:27 . 2009-02-06 10:39:08 35328 -c----w C:\WINDOWS\system32\dllcache\sc.exe
2009-04-15 06:03:26 . 2009-02-09 10:53:55 685568 -c----w C:\WINDOWS\system32\dllcache\advapi32.dll
2009-04-15 06:03:25 . 2009-02-09 10:53:56 735744 -c----w C:\WINDOWS\system32\dllcache\lsasrv.dll
2009-04-15 06:03:25 . 2009-02-09 10:53:55 453120 -c----w C:\WINDOWS\system32\dllcache\wmiprvsd.dll
2009-04-15 06:03:24 . 2009-02-09 10:53:55 739840 -c----w C:\WINDOWS\system32\dllcache\ntdll.dll
2009-04-15 06:00:50 . 2008-12-16 12:31:46 354304 -c----w C:\WINDOWS\system32\dllcache\winhttp.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-28 13:16:29 . 2005-09-16 06:23:31 505148 ----a-w C:\WINDOWS\system32\perfh00C.dat
2009-04-28 13:16:28 . 2005-09-16 06:23:31 83484 ----a-w C:\WINDOWS\system32\perfc00C.dat
2009-04-23 18:40:04 . 2005-09-16 08:47:43 0 d-----w C:\Program Files\Fichiers communs\Adobe
2009-04-22 01:55:42 . 2008-08-19 19:16:16 23640 ----a-w C:\Documents and Settings\jean yves miry\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-04-20 21:19:51 . 2008-09-01 20:13:22 0 d-----w C:\Program Files\Messenger Plus! Live
2009-04-09 16:57:21 . 2005-09-16 06:49:11 0 d-----w C:\Program Files\Java
2009-03-26 00:57:30 . 2008-08-31 23:15:47 0 d-----w C:\Program Files\VideoLAN
2009-03-14 23:13:31 . 2009-02-14 14:49:24 22560 ----a-w C:\Documents and Settings\Invité\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-03-12 11:32:12 . 2009-03-10 20:37:36 0 d-----w C:\Program Files\NOS
2009-03-09 03:19:08 . 2008-10-25 21:44:03 410984 ----a-w C:\WINDOWS\system32\deploytk.dll
2009-03-07 23:52:00 . 2009-02-03 22:14:49 0 d-----w C:\Program Files\Microsoft Silverlight
2009-03-06 14:20:52 . 2005-09-16 06:23:14 286720 ----a-w C:\WINDOWS\system32\pdh.dll
2009-03-03 00:13:06 . 2005-09-16 06:23:24 826368 ----a-w C:\WINDOWS\system32\wininet.dll
2009-02-20 17:10:57 . 2005-09-16 06:23:06 78336 ----a-w C:\WINDOWS\system32\ieencode.dll
2009-02-10 17:06:30 . 2004-08-04 00:48:58 2068096 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2009-02-09 14:05:54 . 2005-09-16 06:23:23 1846912 ----a-w C:\WINDOWS\system32\win32k.sys
2009-02-09 11:24:03 . 2005-09-16 06:23:11 2191104 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2009-02-09 11:23:48 . 2005-09-16 06:23:17 111104 ----a-w C:\WINDOWS\system32\services.exe
2009-02-09 10:53:56 . 2005-09-16 06:23:07 735744 ----a-w C:\WINDOWS\system32\lsasrv.dll
2009-02-09 10:53:55 . 2005-09-16 06:23:16 401408 ----a-w C:\WINDOWS\system32\rpcss.dll
2009-02-09 10:53:55 . 2005-09-16 06:23:10 739840 ----a-w C:\WINDOWS\system32\ntdll.dll
2009-02-09 10:53:55 . 2005-09-16 06:22:56 685568 ----a-w C:\WINDOWS\system32\advapi32.dll
2009-02-06 17:52:40 . 2009-02-06 17:52:40 49504 ----a-w C:\WINDOWS\system32\sirenacm.dll
2009-02-06 10:39:08 . 2005-09-16 06:23:17 35328 ----a-w C:\WINDOWS\system32\sc.exe
2009-02-03 19:58:06 . 2005-09-16 06:23:17 56832 ----a-w C:\WINDOWS\system32\secur32.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 17:34:00 15360]
"Google Update"="C:\Documents and Settings\jean yves miry\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-12-22 15:19:19 133104]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 17:51:28 3885408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2004-03-24 05:40:42 196608]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 19:05:00 344064]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-11-04 09:30:50 413696]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 12:28:40 266497]
"SunJavaUpdateSched"="C:\Program Files\Java\jre6\bin\jusched.exe" [2009-03-09 03:19:17 148888]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-23 18:33:00 57344]
"TCtryIOHook"="TCtrlIOHook.exe" - C:\WINDOWS\system32\TCtrlIOHook.exe [2005-08-22 14:49:28 28672]
"TPSMain"="TPSMain.exe" - C:\WINDOWS\system32\TPSMain.exe [2005-08-12 09:14:30 266240]
"TFncKy"="TFncKy.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-13 17:34:00 15360]

C:\WINDOWS\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\
ChkDisk.dll [2009-4-28 24064]

C:\Documents and Settings\Invit‚\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.4.lnk - C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

C:\WINDOWS\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\
ChkDisk.dll [2009-4-28 24064]

C:\Documents and Settings\jean yves miry\Menu D‚marrer\Programmes\D‚marrage\
RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-19 630784]
Yahoo! Widgets.lnk - C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe [2008-3-19 4742184]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^jean yves miry^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.4.lnk]
path=C:\Documents and Settings\jean yves miry\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.4.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.4.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"WLSetupSvc"=3 (0x3)
"usnjsvc"=3 (0x3)
"maconfservice"=3 (0x3)
"iPod Service"=3 (0x3)
"Bonjour Service"=2 (0x2)
"AGWinService"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R4 AGWinService;AG Windows Service;C:\Program Files\AGI\common\win32\PythonService.exe [2008-10-29 22:01:54 10240]
R4 maconfservice;Ma-Config Service;C:\Program Files\ma-config.com\maconfservice.exe [2008-09-02 14:14:04 191656]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{941c358c-d1c3-11dd-aa99-00166f0a3e4f}]
\Shell\AutoRun\command - G:\2u.com
\Shell\explore\Command - G:\2u.com
\Shell\open\Command - G:\2u.com
.
Contenu du dossier 'Tâches planifiées'

2009-04-16 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34:12 . 2008-07-30 11:34:12]

2009-04-28 C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-980568788-2855852908-2351634715-1006.job
- C:\Documents and Settings\jean yves miry\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-12-22 15:19:23 . 2008-12-22 15:19:19]

2008-06-15 C:\WINDOWS\Tasks\Rappel d'enregistrement 1.job
- C:\WINDOWS\system32\OOBE\oobebaln.exe [2005-09-16 06:35:37 . 2008-04-13 17:34:18]

2008-06-15 C:\WINDOWS\Tasks\Rappel d'enregistrement 3.job
- C:\WINDOWS\system32\OOBE\oobebaln.exe [2005-09-16 06:35:37 . 2008-04-13 17:34:18]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll
HKLM-Run-autochk - C:\WINDOWS\system32\autochk.dll
HKU-Default-Run-Windows Resurections - C:\WINDOWS\TEMP\dxkxg.exe
HKU-Default-Run-Diagnostic Manager - C:\WINDOWS\TEMP\2280229412.exe
HKU-Default-Run-autochk - C:\DOCUME~1\LOCALS~1\protect.dll
HKU-Default-Run-A00FE77CB.exe - C:\WINDOWS\TEMP\_A00FE77CB.exe
SharedTaskScheduler-{B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll
Notify-__c00DC9E9 - C:\WINDOWS\system32\__c00DC9E9.dat


.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
FF - ProfilePath - C:\Documents and Settings\jean yves miry\Application Data\Mozilla\Firefox\Profiles\w62of9pg.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - component: C:\Documents and Settings\jean yves miry\Application Data\Mozilla\Firefox\Profiles\w62of9pg.default\extensions\bkmrksync@nokia.com\components\BkMrkExt.dll
FF - plugin: C:\Documents and Settings\jean yves miry\Local Settings\Application Data\Google\Update\1.2.141.5\npGoogleOneClick7.dll
FF - plugin: C:\Program Files\ma-config.com\nphardwaredetection.dll
FF - plugin: C:\Program Files\Mozilla Firefox\plugins\npyaxmpb.dll
FF - plugin: C:\Program Files\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll
FF - plugin: C:\Program Files\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.
0
Réponse 15 / 24
Utilisateur anonyme
28 avril 2009 à 17:22
Très bien,
sauf que le rapport n'est pas complet : il manque la fin.

Tu peux le reposter stp ?
0
union-hp
28 avril 2009 à 17:30
http://www.cijoint.fr/cjlink.php?file=cj200904/cijTIdxh1y.txt je les mis ici
0
union-hp
28 avril 2009 à 17:36
c bon?
0
Utilisateur anonyme > union-hp
28 avril 2009 à 17:38
Oui et non.

Je t'envoie la suite...

10-15 min...
0
Réponse 16 / 24
Utilisateur anonyme
28 avril 2009 à 17:46
Humm.
Ok, merci. C'est le même rapport en fait :]

Bon,
il nous faut continuer :

> Télécharge ATF Cleaner par Atribune sur ton bureau.
- Démarre ATF-Cleaner et coche la dernière case nommé 'select all'.
- Clique sur <Empty Selected> et au message "Done Cleaning" sur <Ok>
NB : Si tu utilises Firefox ou Opera :
- Clique sur Firefox ou Opera en haut puis choisis <Select All>.
- Clique sur le bouton <Empty Selected> (NB : Si tu veux conserver tes mots de passe sauvegardés alors clique sur <No> à l'invite).
- Clique sur <Main> pour revenir à menu principal
- Clique sur <Exit>, du menu prinicipal, pour quitter ATFcleaner.
NB : Si le prefetch est nettoyé le redémarrage du PC sera plus lent.




Puis,
> Avec Combofix :
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes : 

KILLALL::
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"ctfmon.exe"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 
"CTFMON.EXE"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{941c358c-d1c3-11dd-aa99-00166f0a3e4f}]     
File::
C:\WINDOWS\system32\winglsetup.exe     
C:\WINDOWS\system32\loader49.exe     
C:\WINDOWS\system32\loader266.exe     
C:\WINDOWS\system32\ftp_non_crp.exe 
G:\2u.com

- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est).
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image (Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris).
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).



Bon courage.

A toute'
0
union-hp
28 avril 2009 à 18:47
voila j'ai effectuer toutes les manip voici le rapport
http://www.cijoint.fr/cjlink.php?file=cj200904/cijrFfjkgb.txt

ps : j'ai rundll ki se lance plus au démarrage c du a quoi?
0
Réponse 17 / 24
Utilisateur anonyme
28 avril 2009 à 19:07
Tu es encore infecté.
Des rootkits...
Enfin là le rapport est complet ;)


On continue :
Alors,
> Avec Combofix :
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes : 

KILLALL::
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"QuickTime Task"=-
"autochk"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 
"Windows Resurections"=-
"Diagnostic Manager"=-
"autochk"=- 
"A00FE77CB.exe"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] 
"NoSetActiveDesktop"= 0  
"NoActiveDesktopChanges"= 0   
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00DC9E9]     
File::
c:\windows\system32\autochk.dll
c:\windows\TEMP\dxkxg.exe
c:\windows\TEMP\2280229412.exe
c:\docume~1\LOCALS~1\protect.dll
c:\windows\TEMP\_A00FE77CB.exe
C:\Documents and Settings\jean yves miry\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll
c:\windows\system32\__c00DC9E9.dat

- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est).
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image (Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris).
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).




Vérifie à quoi correspondent ces ports là sur ton parefeu stp :
1723:TCP
1701:UDP
500:UDP

(dis moi à quel programme ou processus).



Le PC devrait aller mieux, non ?
0
cireluz
28 avril 2009 à 19:08
bonjour,un petit bonjour en passant A+ un admirateur lol
0
Utilisateur anonyme > cireluz
28 avril 2009 à 19:15
Arff :)
Salut Cireluz. Bien à toi ;)
0
union-hp
28 avril 2009 à 19:18
Vérifie à quoi correspondent ces ports là sur ton parefeu stp :
1723:TCP
1701:UDP
500:UDP ???

j'aimeré te répondre mais comment puis-je le savoir ou voit on cela
0
Utilisateur anonyme > union-hp
28 avril 2009 à 19:22
Heu..
de tes configurations de ton pare feu normalement.
Pas grave, passe à la suite stp.

Je reviens d'ici 45 min.

A+
0
union-hp > Utilisateur anonyme
28 avril 2009 à 19:50
ok ok voila le rapport :

http://www.cijoint.fr/cjlink.php?file=cj200904/cijsgE99jH.txt
0
Réponse 18 / 24
Utilisateur anonyme
28 avril 2009 à 20:10
Ok,
très bien.
Et pour le PC ? comment il va ? (tu ne m'as pas répondu. Sois plus causant stp)

Je regarde ton rapport après avoir mangé.

En attendant :
> Les logiciels suivants (MalwareByte's Anti-Malware et Ccleaner) te seront utiles par la suite - ils sont à conserver.
Il faudra que tu les utilises de temps en temps pour limiter ce genre de problèmes.

> Télécharge MalwareByte's Anti-Malware :
- Installe le programme puis lance le.
NB : S'il te manque COMCTL32.OCX alors télécharge le ici
- Fais les mises à jour (clique sur "Mises à jour" puis "Recherche de mises à jour").
- Clique sur "Executer un examen rapide" puis "Rechercher" et sélectionne tous tes disques durs => le scan débute....patiente...
- A la fin du scanne, clique sur "supprimer" (Si des éléments sont difficiles à supprimer, un message te demandera de redémarrer : clique sur <Oui> alors)
- après suppression des infections : un rapport va être généré : sauvegarde le et poste le sur forum.
NB : Si tu as besoin : Tuto


Après,
>Télécharge et installe Ccleaner (logiciel à conserver et à utiliser régulièrement) : https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ , si besoin est tu trouveras des Tutoriaux ici, ici et là.
(N'installe pas la Yahoo Toolbar)
> Démarre en mode sans échec : (image). Si problème : tuto ici
>Lance Ccleaner,,
- Choisi l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures" (tout doit être supprimé).
- Dans l'onglet "Nettoyeur" clique sur "Analyse".
- Une fois l'analyse terminée, clique sur "Lancer le Nettoyage".
- Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois).
- Dans l'onglet "registre" => Recherches des erreurs => Réparer les erreurs sélectionnées => enregistre une sauvegarde => corriger toutes erreurs sélectionnées => ok => fermer.
N.B : Si Ccleaner te propose d'enregistrer une sauvegarde, reponds oui et enregistre sous 'Bureau'
- Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois).


+
0
union-hp
28 avril 2009 à 20:19
lol wé mon pc a lere d'allez mieux il me mais plus le message warning etc.. je peeux réacceder a ma base de registre é les option des dossiers st réapparu sa fé plezir

un grand merci de m'avoir consacrée ton temps pr maidez je v continuer avec se ke tu ma dit de faire.... appriori

sa devré fonctionner correctement mtn?

é dit moi que devré je faire pour évitez ke sa se reproduise?
0
union-hp
28 avril 2009 à 20:49
je dois aller travailler je reviendrai demain apres 13h pour poster la suite merci de ton aide
0
Réponse 19 / 24
Utilisateur anonyme
29 avril 2009 à 12:14
Salut union-hp,
Tu vas bien ?

Oui, on a viré une bonne couche mais il en reste encore un peu. Tout n'est pas encore bien clair dans le Combo.

Avant de faire le MBAM et le Ccleaner d'ici : http://www.commentcamarche.net/forum/affich 12214287 warning dangerous spyware?#30

Peux-tu faire ceci :
> Rends toi sur le site Virus Total : https://www.virustotal.com/gui/ et fais analyser le fichier suivant : (Clique sur <parcourir> puis copie/colle la ligne dans le cadre "Nom du Fichier", ensuite valide par <Ouvrir>. Clique alors sur <Envoyer un fichier>) 

c:\windows\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll

et poste le résultat par copier/coller (ou le lien http, c'est plus rapide et préférable).
- Si Virus total te dit que le fichier a déjà été analysé alors demande une nouvelle analyse.


Puis poste les deux rapports stp : Virus total et Malware byte's
Il reste une ou deux étapes normalement. ;)

Bon courage.
0
union-hp
29 avril 2009 à 18:48
bonjour dlld merci je vais bien é toi? en effet il reste une bonne couche kom tu dit lol g fait un scan de mon pc il me dit ke g 23 virus (un record )...

g fait le malwarebyte rapide http://www.cijoint.fr/cjlink.php?file=cj200904/cijF6Nafbu.txt

et le complet http://www.cijoint.fr/cjlink.php?file=cj200904/cijZHYUBUA.txt


é je te mets ossi le lien pour rapport du scan si sa peut t'intérréssé voila http://www.cijoint.fr/cjlink.php?file=cj200904/cijzbDAH53.txt
0
union-hp
29 avril 2009 à 18:52
et j'ai ossi éssayé de faire la manip ke tu ma dit mais sa ne marche pas, sa me dit de verifier ke le nom fichier corret a bien été rentré ...
0
union-hp
9 mai 2009 à 00:58
bonsoir dlld comment vas tu? moi sava un peu mieux je relativise mon PC a l'air de fonctionner correctement lol les mises a jour ont un peut galéré mais elles sont toutes installés sauf Microsoft .NET Framework 3.5 Service Pack 1 et mise à jour pour la gamme. NET Framework 3.5 x86 (KB951847).

voici les rapport des mises a jour installés suite a filehippo http://www.cijoint.fr/cjlink.php?file=cj200905/cijLgJxw80.txt


et voila le rapport de tools cleaner http://www.cijoint.fr/cjlink.php?file=cj200905/cijY8HLWNU.txt

merci encore pour ton aide

à bientot
0
Réponse 20 / 24
Utilisateur anonyme
29 avril 2009 à 20:43
Hello union-hp,

Ok, c'est parfait tout ça.

Pour le fichier que tu n'as pas trouvé pour l'analyse virus total c'est normal il a été effacé par MBAM. Les autres véroles étaient déjà neutralisées par Combo (dans sa quarantaine).


Bon,
avant de t'envoyer la fin,
poste moi un nouveau RSIT stp.


Puis,
après l'avoir posté,
> Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
N.B. : Le scan ne marche que sous Internet Explorer.
Sous Vista : Execute Internet Explorer en tant qu'administrateur, pour cela fais un clic droit sur le raccourci d'Internet Explorer et choisis "Exécuter en tant qu'administrateur".
- Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...). Allume les si nécessaire.
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
- On va te demander de télécharger un contrôle active x, accepte .
- Dans le menu < Choisissez la cible de l'analyse >, sélectionne < Poste de travail >. Le scan va commencer.
- Poste le rapport qui sera généré (voir cette image) (clique sur <enregistrer le rapport> puis sauvegarde-le sur ton bureau en choisissant "fichier texte (*.txt)" pour l'extension).
S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle Kaspersky On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
Pour le rapport Kaspersky il faut que tu choisisses "Afficher le rapport" puis que tu l'enregistres sur ton bureau sous forme de fichier texte (type de fichier "tous les fichiers").



Bon courage.
Puis je t'envoie la fin.

Bonne soirée.
0
union-hp
30 avril 2009 à 17:59
bjr a toi dlld tu va bien?

voila le rist http://www.cijoint.fr/cjlink.php?file=cj200904/cij55Y6YyI.txt

j'effectue la suite et je la poste
0

Discussions similaires

Message " Your chassis has been opened"
tophe70 -
Anonyme -

14 réponses
Musique dans le film Réussir ou Mourrir
Ksharp -
shi ki -

1 réponse
Cpu fan fail
Mistik -
Bobo -

2 réponses
musique du film reussir ou mourir de 50 cent
dydou.09 -
link -

89 réponses
Warning your dimm1 and dimm2 module organization is not same
soulbledar -
Corentin -

4 réponses