Sujet Précédent Sujet Suivant

Virus Google Redirection

Fermé
Mat - 15 juil. 2009 à 13:57
 Nico - 30 juil. 2009 à 12:32
Bonjour, depuis ce matin, lorsque je souhaite visiter des sites après avoir fait une recherche via Google, je suis redirigé vers des sites bidons comme bestchoix.fr. Ce problème disparaît lorsque je fais mes recherches avec yahoo. C'est uniquement lié à l'utilisation de google.

Quelqu'un pourrait-il m'aider à résoudre ce problème ?

Merci
A voir également:

28 réponses

  • 1
  • 2
Réponse 1 / 28
Mat
15 juil. 2009 à 16:35
Pour le moment, le problème de redirection sur google a disparu. J'espère que c'est pas juste temporaire.
1
Réponse 2 / 28
eZula Messages postés 3391 Date d'inscription samedi 26 avril 2008 Statut Contributeur Dernière intervention 8 mai 2021 392
15 juil. 2009 à 13:58
Bonjour,

télécharge GenProc http://www.genproc.com/GenProc.exe

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre
0
Réponse 3 / 28
Kailéa Messages postés 418 Date d'inscription dimanche 31 décembre 2006 Statut Membre Dernière intervention 21 mai 2015 78
15 juil. 2009 à 13:58
J'ai eu cette merde ><.
Personnellement, j'ai installé Avast Antivirus (pas le meilleur, je sais), et j'ai programmé un gros scan au démarrage de l'ordinateur.
La redirection n'était plus automatique mais elle arrivait encore quelquefois.
Je l'ai achevé avec un scan Spybot S&D, ainsi qu'une vaccination du navigateur que j'utilisais.
0
Réponse 4 / 28
Mat
15 juil. 2009 à 14:04
J'ai juste un bloc-note qui s'est affiché :

Rapport GenProc 2.604 [1] - 15/07/2009 à 14:01:00
@ Windows XP Service Pack 2 - Mode normal
@ Internet Explorer (7.0.5730.13) [Navigateur par défaut]

~~ "C:\WINDOWS\sed.exe" a été renommé sed.exe_RenameGenProc ~~
~~ "C:\WINDOWS\grep.exe" a été renommé grep.exe_RenameGenProc ~~

# Etape 1/ Télécharge :

- CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

- WORT http://pc-system.fr/ (dj QUIOU) sur le Bureau.


Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; Choisis ta session courante *** Compaq_Propriétaire *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).


# Etape 2/

Double-clique sur le fichier WORT.exe et sélectionne le Bureau à l'aide du bouton "Parcourir". Suis les instructions et double-clique sur le fichier Wareout Removal Tool.bat qui vient d'être créé sur le Bureau. Sélectionne l'option 1 et valide par entrée.

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste, dans la même réponse :

- Le contenu du rapport WORT_report.txt situé dans C:\Wort ;
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
- Un nouveau rapport GenProc ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.604 15/07/2009 à 14:01:16
WareOut:le 15/07/2009 à 14:01:28 "C:\WINDOWS\system32\init32.exe"

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 14:01:58 ~~
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 28
eZula Messages postés 3391 Date d'inscription samedi 26 avril 2008 Statut Contributeur Dernière intervention 8 mai 2021 392
15 juil. 2009 à 14:05
Fais ce qui est indiqué
0
Réponse 6 / 28
Mat
15 juil. 2009 à 14:45
J'ai toujours le même problème. Voici les différents rapports :

RAPPORT WORT:


===== Rapport WareOut Removal Tool =====

version 3.2

analyse effectuée le 15/07/2009 à 14:25:28,75

Résultats de l'analyse :
========================

~~~~ Recherche d'infections dans C:\ ~~~~

C:\autorun.inf trouvé!
C:\autorun.inf suppression impossible








RAPPORT HIJACKTHIS :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:40:19, on 15/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\sySTEM32\SvchoSt.ExE
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymSCUI.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [EPSON Stylus Photo RX520 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE /P31 "EPSON Stylus Photo RX520 Series" /O6 "USB001" /M "Stylus Photo RX520"
O4 - HKLM\..\Run: [EPSON Stylus Photo RX520 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE /P41 "EPSON Stylus Photo RX520 Series (Copie 1)" /O6 "USB002" /M "Stylus Photo RX520"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: rncsys32.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
0
Réponse 7 / 28
eZula Messages postés 3391 Date d'inscription samedi 26 avril 2008 Statut Contributeur Dernière intervention 8 mai 2021 392
15 juil. 2009 à 14:57
et ça donne quoi ce fichier C:\WINDOWS\0535251103110107106.xvb sur virustotal ?
0
Réponse 8 / 28
Mat
15 juil. 2009 à 15:03
Fais scanner le(s) fichier(s) suivant(s) sur ce site :


C:\WINDOWS\0535251103110107106.xvb


et poste le(s) rapport(s) obtenu(s) dans ta prochaine réponse.



Comment dois-je faire pour le scanner ?
0
Réponse 9 / 28
eZula Messages postés 3391 Date d'inscription samedi 26 avril 2008 Statut Contributeur Dernière intervention 8 mai 2021 392
15 juil. 2009 à 15:14
virustotal
0
Réponse 10 / 28
Mat
15 juil. 2009 à 15:15
Fichier 0535251103110107106.loi reçu le 2009.06.22 11:26:19 (UTC)
Situation actuelle: terminé

Résultat: 0/41 (0.00%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.06.22 -
AhnLab-V3 5.0.0.2 2009.06.22 -
AntiVir 7.9.0.193 2009.06.22 -
Antiy-AVL 2.0.3.1 2009.06.22 -
Authentium 5.1.2.4 2009.06.22 -
Avast 4.8.1335.0 2009.06.21 -
AVG 8.5.0.339 2009.06.22 -
BitDefender 7.2 2009.06.22 -
CAT-QuickHeal 10.00 2009.06.22 -
ClamAV 0.94.1 2009.06.22 -
Comodo 1391 2009.06.22 -
DrWeb 5.0.0.12182 2009.06.22 -
eSafe 7.0.17.0 2009.06.18 -
eTrust-Vet 31.6.6570 2009.06.19 -
F-Prot 4.4.4.56 2009.06.22 -
F-Secure 8.0.14470.0 2009.06.22 -
Fortinet 3.117.0.0 2009.06.22 -
GData 19 2009.06.22 -
Ikarus T3.1.1.59.0 2009.06.22 -
Jiangmin 11.0.706 2009.06.22 -
K7AntiVirus 7.10.768 2009.06.19 -
Kaspersky 7.0.0.125 2009.06.22 -
McAfee 5653 2009.06.21 -
McAfee+Artemis 5653 2009.06.21 -
McAfee-GW-Edition 6.7.6 2009.06.22 -
Microsoft 1.4803 2009.06.22 -
NOD32 4177 2009.06.22 -
Norman 6.01.09 2009.06.19 -
nProtect 2009.1.8.0 2009.06.22 -
Panda 10.0.0.16 2009.06.21 -
PCTools 4.4.2.0 2009.06.22 -
Prevx 3.0 2009.06.22 -
Rising 21.35.03.00 2009.06.22 -
Sophos 4.42.0 2009.06.22 -
Sunbelt 3.2.1858.2 2009.06.21 -
Symantec 1.4.4.12 2009.06.22 -
TheHacker 6.3.4.3.350 2009.06.20 -
TrendMicro 8.950.0.1094 2009.06.22 -
VBA32 3.12.10.7 2009.06.22 -
ViRobot 2009.6.22.1798 2009.06.22 -
VirusBuster 4.6.5.0 2009.06.21 -
Information additionnelle
File size: 2 bytes
MD5 : 4124bc0a9335c27f086f24ba207a4912
SHA1 : e0c9035898dd52fc65c41454cec9c4d2611bfb37
SHA256: 961b6dd3ede3cb8ecbaacbd68de040cd78eb2ed5889130cceb4c49268ea4d506
TrID : File type identification
Unknown!
ssdeep: 3:tn:t
PEiD : -
RDS : NSRL Reference Data Set
0
Réponse 11 / 28
eZula Messages postés 3391 Date d'inscription samedi 26 avril 2008 Statut Contributeur Dernière intervention 8 mai 2021 392
15 juil. 2009 à 15:20
et celui-là : rncsys32.exe (il doit se trouver dans c:\documents and settings\Compaq_Propriétaire\menu démarrer\programmes\démarrage\ qquechose comme ça)
0
Réponse 12 / 28
Mat
15 juil. 2009 à 15:38
Fichier 01.exe reçu le 2009.07.15 09:05:04 (UTC)
Situation actuelle: terminé

Résultat: 2/40 (5.00%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.15 -
AhnLab-V3 5.0.0.2 2009.07.15 -
AntiVir 7.9.0.215 2009.07.15 -
Antiy-AVL 2.0.3.7 2009.07.15 -
Authentium 5.1.2.4 2009.07.14 -
Avast 4.8.1335.0 2009.07.14 -
AVG 8.5.0.387 2009.07.14 SHeur2.AQVS
BitDefender 7.2 2009.07.15 -
CAT-QuickHeal 10.00 2009.07.15 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.07.15 -
Comodo 1657 2009.07.15 -
DrWeb 5.0.0.12182 2009.07.15 -
eTrust-Vet 31.6.6615 2009.07.14 -
F-Prot 4.4.4.56 2009.07.14 -
F-Secure 8.0.14470.0 2009.07.15 -
Fortinet 3.120.0.0 2009.07.15 -
GData 19 2009.07.15 -
Ikarus T3.1.1.64.0 2009.07.15 -
Jiangmin 11.0.706 2009.07.15 -
K7AntiVirus 7.10.792 2009.07.14 -
Kaspersky 7.0.0.125 2009.07.15 -
McAfee 5676 2009.07.14 -
McAfee+Artemis 5676 2009.07.14 -
McAfee-GW-Edition 6.8.5 2009.07.15 -
Microsoft 1.4803 2009.07.15 -
NOD32 4245 2009.07.15 -
Norman 6.01.09 2009.07.14 -
nProtect 2009.1.8.0 2009.07.15 -
Panda 10.0.0.14 2009.07.14 -
PCTools 4.4.2.0 2009.07.14 -
Prevx 3.0 2009.07.15 -
Rising 21.38.21.00 2009.07.15 -
Sophos 4.43.0 2009.07.15 -
Sunbelt 3.2.1858.2 2009.07.15 -
Symantec 1.4.4.12 2009.07.15 -
TheHacker 6.3.4.3.367 2009.07.14 -
TrendMicro 8.950.0.1094 2009.07.15 -
VBA32 3.12.10.8 2009.07.15 -
ViRobot 2009.7.15.1836 2009.07.15 -
VirusBuster 4.6.5.0 2009.07.14 -
Information additionnelle
File size: 29184 bytes
MD5 : 9139ca0638f974390a81083581ebf947
SHA1 : 600837e9ededb417008deda5c0bf29d87ebbfc56
SHA256: 604e52eec73092d27e9f0722708b0678e21ee57db05b0c5b935afbd8dd8a3a5c
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1165
timedatestamp.....: 0x36D1E7C2 (Tue Feb 23 00:26:58 1999)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3D88 0x3E00 7.85 ebf55460dc8f9386c3c7ca08f6deaca2
.data 0x5000 0x313A 0x2C00 5.49 21b91758e34809dbe6f6e907eb88d296
.rsrc 0x9000 0x37E 0x400 2.90 bd9cbc39a829037b29387d1ab14d2577
.bss 0xA000 0x924 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 3 imports )

> kernel32.dll: GlobalUnfix, VirtualProtect, GetShortPathNameA, FreeEnvironmentStringsA
> shlwapi.dll: StrCmpIW, PathIsLFNFileSpecW, StrSpnA, StrTrimA
> user32.dll: IsWindowEnabled, AttachThreadInput, DlgDirListComboBoxA, GetActiveWindow

( 0 exports )

TrID : File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 384:TNsFBzO26viXFMSCfbgJR3ap+Gbvu4TGyjXTyzuAXhmSOetURhW9zLn/h+ubII:WJF9C8KwuvxGdzvRmtetEWnJ+Cl
PEiD : -
RDS : NSRL Reference Data Set
0
Réponse 13 / 28
eZula Messages postés 3391 Date d'inscription samedi 26 avril 2008 Statut Contributeur Dernière intervention 8 mai 2021 392
15 juil. 2009 à 15:39
ce n'est pas 01.exe mais rncsys32.exe
0
Mat
15 juil. 2009 à 15:49
J'ai mis le bon fichier, en le cherchant dans le disque dur. Ca a analysé le fichier rncsys32.exe, mais le rapport marque 01.exe. J'ai rééssayé, ça m'a fait pareil. Je suis sûr que je me suis pas trompé.
0
Réponse 14 / 28
Kailéa Messages postés 418 Date d'inscription dimanche 31 décembre 2006 Statut Membre Dernière intervention 21 mai 2015 78
15 juil. 2009 à 15:40
Fais un scan Spybot S&D et fait pas chier :o
0
Réponse 15 / 28
eZula Messages postés 3391 Date d'inscription samedi 26 avril 2008 Statut Contributeur Dernière intervention 8 mai 2021 392
15 juil. 2009 à 15:41
oui oui t'inquiète on verra skybot après
0
Réponse 16 / 28
Kailéa Messages postés 418 Date d'inscription dimanche 31 décembre 2006 Statut Membre Dernière intervention 21 mai 2015 78
15 juil. 2009 à 15:42
Après tout ça =O ?
Un scan Spybot prend deux minutes, et il va t'enlever ton probeme après un bon reboot.
Crois moi !
0
Réponse 17 / 28
Mat
15 juil. 2009 à 15:42
Fais un scan Spybot S&D

J'ai aussi essayé, j'ai cliqué sur search & destroy, j'ai fait une vaccination, mais le problème est toujours le même.

et fait pas chier

???
0
Réponse 18 / 28
eZula Messages postés 3391 Date d'inscription samedi 26 avril 2008 Statut Contributeur Dernière intervention 8 mai 2021 392
15 juil. 2009 à 16:02
et dans quel dossier tu l'as trouvé ce fichier ?
0
Mat
15 juil. 2009 à 16:05
J'ai cliqué sur parcourir, puis j'ai suivi ce que tu m'avais indiqué c/ doc & setting compaq propr ... et j'ai trouvé le bon fichier.

Sinon, apparemment un type a réussi à résoudre ce problème de redirection google avec combofix

http://www.commentcamarche.net/forum/affich 9007540 redirection google

Faut-il que j'essaie aussi avec combofix ?
0
Réponse 19 / 28
eZula Messages postés 3391 Date d'inscription samedi 26 avril 2008 Statut Contributeur Dernière intervention 8 mai 2021 392
15 juil. 2009 à 16:10
Commence par fixer cette ligne 

O4 - Startup: rncsys32.exe


et à supprimer ce fichier. Redémarre l'ordinateur et regarde si ça change qquechose.
0
Réponse 20 / 28
Mat
15 juil. 2009 à 16:33
Voici déjà le rapport combofix (sinon ou dois-je cacher une ligne ?)


ComboFix 09-07-14.08 - Compaq_Propriétaire 15/07/2009 16:22.3.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1022.581 [GMT 2:00]
Running from: c:\documents and settings\Compaq_Propriétaire\Mes documents\Downloads\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Mozilla Firefox\extensions\{C58C70BE-CB2B-4988-9C3F-2FE88D28BA80}
c:\program files\Mozilla Firefox\extensions\{C58C70BE-CB2B-4988-9C3F-2FE88D28BA80}\chrome.manifest
c:\program files\Mozilla Firefox\extensions\{C58C70BE-CB2B-4988-9C3F-2FE88D28BA80}\chrome\content\overlay.xul
c:\program files\Mozilla Firefox\extensions\{C58C70BE-CB2B-4988-9C3F-2FE88D28BA80}\install.rdf
c:\program files\sFX
c:\program files\sFX\SfX.DlL
c:\program files\sFX\sfX.sYs
c:\windows\010112010146118114.dat
c:\windows\0101120101464849.dat
c:\windows\0101120101465749.dat
c:\windows\0101120101465752.dat
c:\windows\Installer\17f702.msp
c:\windows\Installer\17f705.msp
c:\windows\Installer\333b3.msp
c:\windows\Installer\4b2f1.msp
c:\windows\system32\Drivers\nflpmf.sys
c:\windows\system32\pck.bin

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SFX
-------\Legacy_SFXDRV
-------\Service_sfx
-------\Service_sFxdrv


((((((((((((((((((((((((( Files Created from 2009-06-15 to 2009-07-15 )))))))))))))))))))))))))))))))
.

2009-07-15 13:19 . 2009-07-15 13:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-15 13:19 . 2009-07-15 13:50 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-07-15 12:23 . 2009-07-15 12:25 -------- d-----w- C:\WORT
2009-07-15 12:08 . 2009-07-15 12:09 -------- d-----w- c:\program files\CCleaner
2009-07-15 12:00 . 2009-07-15 12:42 -------- d-----w- C:\GenProc
2009-07-15 09:47 . 2009-07-15 09:47 1 ---h--w- c:\windows\jmmark2.dat
2009-07-15 09:47 . 2009-07-15 09:47 1 ---h--w- c:\windows\bf23567.dat
2009-07-15 09:41 . 2007-05-30 12:10 10872 ----a-w- c:\windows\system32\drivers\AvgAsCln.sys
2009-07-15 09:41 . 2009-07-15 09:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Grisoft
2009-07-15 08:46 . 2007-01-18 12:00 3968 ----a-w- c:\windows\system32\drivers\AvgArCln.sys
2009-06-16 09:44 . 2009-06-16 09:44 -------- d-----w- c:\program files\VDMSound
2009-06-15 19:09 . 2009-06-15 19:11 -------- d-----w- c:\program files\WinSTon

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-15 14:21 . 2006-01-26 20:38 -------- d-----w- c:\program files\Wanadoo
2009-07-15 12:40 . 2009-05-07 12:31 -------- d-----w- c:\program files\trend micro
2009-06-22 19:25 . 2007-09-30 14:39 -------- d-----w- c:\program files\FinePixViewer
2009-06-14 19:07 . 2009-06-14 19:06 -------- d-----w- c:\program files\Ootake
2009-06-13 12:08 . 2009-06-10 12:09 -------- d-----w- c:\program files\Project64 1.6
2009-05-10 10:43 . 2004-11-23 21:26 66816 ----a-w- c:\windows\system32\perfc00C.dat
2009-05-10 10:43 . 2004-11-23 21:26 452356 ----a-w- c:\windows\system32\perfh00C.dat
2009-05-07 15:43 . 2004-08-05 18:00 347136 ----a-w- c:\windows\system32\localspl.dll
2009-05-01 18:30 . 2009-05-01 18:30 3366912 ----a-w- c:\windows\system32\GPhotos.scr
2009-04-29 04:45 . 2004-08-05 18:00 827392 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:45 . 2004-08-05 18:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-04-19 20:09 . 2004-08-05 18:00 1846784 ----a-w- c:\windows\system32\win32k.sys
2006-08-16 21:07 . 2006-08-16 21:07 60518 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
2006-08-16 21:07 . 2006-08-16 21:07 49248 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
2006-08-16 21:07 . 2006-08-16 21:07 165992 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus Photo RX520 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE" [2005-04-07 98304]
"EPSON Stylus Photo RX520 Series (Copie 1)"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE" [2005-04-07 98304]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-08-08 185896]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-02-04 155648]
"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]

c:\documents and settings\Compaq_Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\
rncsys32.exe [2004-8-5 29184]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0stera

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^ExifLauncher2.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\ExifLauncher2.lnk
backup=c:\windows\pss\ExifLauncher2.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk
backup=c:\windows\pss\Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Compaq_Propriétaire^Menu Démarrer^Programmes^Démarrage^ChkDisk.lnk]
path=c:\documents and settings\Compaq_Propriétaire\Menu Démarrer\Programmes\Démarrage\ChkDisk.lnk
backup=c:\windows\pss\ChkDisk.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8085:TCP"= 8085:TCP:sfx

R0 VOBID;VOBID;c:\windows\system32\drivers\vobid.sys [01/08/2003 14:47 29239]
R1 vobiw;vobiw;c:\windows\system32\drivers\vobIW.sys [01/09/2004 14:50 188416]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [10/05/2009 12:54 108289]
R3 cdrdrv;Cdrdrv;c:\windows\system32\drivers\Cdrdrv.sys [03/08/2004 11:10 62976]
S3 Aicidrv;Aicidrv; [x]
S3 SG760_XP;SAGEM 802.11g XG760 1211 Driver;c:\windows\system32\drivers\WlanUZXP.sys [26/01/2006 22:33 260608]
S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?]
.
Contents of the 'Scheduled Tasks' folder

2009-07-15 c:\windows\Tasks\Symantec NetDetect.job
- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2005-01-02 17:22]
.
- - - - ORPHANS REMOVED - - - -

SafeBoot-AVG Anti-Spyware Driver


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.wanadoo.fr
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mWindow Title =
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\ckiygc0v.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel", 1); // 0=low, 1=medium, 2=high, 3=custom
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.enablePad", false); // Allow client to do proxy autodiscovery
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://branding/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom", "chrome://branding/content/searchconfig.properties");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-15 16:27
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(540)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1324)
c:\windows\system32\browselc.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\GRISOFT\AVG Anti-Spyware 7.5\guard.exe
c:\windows\system32\bgsvcgen.exe
c:\windows\system32\FTRTSVC.exe
c:\program files\Fichiers communs\Symantec Shared\Security Center\symwsc.exe
c:\windows\system32\wscntfy.exe
c:\program files\Fichiers communs\Symantec Shared\Security Center\SymSCUI.exe
.
**************************************************************************
.
Completion time: 2009-07-15 16:29 - machine was rebooted
ComboFix-quarantined-files.txt 2009-07-15 14:29

Pre-Run: 222 319 075 328 octets libres
Post-Run: 222 322 544 640 octets libres

182 --- E O F --- 2009-06-10 22:09
0

Discussions similaires

Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses