Page de pub envahissante

alex -  
Narco!4 Messages postés 2446 Statut Contributeur -
Bonjour,

Pourriez vous m'aider à enlever les pages de pub qui ne cessent de s'ouvrir sur internet?
Merci
Configuration: Windows XP Internet Explorer 7.0

13 réponses

  1. Narco!4 Messages postés 2446 Statut Contributeur 467
     
    Bonjour,

    télécharge GenProc http://www.genproc.com/GenProc.exe

    double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre
    2
  2. bogossdu51 Messages postés 606 Date d'inscription   Statut Membre Dernière intervention   52
     
    Yahoo toolbar ou google Toolbar
    0
  3. alex
     
    Rapport GenProc 2.584 [1]
    @ 09/06/2009 à 12:28:02
    @ Windows XP Service Pack 2 - Mode normal
    @ Internet Explorer (8.0.6001.18702) [Navigateur par défaut]

    # Etape 1/ Télécharge :

    - CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

    - Navilog1 http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe (IL-MAFIOSO) sur ton Bureau. Double clique sur navilog1.exe pour lancer l'installation. Le fix s'exécutera automatiquement (si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le Bureau). Laisse-toi guider. Au menu principal, choisis 1 et valide. Patiente jusqu'au message " Analyse Termine le .....". Appuie sur une touche comme demandé, le blocnote va s'ouvrir, poste-le maintenant et passe à la suite.

    - SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.exe (S!Ri). Double-clique sur le fichier "smitfraudfix.exe" et choisis l'option 1 ; il va lister tous les éléments nuisibles dans un rapport : poste-le maintenant et passe à la suite.

    Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; Choisis ta session courante *** Jean-pierre *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).

    # Etape 2/

    Double clique sur le raccourci Navilog1, choisis l'option 2 et valide, patiente jusqu'au message : *** Nettoyage Termine le ..... ***. Le blocnote va s'ouvrir ; sauvegarde le rapport de manière à le retrouver.

    # Etape 3/

    Double-clique sur le fichier "SmitfraudFix.exe" et choisis l'option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.

    # Etape 4/

    Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    # Etape 5/

    Redémarre normalement et poste, dans la même réponse :

    - Le contenu du rapport rapport.txt situé sur le Bureau ;
    - Le contenu du rapport cleannavi.txt situé dans C:\ ;
    - Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
    - Un nouveau rapport GenProc ;

    Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

    ----------------------------------------------------------------------
    Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
    ----------------------------------------------------------------------

    ~~ Arguments de la procédure ~~

    # Détections [1] GenProc 2.584 09/06/2009 à 12:28:29
    Navipromo:le 09/06/2009 à 12:29:21 "C:\Documents and Settings\Jean-pierre\Local Settings\Application Data\*_nav??.dat"
    Smitfraud:le 09/06/2009 à 12:29:23 "C:\Program Files\Applications"

    ~~ Fin à 12:29:50 ~~
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Narco!4 Messages postés 2446 Statut Contributeur 467
     
    fait ces manips.
    0
  6. alex
     
    Search Navipromo version 3.7.7 commencé le 09/06/2009 à 12:49:32,48

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1

    Mise à jour le 12.05.2009 à 18h00 par IL-MAFIOSO

    Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
    X86-based PC ( Uniprocessor Free : AMD Turion(tm) 64 Mobile Technology ML-34 )
    BIOS : Ver 1.00PARTTBL
    USER : Jean-pierre ( Administrator )
    BOOT : Normal boot

    Antivirus : Kaspersky Anti-Virus 8.0.0.506 (Activated)
    Firewall : Kaspersky Anti-Virus 8.0.0.506 (Not Activated)

    C:\ (Local Disk) - NTFS - Total:39 Go (Free:12 Go)
    D:\ (CD or DVD)

    Recherche executé en mode normal

    *** Recherche dossiers dans "C:\WINDOWS" ***

    *** Recherche dossiers dans "C:\Program Files" ***

    *** Recherche dossiers dans "C:\Documents and Settings\All Users.WINDOWS\menudm~1\progra~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\All Users.WINDOWS\menudm~1" ***

    *** Recherche dossiers dans "c:\docume~1\alluse~1.win\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Jean-pierre\applic~1" ***

    *** Recherche dossiers dans "C:\DOCUME~1\roxane\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Jean-pierre\locals~1\applic~1" ***

    *** Recherche dossiers dans "C:\DOCUME~1\roxane\locals~1\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Jean-pierre\menudm~1\progra~1" ***

    *** Recherche dossiers dans "C:\DOCUME~1\roxane\menudm~1\progra~1" ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "C:\WINDOWS\system32" *

    * Recherche dans "C:\Documents and Settings\Jean-pierre\locals~1\applic~1" *

    * Recherche dans "C:\DOCUME~1\roxane\locals~1\applic~1" *

    *** Recherche fichiers ***

    C:\WINDOWS\prefetch\LIVE-PLAYER.EXE-21A6817A.pf trouvé !

    *** Recherche clés spécifiques dans le Registre ***
    !! Les clés trouvées ne sont pas forcément infectées !!

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "qyswq"="\"c:\\documents and settings\\jean-pierre\\local settings\\application data\\qyswq.exe\" qyswq"

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans "C:\WINDOWS\system32" :

    * Dans "C:\Documents and Settings\Jean-pierre\locals~1\applic~1" :

    qyswq.exe trouvé !
    qyswq.dat trouvé !
    qyswq_nav.dat trouvé !
    qyswq_navps.dat trouvé !

    * Dans "C:\DOCUME~1\roxane\locals~1\applic~1" :

    gomikwq.exe.xpx trouvé !
    gomikwq.dat trouvé !
    gomikwq_nav.dat trouvé !
    gomikwq_navps.dat trouvé !

    3)Recherche Certificats :

    Certificat Egroup absent !
    Certificat Electronic-Group absent !
    Certificat Montorgueil absent !
    Certificat OOO-Favorit absent !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche autres dossiers et fichiers connus :

    *** Analyse terminée le 09/06/2009 à 13:00:54,12 ***
    0
  7. Narco!4 Messages postés 2446 Statut Contributeur 467
     
    passe à la suite

    ps: je revient ce soir ;)
    0
  8. alex
     
    OK MERCI je continue et te copierais les rapports! bonne am! merci encore

    SmitFraudFix v2.419

    Rapport fait à 13:12:28,84, 09/06/2009
    Executé à partir de C:\Documents and Settings\Jean-pierre\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\documents and settings\jean-pierre\local settings\application data\qyswq.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\NOTEPAD.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\Documents and Settings\Jean-pierre\Bureau\SmitfraudFix\Policies.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Jean-pierre

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\JEAN-P~1\LOCALS~1\Temp

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Jean-pierre\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\JEAN-P~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    C:\Program Files\Applications\ PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="https://www.fond-ecran-image.com/galerie-membre,photos-de-nuit,lyon-de-nuit.jpg"
    "SubscribedURL"="https://www.fond-ecran-image.com/galerie-membre,photos-de-nuit,lyon-de-nuit.jpg"
    "FriendlyName"=""

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
    "Source"="https://www.vibbo.com/img/1x1.gif"
    "SubscribedURL"="https://www.vibbo.com/img/1x1.gif"
    "FriendlyName"=""
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    Agent.OMZ.Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1\\mzvkbd.dll,C:\\PROGRA~1\\KASPER~1\\KASPER~1\\mzvkbd3.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Broadcom 802.11b/g WLAN - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.1.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{35A88DA8-A17C-4574-9F6D-E2B24649B0F4}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{35A88DA8-A17C-4574-9F6D-E2B24649B0F4}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{35A88DA8-A17C-4574-9F6D-E2B24649B0F4}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  9. alex
     
    Clean Navipromo version 3.7.7 commencé le 09/06/2009 à 17:00:51,60

    Outil exécuté depuis C:\Program Files\navilog1

    Mise à jour le 12.05.2009 à 18h00 par IL-MAFIOSO

    Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
    X86-based PC ( Uniprocessor Free : AMD Turion(tm) 64 Mobile Technology ML-34 )
    BIOS : Ver 1.00PARTTBL
    USER : Jean-pierre ( Administrator )
    BOOT : Fail-safe boot

    Antivirus : Kaspersky Anti-Virus 8.0.0.506 (Not Activated)
    Firewall : Kaspersky Anti-Virus 8.0.0.506 (Not Activated)

    C:\ (Local Disk) - NTFS - Total:39 Go (Free:12 Go)
    D:\ (CD or DVD)

    Mode suppression automatique
    avec prise en charge résultats Catchme et GNS

    Nettoyage executé en mode sans échec

    *** fsbl1.txt non trouvé ***
    (Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

    *** Suppression avec sauvegardes résultats GenericNaviSearch ***

    * Suppression dans "C:\WINDOWS\System32" *

    * Suppression dans "C:\Documents and Settings\Jean-pierre\locals~1\applic~1" *

    * Suppression dans "C:\DOCUME~1\roxane\locals~1\applic~1" *

    *** Suppression dossiers dans "C:\WINDOWS" ***

    *** Suppression dossiers dans "C:\Program Files" ***

    *** Suppression dossiers dans "C:\Documents and Settings\All Users.WINDOWS\menudm~1\progra~1" ***

    *** Suppression dossiers dans "C:\Documents and Settings\All Users.WINDOWS\menudm~1" ***

    *** Suppression dossiers dans "c:\docume~1\alluse~1.win\applic~1" ***

    *** Suppression dossiers dans "C:\Documents and Settings\Jean-pierre\applic~1" ***

    *** Suppression dossiers dans "C:\DOCUME~1\roxane\applic~1" ***

    *** Suppression dossiers dans "C:\Documents and Settings\Jean-pierre\locals~1\applic~1" ***

    *** Suppression dossiers dans "C:\DOCUME~1\roxane\locals~1\applic~1" ***

    *** Suppression dossiers dans "C:\Documents and Settings\Jean-pierre\menudm~1\progra~1" ***

    *** Suppression dossiers dans "C:\DOCUME~1\roxane\menudm~1\progra~1" ***

    *** Suppression fichiers ***

    C:\WINDOWS\prefetch\LIVE-PLAYER.EXE-21A6817A.pf supprimé !

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\Jean-pierre\locals~1\Temp effectué !

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

    2)Recherche, création sauvegardes et suppression Heuristique :

    * Dans "C:\WINDOWS\system32" *

    C:\WINDOWS\prefetch\qyswq*.pf trouvé !
    Copie C:\WINDOWS\prefetch\qyswq*.pf réalisée avec succès !
    C:\WINDOWS\prefetch\qyswq*.pf supprimé !

    * Dans "C:\Documents and Settings\Jean-pierre\locals~1\applic~1" *

    qyswq.exe trouvé !
    Copie qyswq.exe réalisée avec succès !
    qyswq.exe supprimé !

    qyswq.dat trouvé !
    Copie qyswq.dat réalisée avec succès !
    qyswq.dat supprimé !

    qyswq_nav.dat trouvé !
    Copie qyswq_nav.dat réalisée avec succès !
    qyswq_nav.dat supprimé !

    qyswq_navps.dat trouvé !
    Copie qyswq_navps.dat réalisée avec succès !
    qyswq_navps.dat supprimé !

    * Dans "C:\DOCUME~1\roxane\locals~1\applic~1" *

    gomikwq.exe.xpx trouvé !
    Copie gomikwq.exe.xpx réalisée avec succès !
    gomikwq.exe.xpx supprimé !

    gomikwq.dat trouvé !
    Copie gomikwq.dat réalisée avec succès !
    gomikwq.dat supprimé !

    gomikwq_nav.dat trouvé !
    Copie gomikwq_nav.dat réalisée avec succès !
    gomikwq_nav.dat supprimé !

    gomikwq_navps.dat trouvé !
    Copie gomikwq_navps.dat réalisée avec succès !
    gomikwq_navps.dat supprimé !

    *** Sauvegarde du Registre vers dossier Safebackup ***

    sauvegarde du Registre réalisée avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok

    *** Certificats ***

    Certificat Egroup absent !
    Certificat Electronic-Group absent !
    Certificat Montorgueil absent !
    Certificat OOO-Favorit absent !
    Certificat Sunny-Day-Design-Ltdt absent !

    *** Recherche autres dossiers et fichiers connus ***

    *** Nettoyage terminé le 09/06/2009 à 17:04:14,03 ***
    0
  10. Narco!4 Messages postés 2446 Statut Contributeur 467
     
    manque plus que

    - Le contenu du rapport rapport.txt situé sur le Bureau ;
    - Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
    - Un nouveau rapport GenProc ;
    0
  11. alex
     
    SmitFraudFix v2.419

    Rapport fait à 17:14:39,39, 09/06/2009
    Executé à partir de C:\Documents and Settings\Jean-pierre\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\Program Files\Applications\ supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

    Agent.OMZ.Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{35A88DA8-A17C-4574-9F6D-E2B24649B0F4}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{35A88DA8-A17C-4574-9F6D-E2B24649B0F4}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{35A88DA8-A17C-4574-9F6D-E2B24649B0F4}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK.2

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:33:50, on 09/06/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd.exe
    C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://profile.microsoft.com/RegSysProfileCenter/ErrorPage.aspx?aspxerrorpath=/RegSysProfileCenter/pplogon.aspx
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
    O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Jumpstart Wifi Protected Setup (jswpsapi) - Atheros Communications, Inc. - C:\Program Files\SFR ADSL\Box\Wizard\jswpsapi.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    0
  12. Narco!4 Messages postés 2446 Statut Contributeur 467
     
    fait la dernière manip décrite par genproc ;)
    0