Sujet Précédent Sujet Suivant

Gros probleme depuis une semaine

Résolu
Neskater -  
 Utilisateur anonyme -
Bonjour a tous

De retour de saison d hivers apres six moi de non connection a internet et donc non mise a jour de mon avira antivir, je pensais que regarder mes mails pendant cette mise a jour était sans danger....ben la preuve que non

cela fais une semaine que je me débat...après avoir épluché le web pour des problèmes similaire je pensais avoir éradiqué le problème mais manifestement pas

bon accrochez vous je détail:

Premier symptôme: une petit croix blanche sur fond rouge dans la barre des tache (coté droit) avec une bulle intempestive qui dit que je suis infecter
J ai fais gicler ce problème en faisant tourner antivir + ccleaner en mode sans echec...
j e pensais mettre sorti de ce mauvais pas mais le fais de ne pas avoir accès a hotmail (connexion sans probleme au compte mais apres un clique sur boite de reception, soit: affichage imcomplet de la page, soit affichage en mode source javacript: page blanche et ligne de code)
je pensais que java script etait la cause, peine perdu
autre symptome qui m as mis la puce a l oreille: apres chaque clique sur un lien (sur google ou autre) c que je passe par un site intermediare: une ip.secu.us (qui s afiche en bas bas a gauche de la fenetre fire fox entre deux chargement
brefs rebelotte en mode sans echec antiv +malaware+smitfraudfix+ ccleaner
apres reboot et decochage du restauration systeme au cas ou, hotmail redeviens accecible normalement....je ferme firefox et ressaye: rebelote page blanche pleine de script....mais plus de site intermediaire entre deux chargement de page
reboot en sans echec: meme procedure (antivi+malaware+smitfraudfix+ccleaner+nettoyage de l espace disque libre avec ccleaner) et la tadam tous marche impeccable pendant trois jours!
je m appretais a sabrer le champagne quand hier soir le probleme c mis a reaparaitre sous des forme identique mais avec quelque nouveauté: le site intermediare s appelle maintenant google-redirect et est omnipresent....de plus une fois sur quatre je suis rediriger vers un site zeuis quelque chose qui ce present comme un lien de telechargement representant le motif de ma recherche google
brefs rebelotte en mode sans echec antiv +malaware+smitfraudfix+sdfix+ccleaner+tous les fix possible sur touts les forum dedier du coin: que dalle
Je me doute maintenant que mon probleme est specifique et que aucun forum sur des probleme similaire ne poura m aider...il me faut de l aide pour annaliser le rapport hijack et cibler exactement le probleme
Bref je m arrache les cheveux
Comme dit REVOLVER de GUY Richie: on ne deviens plus malin quand affrontant un adversaire plus malin
celui ci est plus malin que moi...y a til quelqu un plus malin que lui ici svp?.....
je vous poste trois rapport: le premier est celuis fait par smitfraudfix apres que j ai pensé avoir regler le probleme la premiere fois:

SmitFraudFix v2.412

Rapport fait à 23:26:39,35, 27/04/2009
Executé à partir de C:\Documents and Settings\Guin's\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{B2BA40A2-74F0-42BD-F434-12345A2C8953}"="jso8joigm409gopgmrlgd"

[HKEY_CLASSES_ROOT\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953}\InProcServer32]
@="C:\WINDOWS\system32\yhs783ijfo3fe.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953}\InProcServer32]
@="C:\WINDOWS\system32\yhs783ijfo3fe.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
¡¡¡¡ 127.0.0.1 q4master.idsoftware.com #block q4server
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
...

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\ahtn.htm supprimé
C:\WINDOWS\system32\frmwrk32.exe supprimé
C:\WINDOWS\system32\warning.gif supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS2\Services\Tcpip\..\{3C17C5BC-7736-452F-8ACB-F4DEF2A0D5A5}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» RK.2

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{B2BA40A2-74F0-42BD-F434-12345A2C8953}"="jso8joigm409gopgmrlgd"

[HKEY_CLASSES_ROOT\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953}\InProcServer32]
@="C:\WINDOWS\system32\yhs783ijfo3fe.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953}\InProcServer32]
@="C:\WINDOWS\system32\yhs783ijfo3fe.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Fin

le deusieme fais par sdfix hiere soir:

[b]SDFix: Version 1.240 /b
Run by Guin's on 07/05/2009 at 02:00

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services /b:

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

[b]Checking Files /b:

Trojan Files Found:

C:\WINDOWS\system32\p2hhr.bat - Deleted

Removing Temp Files

[b]ADS Check /b:

[b]Final Check /b:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-07 02:08:45
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...

disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\Guin's\ntuser.dat, 0
scanning hidden files ...

disk error: C:\WINDOWS\

please note that you need administrator rights to perform deep scan

[b]Remaining Services /b:

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Salling Software AB\\Salling Clicker\\WinClicker.exe"="C:\\Program Files\\Salling Software AB\\Salling Clicker\\WinClicker.exe:*:Enabled:WinClicker.exe"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files /b:

File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes /b:

Wed 6 May 2009 24,064 A.SH. --- "C:\Documents and Settings\Guin's\protect.dll"
Wed 6 May 2009 24,064 A.SH. --- "C:\Documents and Settings\NetworkService\protect.dll"
Wed 22 Oct 2008 949,072 A.SHR --- "C:\Program Files\File Scanner Library (Spybot - Search & Destroy)\advcheck.dll"
Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\Misc. Support Library (Spybot - Search & Destroy)\Tools.dll"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\SDHelper (Spybot - Search & Destroy)\SDHelper.dll"
Thu 5 Mar 2009 2,260,480 A.SHR --- "C:\Program Files\TeaTimer (Spybot - Search & Destroy)\TeaTimer.exe"
Thu 7 May 2009 24,064 A.SH. --- "C:\WINDOWS\system32\autochk.dll"
Fri 11 May 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 6 May 2009 24,064 A.SH. --- "C:\WINDOWS\system32\config\systemprofile\protect.dll"
Thu 7 Dec 2006 3,096,576 A..H. --- "C:\Documents and Settings\Guin's\Application Data\U3\temp\Launchpad Removal.exe"
Thu 7 May 2009 24,064 A.SH. --- "C:\WINDOWS\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\ChkDisk.dll"

[b]Finished!/b

et le troisieme enfin fais par hijack ya quelque minute pour clarifier l emsemble de la situation lol

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:17:14, on 07/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\cFosSpeed\spd.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Norton Ghost\Agent\VProSvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\cFosSpeed\cFosSpeed.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\Norton Ghost\Agent\VProTray.exe
C:\Program Files\QuickTime\QTTask.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Draxysoft\Wallpaper Sequencer\Walser.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Salling Software AB\Salling Clicker\WinClicker.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Rainlendar\Rainlendar.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
\?\globalroot\C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: C:\WINDOWS\system32\afnoinkdsfe.dll - {C2BA40A1-74F3-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\afnoinkdsfe.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [Norton Ghost 12.0] "C:\Program Files\Norton Ghost\Agent\VProTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKCU\..\Run: [Walser] C:\Program Files\Draxysoft\Wallpaper Sequencer\Walser.exe start
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [WinClicker.exe] "C:\Program Files\Salling Software AB\Salling Clicker\WinClicker.exe" -atboottime
O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOCUME~1\Guin's\protect.dll,_IWMPEvents@16
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [uidenhiufgsduiazghs] C:\WINDOWS\TEMP\j9nrxmc1u2.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - Startup: ChkDisk.lnk = ?
O4 - Startup: Nikon Monitor.lnk = C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe
O4 - Startup: Rainlendar.exe.lnk = C:\Program Files\Rainlendar\Rainlendar.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: __c002C2C2 - C:\WINDOWS\system32\__c002C2C2.dat (file missing)
O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - (no file)
O22 - SharedTaskScheduler: sdfsefsfdvdubgiungfuyd - {C2BA40A1-74F3-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\afnoinkdsfe.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Program Files\cFosSpeed\spd.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

23 réponses

  • 1
  • 2
Réponse 1 / 23
Utilisateur anonyme
 
Salut ,

• Télécharge et install UsbFix

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau .

• Choisis l'option 1 ( Recherche )

• Laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
0
Réponse 2 / 23
Neskater
 
merci pour ta reponse rapide
j ai vu sur un forum c fix usb
je test de suite et je te tiens au courant
merci encore
0
Réponse 3 / 23
Neskater
 
il me bloque l acces de ton lien via mon ordi
je m envoie ca par mail
0
Réponse 4 / 23
Neskater
 
voila
wait for ur reply

merci encore

############################## [ UsbFix V3.017 # Scan ]

# User : Guin's (Administrateurs) # XPSP2-EEB3915A8
# Update on 06/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 15:52:23 | 07/05/2009

# Intel(R) Pentium(R) M processor 2.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]

# C:\ # Disque fixe local # 26,31 Go (9,12 Go free) # NTFS
# D:\ # Disque fixe local # 66,85 Go (4,6 Go free) # NTFS
# E:\ # Disque CD-ROM
# G:\ # Disque fixe local # 698,64 Go (219,47 Go free) # NTFS

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\cFosSpeed\spd.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Norton Ghost\Agent\VProSvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\cFosSpeed\cFosSpeed.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\Norton Ghost\Agent\VProTray.exe
C:\Program Files\QuickTime\QTTask.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Draxysoft\Wallpaper Sequencer\Walser.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Salling Software AB\Salling Clicker\WinClicker.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Rainlendar\Rainlendar.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
\\?\globalroot\systemroot\system32\rundll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre # Startup ]

HKCU_Main: "Local Page"="C:\\windows\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Guin's"
HKLM_logon: "AltDefaultUserName"="Guin's"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: HControl=C:\WINDOWS\ATK0100\HControl.exe
HKLM_Run: SynTPLpr=C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
HKLM_Run: SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
HKLM_Run: Power_Gear=C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
HKLM_Run: IntelZeroConfig="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
HKLM_Run: IntelWireless="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
HKLM_Run: cFosSpeed=C:\Program Files\cFosSpeed\cFosSpeed.exe
HKLM_Run: PWRISOVM.EXE=C:\Program Files\PowerISO\PWRISOVM.EXE
HKLM_Run: Norton Ghost 12.0="C:\Program Files\Norton Ghost\Agent\VProTray.exe"
HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime
HKLM_Run: iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"
HKLM_Run: SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM_Run: autochk=rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
HKCU_Run: Walser=C:\Program Files\Draxysoft\Wallpaper Sequencer\Walser.exe start
HKCU_Run: Skype="C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
HKCU_Run: Start WingMan Profiler=
HKCU_Run: SuperCopier2.exe=C:\Program Files\SuperCopier2\SuperCopier2.exe
HKCU_Run: WinClicker.exe="C:\Program Files\Salling Software AB\Salling Clicker\WinClicker.exe" -atboottime
HKCU_Run: autochk=rundll32.exe C:\DOCUME~1\Guin's\protect.dll,_IWMPEvents@16
HKCU_Run: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AdobeUpdater=

################## [ Informations ]

################## [ Fichiers # Dossiers infectieux ]

Found ! C:\WINDOWS\Temp\msb.dll
Found ! C:\WINDOWS\Temp\nsrbgxod.bak
Found ! C:\WINDOWS\system32\autochk.dll
Found ! C:\WINDOWS\system32\lmppcsetup.exe
Found ! C:\WINDOWS\system32\tmp.txt
Found ! C:\WINDOWS\system32\config\SystemProfile\protect.dll
Found ! "C:\Documents and Settings\Guin's\protect.dll"
Found ! C:\DOCUME~1\Guin's\LOCALS~1\Temp\nsrbgxod.bak
Found ! G:\autorun.inf
Found ! G:\start.exe

################## [ Registre # Clés Run infectieuses ]

Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "autochk"
Found ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "autochk"
Found ! HKU\S-1-5-21-1085031214-2052111302-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "autochk"
Found ! HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\ "autochk"

################## [ Registre # Mountpoints2 ]

HKCU\Software\Microsoft\....\MountPoints2\{314c39dc-f09d-11dd-99b8-0013cea6f08d}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{314c39dc-f09d-11dd-99b8-0013cea6f08d}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{32ba80ba-9cec-11dd-9d69-0013cea6f08d}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{32ba80ba-9cec-11dd-9d69-0013cea6f08d}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{377dba7e-3199-11de-997d-0013cea6f08d}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{377dba7e-3199-11de-997d-0013cea6f08d}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{5f3c51b2-7955-11db-9f26-0013cea6f08d}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{95bfa2ff-fdce-11dd-99d0-0013cea6f08d}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{95bfa2ff-fdce-11dd-99d0-0013cea6f08d}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{e6af0524-744e-11db-9f16-0013cea6f08d}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{e6af0524-744e-11db-9f16-0013cea6f08d}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{edc095f3-9c18-11db-9f78-0013cea6f08d}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{f20aeca5-5a99-11dd-bbb8-0013cea6f08d}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{fbda5485-ff2d-11db-a021-0013cea6f08d}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{fbda5485-ff2d-11db-a021-0013cea6f08d}\Shell\explore\Command
HKCU\Software\Microsoft\....\MountPoints2\{fbda5485-ff2d-11db-a021-0013cea6f08d}\Shell\open\Command

################## [ ! Fin du rapport # UsbFix V3.017 ! ]
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 23
Utilisateur anonyme
 
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau

• choisis l'option 2 ( Suppression )

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
0
Réponse 6 / 23
Neskater
 
ok je m en doutter un peu
a tous de suite
0
Réponse 7 / 23
Neskater
 
voila
ecran bleu au redemarrage mais il a continuer a travailler apres reboot forcé

rapport:

############################## [ UsbFix V3.017 # Cleaning ]

# User : Guin's (Administrateurs) # XPSP2-EEB3915A8
# Update on 06/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 16:49:44 | 07/05/2009

# Intel(R) Pentium(R) M processor 2.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]

# C:\ # Disque fixe local # 26,31 Go (9,13 Go free) # NTFS
# D:\ # Disque fixe local # 66,85 Go (4,6 Go free) # NTFS
# E:\ # Disque CD-ROM
# G:\ # Disque fixe local # 698,64 Go (219,47 Go free) # NTFS

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\cFosSpeed\spd.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe

################## [ Fichiers # Dossiers infectieux ]

Deleted ! C:\WINDOWS\Temp\msb.dll
Deleted ! C:\WINDOWS\Temp\nsrbgxod.bak
Deleted ! C:\WINDOWS\system32\autochk.dll
Deleted ! C:\WINDOWS\system32\lmppcsetup.exe
Deleted ! C:\WINDOWS\system32\tmp.txt
Deleted ! C:\WINDOWS\system32\config\SystemProfile\protect.dll
Deleted ! "C:\Documents and Settings\Guin's\protect.dll"
Deleted ! C:\DOCUME~1\Guin's\LOCALS~1\Temp\nsrbgxod.bak
Deleted ! G:\autorun.inf
Deleted ! G:\start.exe

################## [ Registre # Clés Run infectieuses ]

Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "autochk"
Deleted ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "autochk"
Deleted ! HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\ "autochk"

################## [ Registre # Mountpoints2 ]

Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{314c39dc-f09d-11dd-99b8-0013cea6f08d}\Shell\Auto\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{32ba80ba-9cec-11dd-9d69-0013cea6f08d}\Shell\Auto\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{377dba7e-3199-11de-997d-0013cea6f08d}\Shell\Auto\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{5f3c51b2-7955-11db-9f26-0013cea6f08d}\Shell\AutoRun\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{95bfa2ff-fdce-11dd-99d0-0013cea6f08d}\Shell\Auto\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{e6af0524-744e-11db-9f16-0013cea6f08d}\Shell\Auto\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{edc095f3-9c18-11db-9f78-0013cea6f08d}\Shell\AutoRun\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{fbda5485-ff2d-11db-a021-0013cea6f08d}\Shell\AutoRun\command

################## [ Listing des fichiers présent ]

[14/11/2006 22:24|--a------|0] - C:\AUTOEXEC.BAT
[26/07/2008 00:57|---hs----|212] - C:\boot.ini
[24/08/2001 14:00|-rahs----|4952] - C:\Bootfont.bin
[29/04/2009 05:14|--a------|7668] - C:\caisslog.txt
[03/07/2007 02:47|-ra------|7793] - C:\CLDMA.LOG
[14/11/2006 22:24|--a------|0] - C:\CONFIG.SYS
[26/10/2008 20:02|--a------|184] - C:\drwtsn32.log
[?|?|?] - C:\hiberfil.sys
[14/11/2006 22:24|-rahs----|0] - C:\IO.SYS
[08/11/2008 14:55|--a------|103] - C:\ioSpecial.ini
[22/08/2007 02:49|--a------|3264] - C:\LGSInst.Log
[18/10/2008 16:16|--a------|6789386] - C:\log_fs.log
[14/11/2006 22:24|-rahs----|0] - C:\MSDOS.SYS
[03/08/2004 23:38|-rahs----|47564] - C:\NTDETECT.COM
[03/08/2004 23:59|-rahs----|251712] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[07/05/2009 02:26|--a------|1505] - C:\TCleaner.txt
[07/05/2009 16:50|--a------|4715] - C:\UsbFix.txt
[27/04/2007 16:51|--a------|155] - C:\version.ini
[14/05/2007 01:38|--a------|1784] - C:\WirelessDiagLog.csv
[29/04/2009 22:35|--a------|416] - C:\xcrashdump.dat
[04/04/2009 20:53|--a------|1734019] - D:\BETA_photo_sportive__bases_et_sports_meca.pdf
[26/04/2009 10:55|--a------|48443] - D:\Capture NX2 Tutorial High Key Portraits - Digital Photography Tips and Techniques.htm
[20/08/2008 00:00|--a------|233220] - D:\CV Guinard Nicolas.pdf
[16/05/2008 20:47|--a------|45988292] - D:\manu-rencontre habituelle.wav
[04/09/2008 01:32|---------|3797995520] - D:\mvs-batt.img
[?|?|?] - D:\pagefile.sys
[24/10/2008 14:22|--a------|2478467] - D:\Snowboard_extreme.wmv
[16/10/2008 15:03|--a------|1320448] - D:\Sur_le_vif.pps
[26/01/2006 18:13|--ahs----|107520] - D:\Thumbs.db
[24/10/2008 14:22|--a------|2478467] - G:\Snowboard_extreme.wmv
[26/04/2009 19:01|--a------|2475647561] - G:\Visual Pinball GIGAPACK 02Jun2004 - 865 Arcade Tables - COMPLETE VPinMame ALL ROMs - VPLauncher ALL shots, cabinets, compl. database.zip

################## [ Vaccination ]

# C:\autorun.inf -> Folder created by UsbFix.
# D:\autorun.inf -> Folder created by UsbFix.
# G:\autorun.inf -> Folder created by UsbFix.

################## [ Cracks / Keygens / Serials ]

# -> Nothing found !

################## [ ! Fin du rapport # UsbFix V3.017 ! ]

wait and see
0
Réponse 8 / 23
Utilisateur anonyme
 
Telecharge malwarebytes
https://www.malwarebytes.com/

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examen rapide".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log
0
Réponse 9 / 23
Neskater
 
bien madame
a toute
0
Réponse 10 / 23
Neskater
 
voila ca a l air mieu que l annalyse de hiere soir
j attend ton avis sur la question

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2088
Windows 5.1.2600 Service Pack 2

07/05/2009 17:27:19
mbam-log-2009-05-07 (17-27-19).txt

Type de recherche: Examen rapide
Eléments examinés: 78763
Temps écoulé: 1 minute(s), 58 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\Temp\msb.dll (Worm.Autorun) -> Delete on reboot.
C:\WINDOWS\system32\afnoinkdsfe.dll (Trojan.Ertfor) -> Delete on reboot.
C:\WINDOWS\system32\ipfwrd.dll (Trojan.Goldun) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{c2ba40a1-74f3-42bd-f434-12345a2c8953} (Trojan.Zlob.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c2ba40a1-74f3-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c2ba40a1-74f3-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c002c2c2 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ipfwrd (Trojan.Goldun) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{c2ba40a1-74f3-42bd-f434-12345a2c8953} (Trojan.Zlob.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Worm.Autorun) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Worm.Autorun) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Worm.Autorun) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\afnoinkdsfe.dll (Trojan.Zlob.H) -> Delete on reboot.
C:\WINDOWS\Temp\msb.dll (Worm.Autorun) -> Delete on reboot.
C:\Documents and Settings\Guin's\protect.dll (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\autochk.dll (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\protect.dll (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Documents and Settings\NetworkService\protect.dll (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\a9k.bin (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ipfwrd.dll (Trojan.Goldun) -> Delete on reboot.
C:\WINDOWS\system32\ipfwrd.sys (Trojan.Goldun) -> Delete on reboot.
C:\WINDOWS\Temp\nsrbgxod.bak (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\ak1.exe (Virus.Virut) -> Quarantined and deleted successfully.
0
Réponse 11 / 23
Utilisateur anonyme
 
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique sur combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
0
Réponse 12 / 23
Neskater
 
combo fx me demande une connetion internet pour la console de recuperation windows alors que j ai tout couper pour le lasser ravailler (antivirus egalement)
que fais je?
0
Réponse 13 / 23
Neskater
 
j ai finalement accepter d installer la console et recouper internet just apres
la suite dans un instant
0
Réponse 14 / 23
Neskater
 
voila le rapport de combofx qui au passage ma mis un raccourci internet explrer sur mon bureau
perso je prefere mozilla....un rapport avec mon probleme?....mozilla semble fiable pourtant?....a moin que tout ca se trouver dans les cookies degueulasse
enfin voila le rapport:

ComboFix 09-05-06.08 - Guin's 07/05/2009 18:00.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1023.639 [GMT 2:00]
Lancé depuis: c:\documents and settings\Guin's\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\drivers\ovfsthcgdyvvajefwftdxrjmnbygmabsoloinp.sys
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\ovfsthchhiekqxxfswytduplrigpmescrxmjpl.dat
c:\windows\system32\ovfsthipotegduxfhmnwascwarhxqusyumxsec.dll
c:\windows\system32\ovfsthvecrulqvxoyiyxnwsofouxqppsofeioq.dll
c:\windows\system32\ovfsthwqoudgwdxrujwxbrimsckcabeaiemlfb.dat
c:\windows\system32\ovfsthxlfkcglhmnnbdnajbvglydgaavpstobn.dll
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\uniq.tll
C:\xcrashdump.dat

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthhvucdumuebofnxukipgeoorxtqdunujq
-------\Legacy_NPF
-------\Service_NPF

((((((((((((((((((((((((((((( Fichiers créés du 2009-04-07 au 2009-05-07 ))))))))))))))))))))))))))))))))))))
.

2009-05-07 15:24 . 2009-05-07 15:24 -------- d-----w c:\documents and settings\Guin's\Application Data\Malwarebytes
2009-05-07 15:24 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-07 15:24 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-07 15:24 . 2009-05-07 15:24 -------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2009-05-07 15:24 . 2009-05-07 15:24 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-05-07 13:50 . 2009-05-07 14:51 -------- d-----w C:\UsbFix
2009-05-06 23:59 . 2009-05-06 23:59 578048 -c--a-w c:\windows\system32\dllcache\user32.dll
2009-05-06 23:57 . 2009-05-07 00:26 -------- d-----w c:\windows\ERUNT
2009-05-06 23:57 . 2009-05-07 00:08 -------- d-----w C:\Backups
2009-05-06 23:31 . 2009-05-07 12:17 -------- d-----w c:\program files\Trend Micro
2009-05-06 21:25 . 2009-05-07 15:44 8192 ----a-w c:\windows\system32\lmn_setup.exe
2009-04-29 03:19 . 2009-04-29 03:19 -------- d-----w c:\program files\CCleaner
2009-04-29 00:07 . 2009-04-29 00:07 -------- d-----w c:\documents and settings\NetworkService\Menu Démarrer
2009-04-29 00:07 . 2009-04-29 00:10 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-04-29 00:07 . 2009-04-29 00:07 -------- d-----w c:\documents and settings\All Users\Application Data\Avira
2009-04-29 00:07 . 2009-04-29 00:07 -------- d-----w c:\program files\Avira
2009-04-28 15:54 . 2009-04-28 15:53 102664 ----a-w c:\windows\system32\drivers\tmcomm.sys
2009-04-28 15:52 . 2009-04-28 15:54 -------- d-----w c:\documents and settings\Guin's\.housecall6.6
2009-04-27 20:06 . 2009-04-27 20:06 -------- d-----w c:\documents and settings\NetworkService\Local Settings\Application Data\Apple
2009-04-27 19:12 . 2009-04-27 22:12 -------- d-----w c:\program files\TrojanHunter 5.0
2009-04-27 18:53 . 2009-04-28 23:16 410984 ----a-w c:\windows\system32\deploytk.dll
2009-04-27 14:13 . 2009-04-27 14:13 -------- d-----w c:\program files\Misc. Support Library (Spybot - Search & Destroy)
2009-04-27 14:13 . 2009-04-27 14:13 -------- d-----w c:\program files\File Scanner Library (Spybot - Search & Destroy)
2009-04-27 14:13 . 2009-04-27 14:13 -------- d-----w c:\program files\SDHelper (Spybot - Search & Destroy)
2009-04-27 14:13 . 2009-04-27 14:13 -------- d-----w c:\program files\TeaTimer (Spybot - Search & Destroy)
2009-04-26 08:05 . 2009-04-26 08:05 -------- d-----w c:\documents and settings\Guin's\Application Data\Flickr
2009-04-26 08:05 . 2009-04-26 08:05 -------- d-----w c:\documents and settings\Guin's\Local Settings\Application Data\Flickr
2009-04-26 07:30 . 2009-04-29 04:24 -------- d-----w c:\program files\Flickr Uploadr

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-07 16:04 . 2007-05-27 17:14 -------- d-----w c:\program files\cFosSpeed
2009-05-06 18:28 . 2008-09-10 23:36 20 ---h--w c:\documents and settings\All Users\Application Data\PKP_DLbx.DAT
2009-05-06 14:25 . 2008-09-10 22:58 20 ---h--w c:\documents and settings\All Users\Application Data\PKP_DLdw.DAT
2009-05-04 16:35 . 2008-09-10 22:56 20 ---h--w c:\documents and settings\All Users\Application Data\PKP_DLdu.DAT
2009-04-28 23:12 . 2006-11-21 13:25 -------- d-----w c:\program files\FlashGet
2009-04-28 22:01 . 2006-11-15 12:59 -------- d-----w c:\program files\Java
2009-04-27 22:13 . 2007-10-23 13:21 -------- d-----w c:\program files\Spybot - Search & Destroy
2009-04-14 19:23 . 2006-11-15 12:58 -------- d-----w c:\program files\Azureus
2009-04-12 11:10 . 2007-06-08 12:11 664 ----a-w c:\windows\system32\d3d9caps.dat
2009-04-08 19:28 . 2009-02-18 02:20 -------- d-----w c:\program files\Visual Pinball
2009-04-03 18:19 . 2009-04-03 18:18 -------- d-----w c:\program files\iTunes
2009-04-03 18:19 . 2009-04-03 18:19 -------- d-----w c:\program files\iPod
2009-04-03 18:12 . 2009-02-01 15:17 -------- d-----w c:\program files\Fichiers communs\Apple
2009-03-31 15:56 . 2001-08-24 12:00 71686 ----a-w c:\windows\system32\perfc00C.dat
2009-03-31 15:56 . 2001-08-24 12:00 458886 ----a-w c:\windows\system32\perfh00C.dat
2009-03-23 21:42 . 2006-11-22 03:23 15080 ----a-w c:\documents and settings\Guin's\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2008-09-16 23:59 . 2008-09-16 23:56 21203424 ----a-w c:\program files\FLV PlayerRCSetup.exe
2000-06-05 15:47 . 2007-07-05 04:59 32768 ----a-w c:\program files\mozilla firefox\plugins\AppSub32.dll
2006-05-06 16:42 . 2006-11-22 17:24 7260160 ----a-w c:\program files\mozilla firefox\plugins\libvlc.dll
2007-06-13 20:05 . 2007-06-13 20:05 586240 ----a-w c:\program files\mozilla firefox\plugins\MannequinPlayer2.dll
.

------- Sigcheck -------

[-] 2006-03-09 08:25 578048 0DF75FB73F705B011630159A43D7C354 c:\windows\system32\user32.dll
[-] 2009-05-06 23:59 578048 0DF75FB73F705B011630159A43D7C354 c:\windows\system32\dllcache\user32.dll

[-] 2006-04-12 18:13 667648 241DBC4C2714B2F39AFDED49459ED420 c:\windows\system32\wininet.dll

[-] 2006-02-14 19:56 359808 667192A11DB19F36624119C0DD4DE4F2 c:\windows\system32\drivers\tcpip.sys

[-] 2006-05-09 08:11 2058880 73FA9C95D235844A36968C7852C7DBDD c:\windows\system32\ntkrnlpa.exe

[-] 2006-03-09 08:25 2181376 63729DD0F2AAE36CC52B89C05505146C c:\windows\system32\ntoskrnl.exe

[-] 2006-03-09 08:25 57856 DA81EC57ACD4CDC3D4C51CF3D409AF9F c:\windows\system32\spoolsv.exe

[-] 2006-03-09 09:40 1548288 E51172E3C82D76FCC02001D0FF41A1A1 c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Walser"="c:\program files\Draxysoft\Wallpaper Sequencer\Walser.exe" [2006-02-05 1315328]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2007-09-13 22880040]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"WinClicker.exe"="c:\program files\Salling Software AB\Salling Clicker\WinClicker.exe" [2007-05-11 1150976]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="c:\windows\ATK0100\HControl.exe" [2006-08-10 110592]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-12-23 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-12-06 1024000]
"Power_Gear"="c:\program files\ASUS\Power4 Gear\BatteryLife.exe" [2005-06-16 86016]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2007-02-21 819200]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2007-02-21 970752]
"cFosSpeed"="c:\program files\cFosSpeed\cFosSpeed.exe" [2007-05-16 838872]
"PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2007-08-07 200704]
"Norton Ghost 12.0"="c:\program files\Norton Ghost\Agent\VProTray.exe" [2007-10-05 2037088]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-04-27 257088]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-28 148888]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"Config"="c:\windows\system32\run.cmd" [2006-02-14 248]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\
ChkDisk.dll [2009-5-7 24064]

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\
ChkDisk.dll [2009-5-7 24064]

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\
ChkDisk.dll [2009-5-7 24064]

c:\documents and settings\Guin's\Menu D‚marrer\Programmes\D‚marrage\
ChkDisk.lnk - c:\windows\system32\rundll32.exe [2004-8-19 33792]
Nikon Monitor.lnk - c:\program files\Fichiers communs\Nikon\Monitor\NkMonitor.exe [2007-6-14 479232]
Rainlendar.exe.lnk - c:\program files\Rainlendar\Rainlendar.exe [2006-1-21 118784]
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2009-5-7 1802309]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2004-12-22 45056]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"DisablePagingExecutive"=dword:00000001
"SecondLevelDataCache"=dword:00000200

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Salling Software AB\\Salling Clicker\\WinClicker.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26777:TCP"= 26777:TCP:AZUREUS
"26777:UDP"= 26777:UDP:AZUREUS é
"5353:UDP"= 5353:UDP:Salling Clicker mDNS

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [29/04/2009 02:07 108289]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mchInjDrv
.
Contenu du dossier 'Tâches planifiées'

2009-05-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Start WingMan Profiler - (no file)
HKU-Default-Run-Picasa Media Detector - c:\program files\Picasa2\PicasaMediaDetector.exe
HKU-Default-Run-Windows Resurections - c:\windows\TEMP\zzsklub.exe
HKU-Default-Run-A00FE1AE6.exe - c:\windows\TEMP\_A00FE1AE6.exe
HKU-Default-Run-uidenhiufgsduiazghs - c:\windows\TEMP\j9nrxmc1u2.exe

.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\Guin's\Application Data\Mozilla\Firefox\Profiles\u2dd49oq.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: network.proxy.type - 4
FF - component: c:\documents and settings\Guin's\Application Data\Mozilla\Firefox\Profiles\u2dd49oq.default\extensions\{494a4ffc-7e57-4440-8968-c03f5bafe0e8}\components\FFAlert.dll
FF - component: c:\documents and settings\Guin's\Application Data\Mozilla\Firefox\Profiles\u2dd49oq.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NpIpx32.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npredoute.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npvlc.dll

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.bookmark_page", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.current_page", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.restore_default", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importBookmarksHTML", true);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importDefaults", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.search.selectedEngine", "xeoo.com");
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("keyword.URL", "http://xeoo.com/?p=url&a=firefox&k=");
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.startup.homepage", "http://www.xeoo.com/?p=h&a=firefox");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-07 18:05
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\Guin's\LOCALS~1\Temp\mc21.tmp"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1085031214-2052111302-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{67043721-C29E-AD98-73E5-952E69BA6D1F}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iamappbagckoopiena"=hex:69,61,61,6d,6e,63,63,68,70,68,6c,6e,69,6c,6b,64,63,68,
00,00
"haoanoedaoiinlhn"=hex:6a,61,6c,6c,66,63,6a,68,61,70,66,67,69,67,6d,64,68,61,
67,6c,00,00

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{67043721-C29E-AD98-73E5-952E69BA6D1F}\InProcServer32*]
"fakabdppohdb"=hex:70,61,62,6d,6c,6e,6f,6e,68,6d,6c,66,68,65,67,6a,65,61,67,6d,
6d,66,6e,63,62,64,6f,6f,67,6a,69,69,00,09
"nakadanbllfjdolgkomgdbfmmgnl"=hex:64,62,6c,66,6e,6f,66,63,69,6a,66,68,63,63,
68,62,61,6b,6f,61,69,6d,64,65,62,63,6e,66,64,6f,6e,6c,62,6b,61,70,62,70,68,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1320)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3236)
c:\program files\SuperCopier2\SC2Hook.dll
c:\program files\Stardock\ObjectDock\DockShellHook.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\cFosSpeed\spd.exe
c:\program files\Executive Software\DiskeeperLite\DKService.exe
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\program files\Norton Ghost\Agent\VProSvc.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\ati2evxx.exe
c:\windows\ATK0100\ATKOSD.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
.
**************************************************************************
.
Heure de fin: 2009-05-07 18:07 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-05-07 16:07

Avant-CF: 9 677 819 904 octets libres
Après-CF: 9 601 675 264 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

267

wait and see
0
Réponse 15 / 23
Utilisateur anonyme
 
Télécharge random's system information tool (RSIT) et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt
0
Réponse 16 / 23
Neskater
 
voila:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Guin's at 2009-05-07 18:28:27
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 9 GB (34%) free of 27 GB
Total RAM: 1023 MB (49% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:28:32, on 07/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\cFosSpeed\spd.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Norton Ghost\Agent\VProSvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\cFosSpeed\cFosSpeed.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Norton Ghost\Agent\VProTray.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Draxysoft\Wallpaper Sequencer\Walser.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Salling Software AB\Salling Clicker\WinClicker.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Rainlendar\Rainlendar.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\Guin's\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Guin's.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [Norton Ghost 12.0] "C:\Program Files\Norton Ghost\Agent\VProTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Walser] C:\Program Files\Draxysoft\Wallpaper Sequencer\Walser.exe start
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [WinClicker.exe] "C:\Program Files\Salling Software AB\Salling Clicker\WinClicker.exe" -atboottime
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - S-1-5-18 Startup: ChkDisk.dll (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user')
O4 - Startup: ChkDisk.lnk = ?
O4 - Startup: Nikon Monitor.lnk = C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe
O4 - Startup: Rainlendar.exe.lnk = C:\Program Files\Rainlendar\Rainlendar.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Program Files\cFosSpeed\spd.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
0
Réponse 17 / 23
Utilisateur anonyme
 
* pour supprimer les outils/fix utilisés :

Télécharge ToolsCleaner sur ton bureau.
-->
http://pc-system.fr/
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).

Tuto xp : http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924
0
Réponse 18 / 23
Neskater
 
ok

tool cleaner a tout bien nettoyer sauf combofx que j ai effacer manuellement....du coup le log n as plus d interet a etre posté
j ai purger la restauration systeme et je m apprette a recree un point de restauration via toolcleaner apres avoir decocher de nouveau
je vais lancer ccleaner ca peut pas faire de mal
quand est ce que je peut tester pour voire si google-redirect n interviens plus dans google et si hotmail s affiche de nouveau correctement?....
Merci encore pour ton aide si ca marche je valide usbfix le seule que j avais pas essayé
tres instructif en tous les cas
wait and see
0
Réponse 19 / 23
Utilisateur anonyme
 
tu peux essayer tout de suite et dis moi .

0
Réponse 20 / 23
Neskater
 
SUPER!
j aimerai dire je t aime en toutes les langues!
hotmail accessible....plus de google-redirect.com
brefs tu assures
chapeau pour les fixusb et chapeau bas a toi pour ta disponibilité
Que dois je faire pour eviter d etre réinfecter?....
je t invite a aller sur mon site:
www.flickr.com/photos/netskater
si une photo te plais fais le moi savoir je ten fais cadeau ;)
petit souvenir de cette journée qui doit etre habituelle pour toi
Merci encore Christelle
Nicolas
0

Discussions similaires

Colis en transit depuis 17 jours
juliensurgeres -
Mamasaliwilli -

23 réponses
Mon colis est marqué en transit depuis plus d’une semaine
Gerardine -
georges97 -

1 réponse
Colis en transit
Luluski -
jmarion3 -

1 réponse
Colis en cours d’achinement
Wing69100 -
Christian* -

21 réponses
Colis en cours d’acheminement depuis deux jours...
Bleuazur -
jmarion3 -

1 réponse