Virus Google Redirection

Question

Bonjour, depuis ce matin, lorsque je souhaite visiter des sites après avoir fait une recherche via Google, je suis redirigé vers des sites bidons comme bestchoix.fr. Ce problème disparaît lorsque je fais mes recherches avec yahoo. C'est uniquement lié à l'utilisation de google.

Quelqu'un pourrait-il m'aider à résoudre ce problème ?

Merci

eZula · Answer

Bonjour, 

télécharge GenProc http://www.genproc.com/GenProc.exe 

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre

Kailéa · Answer

J'ai eu cette merde ><.
Personnellement, j'ai installé Avast Antivirus (pas le meilleur, je sais), et j'ai programmé un gros scan au démarrage de l'ordinateur.
La redirection n'était plus automatique mais elle arrivait encore quelquefois.
Je l'ai achevé avec un scan Spybot S&D, ainsi qu'une vaccination du navigateur que j'utilisais.

Mat · Answer

J'ai juste un bloc-note qui s'est affiché :

Rapport GenProc 2.604 [1] - 15/07/2009 à 14:01:00 
@ Windows XP Service Pack 2 - Mode normal
@ Internet Explorer (7.0.5730.13) [Navigateur par défaut]

~~ "C:\WINDOWS\sed.exe" a été renommé sed.exe_RenameGenProc ~~
~~ "C:\WINDOWS\grep.exe" a été renommé grep.exe_RenameGenProc ~~
 
# Etape 1/ Télécharge :
 
- CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

- WORT http://pc-system.fr/ (dj QUIOU) sur le Bureau.


 Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/  ; Choisis ta session courante *** Compaq_Propriétaire *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).


# Etape 2/ 

 Double-clique sur le fichier WORT.exe et sélectionne le Bureau à l'aide du bouton "Parcourir". Suis les instructions et double-clique sur le fichier Wareout Removal Tool.bat qui vient d'être créé sur le Bureau. Sélectionne l'option 1 et valide par entrée.

# Etape 3/ 

 Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/ 

 Redémarre normalement et poste, dans la même réponse : 

- Le contenu du rapport WORT_report.txt situé dans C:\Wort ; 
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
- Un nouveau rapport GenProc ;

 Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.604 15/07/2009 à 14:01:16 
WareOut:le 15/07/2009 à 14:01:28 "C:\WINDOWS\system32\init32.exe" 

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 14:01:58 ~~

eZula · Answer

Fais ce qui est indiqué

Mat · Answer

J'ai toujours le même problème. Voici les différents rapports :

RAPPORT WORT:


===== Rapport WareOut Removal Tool ===== 
 
version 3.2 
 
analyse effectuée le 15/07/2009 à 14:25:28,75 
 
Résultats de l'analyse : 
======================== 
 
~~~~ Recherche d'infections dans C:\ ~~~~ 
 
C:\autorun.inf trouvé! 
C:\autorun.inf suppression impossible 








RAPPORT HIJACKTHIS :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:40:19, on 15/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\sySTEM32\SvchoSt.ExE
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymSCUI.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [EPSON Stylus Photo RX520 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE /P31 "EPSON Stylus Photo RX520 Series" /O6 "USB001" /M "Stylus Photo RX520"
O4 - HKLM\..\Run: [EPSON Stylus Photo RX520 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE /P41 "EPSON Stylus Photo RX520 Series (Copie 1)" /O6 "USB002" /M "Stylus Photo RX520"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: rncsys32.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

eZula · Answer

et ça donne quoi ce fichier C:\WINDOWS\0535251103110107106.xvb sur virustotal ?

Mat · Answer

Fais scanner le(s) fichier(s) suivant(s) sur ce site : 


C:\WINDOWS\0535251103110107106.xvb 


et poste le(s) rapport(s) obtenu(s) dans ta prochaine réponse. 



Comment dois-je faire pour le scanner ?

eZula · Answer

virustotal

Mat · Answer

Fichier 0535251103110107106.loi reçu le 2009.06.22 11:26:19 (UTC)
Situation actuelle: terminé 

Résultat: 0/41 (0.00%)
 Formaté Impression des résultats  
Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.18 2009.06.22 - 
AhnLab-V3 5.0.0.2 2009.06.22 - 
AntiVir 7.9.0.193 2009.06.22 - 
Antiy-AVL 2.0.3.1 2009.06.22 - 
Authentium 5.1.2.4 2009.06.22 - 
Avast 4.8.1335.0 2009.06.21 - 
AVG 8.5.0.339 2009.06.22 - 
BitDefender 7.2 2009.06.22 - 
CAT-QuickHeal 10.00 2009.06.22 - 
ClamAV 0.94.1 2009.06.22 - 
Comodo 1391 2009.06.22 - 
DrWeb 5.0.0.12182 2009.06.22 - 
eSafe 7.0.17.0 2009.06.18 - 
eTrust-Vet 31.6.6570 2009.06.19 - 
F-Prot 4.4.4.56 2009.06.22 - 
F-Secure 8.0.14470.0 2009.06.22 - 
Fortinet 3.117.0.0 2009.06.22 - 
GData 19 2009.06.22 - 
Ikarus T3.1.1.59.0 2009.06.22 - 
Jiangmin 11.0.706 2009.06.22 - 
K7AntiVirus 7.10.768 2009.06.19 - 
Kaspersky 7.0.0.125 2009.06.22 - 
McAfee 5653 2009.06.21 - 
McAfee+Artemis 5653 2009.06.21 - 
McAfee-GW-Edition 6.7.6 2009.06.22 - 
Microsoft 1.4803 2009.06.22 - 
NOD32 4177 2009.06.22 - 
Norman 6.01.09 2009.06.19 - 
nProtect 2009.1.8.0 2009.06.22 - 
Panda 10.0.0.16 2009.06.21 - 
PCTools 4.4.2.0 2009.06.22 - 
Prevx 3.0 2009.06.22 - 
Rising 21.35.03.00 2009.06.22 - 
Sophos 4.42.0 2009.06.22 - 
Sunbelt 3.2.1858.2 2009.06.21 - 
Symantec 1.4.4.12 2009.06.22 - 
TheHacker 6.3.4.3.350 2009.06.20 - 
TrendMicro 8.950.0.1094 2009.06.22 - 
VBA32 3.12.10.7 2009.06.22 - 
ViRobot 2009.6.22.1798 2009.06.22 - 
VirusBuster 4.6.5.0 2009.06.21 - 
Information additionnelle 
File size: 2 bytes 
MD5   : 4124bc0a9335c27f086f24ba207a4912 
SHA1  : e0c9035898dd52fc65c41454cec9c4d2611bfb37 
SHA256: 961b6dd3ede3cb8ecbaacbd68de040cd78eb2ed5889130cceb4c49268ea4d506 
TrID  : File type identification
Unknown! 
ssdeep: 3:tn:t 
PEiD  : - 
RDS   : NSRL Reference Data Set

eZula · Answer

et celui-là : rncsys32.exe  (il doit se trouver dans c:\documents and settings\Compaq_Propriétaire\menu démarrer\programmes\démarrage\ qquechose comme ça)

Mat · Answer

Fichier 01.exe reçu le 2009.07.15 09:05:04 (UTC)
Situation actuelle: terminé 

Résultat: 2/40 (5.00%)
 Formaté Impression des résultats  
Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.24 2009.07.15 - 
AhnLab-V3 5.0.0.2 2009.07.15 - 
AntiVir 7.9.0.215 2009.07.15 - 
Antiy-AVL 2.0.3.7 2009.07.15 - 
Authentium 5.1.2.4 2009.07.14 - 
Avast 4.8.1335.0 2009.07.14 - 
AVG 8.5.0.387 2009.07.14 SHeur2.AQVS 
BitDefender 7.2 2009.07.15 - 
CAT-QuickHeal 10.00 2009.07.15 (Suspicious) - DNAScan 
ClamAV 0.94.1 2009.07.15 - 
Comodo 1657 2009.07.15 - 
DrWeb 5.0.0.12182 2009.07.15 - 
eTrust-Vet 31.6.6615 2009.07.14 - 
F-Prot 4.4.4.56 2009.07.14 - 
F-Secure 8.0.14470.0 2009.07.15 - 
Fortinet 3.120.0.0 2009.07.15 - 
GData 19 2009.07.15 - 
Ikarus T3.1.1.64.0 2009.07.15 - 
Jiangmin 11.0.706 2009.07.15 - 
K7AntiVirus 7.10.792 2009.07.14 - 
Kaspersky 7.0.0.125 2009.07.15 - 
McAfee 5676 2009.07.14 - 
McAfee+Artemis 5676 2009.07.14 - 
McAfee-GW-Edition 6.8.5 2009.07.15 - 
Microsoft 1.4803 2009.07.15 - 
NOD32 4245 2009.07.15 - 
Norman 6.01.09 2009.07.14 - 
nProtect 2009.1.8.0 2009.07.15 - 
Panda 10.0.0.14 2009.07.14 - 
PCTools 4.4.2.0 2009.07.14 - 
Prevx 3.0 2009.07.15 - 
Rising 21.38.21.00 2009.07.15 - 
Sophos 4.43.0 2009.07.15 - 
Sunbelt 3.2.1858.2 2009.07.15 - 
Symantec 1.4.4.12 2009.07.15 - 
TheHacker 6.3.4.3.367 2009.07.14 - 
TrendMicro 8.950.0.1094 2009.07.15 - 
VBA32 3.12.10.8 2009.07.15 - 
ViRobot 2009.7.15.1836 2009.07.15 - 
VirusBuster 4.6.5.0 2009.07.14 - 
Information additionnelle 
File size: 29184 bytes 
MD5   : 9139ca0638f974390a81083581ebf947 
SHA1  : 600837e9ededb417008deda5c0bf29d87ebbfc56 
SHA256: 604e52eec73092d27e9f0722708b0678e21ee57db05b0c5b935afbd8dd8a3a5c 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1165
timedatestamp.....: 0x36D1E7C2 (Tue Feb 23 00:26:58 1999)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3D88 0x3E00 7.85 ebf55460dc8f9386c3c7ca08f6deaca2
.data 0x5000 0x313A 0x2C00 5.49 21b91758e34809dbe6f6e907eb88d296
.rsrc 0x9000 0x37E 0x400 2.90 bd9cbc39a829037b29387d1ab14d2577
.bss 0xA000 0x924 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 3 imports )

> kernel32.dll: GlobalUnfix, VirtualProtect, GetShortPathNameA, FreeEnvironmentStringsA
> shlwapi.dll: StrCmpIW, PathIsLFNFileSpecW, StrSpnA, StrTrimA
> user32.dll: IsWindowEnabled, AttachThreadInput, DlgDirListComboBoxA, GetActiveWindow

( 0 exports )
 
TrID  : File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
ssdeep: 384:TNsFBzO26viXFMSCfbgJR3ap+Gbvu4TGyjXTyzuAXhmSOetURhW9zLn/h+ubII:WJF9C8KwuvxGdzvRmtetEWnJ+Cl 
PEiD  : - 
RDS   : NSRL Reference Data Set

eZula · Answer

ce n'est pas 01.exe mais rncsys32.exe

Kailéa · Answer

Fais un scan Spybot S&D et fait pas chier :o

eZula · Answer

oui oui t'inquiète on verra skybot après

Kailéa · Answer

Après tout ça =O ?
Un scan Spybot prend deux minutes, et il va t'enlever ton probeme après un bon reboot.
Crois moi !

Mat · Answer

Fais un scan Spybot S&D

J'ai aussi essayé, j'ai cliqué sur search & destroy, j'ai fait une vaccination, mais le problème est toujours le même.

et fait pas chier 

???

eZula · Answer

et dans quel dossier tu l'as trouvé ce fichier ?

eZula · Answer

Commence par fixer cette ligne

O4 - Startup: rncsys32.exe 

et à supprimer ce fichier. Redémarre l'ordinateur et regarde si ça change qquechose.

Mat · Answer

Voici déjà le rapport combofix (sinon ou dois-je cacher une ligne ?)


ComboFix 09-07-14.08 - Compaq_Propriétaire 15/07/2009 16:22.3.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.33.1036.18.1022.581 [GMT 2:00]
Running from: c:\documents and settings\Compaq_Propriétaire\Mes documents\Downloads\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Mozilla Firefox\extensions\{C58C70BE-CB2B-4988-9C3F-2FE88D28BA80}
c:\program files\Mozilla Firefox\extensions\{C58C70BE-CB2B-4988-9C3F-2FE88D28BA80}\chrome.manifest
c:\program files\Mozilla Firefox\extensions\{C58C70BE-CB2B-4988-9C3F-2FE88D28BA80}\chrome\content\overlay.xul
c:\program files\Mozilla Firefox\extensions\{C58C70BE-CB2B-4988-9C3F-2FE88D28BA80}\install.rdf
c:\program files\sFX
c:\program files\sFX\SfX.DlL
c:\program files\sFX\sfX.sYs
c:\windows\010112010146118114.dat
c:\windows\0101120101464849.dat
c:\windows\0101120101465749.dat
c:\windows\0101120101465752.dat
c:\windows\Installer\17f702.msp
c:\windows\Installer\17f705.msp
c:\windows\Installer\333b3.msp
c:\windows\Installer\4b2f1.msp
c:\windows\system32\Drivers
flpmf.sys
c:\windows\system32\pck.bin

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SFX
-------\Legacy_SFXDRV
-------\Service_sfx
-------\Service_sFxdrv


(((((((((((((((((((((((((   Files Created from 2009-06-15 to 2009-07-15  )))))))))))))))))))))))))))))))
.

2009-07-15 13:19 . 2009-07-15 13:50	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-15 13:19 . 2009-07-15 13:50	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2009-07-15 12:23 . 2009-07-15 12:25	--------	d-----w-	C:\WORT
2009-07-15 12:08 . 2009-07-15 12:09	--------	d-----w-	c:\program files\CCleaner
2009-07-15 12:00 . 2009-07-15 12:42	--------	d-----w-	C:\GenProc
2009-07-15 09:47 . 2009-07-15 09:47	1	---h--w-	c:\windows\jmmark2.dat
2009-07-15 09:47 . 2009-07-15 09:47	1	---h--w-	c:\windows\bf23567.dat
2009-07-15 09:41 . 2007-05-30 12:10	10872	----a-w-	c:\windows\system32\drivers\AvgAsCln.sys
2009-07-15 09:41 . 2009-07-15 09:41	--------	d-----w-	c:\documents and settings\All Users\Application Data\Grisoft
2009-07-15 08:46 . 2007-01-18 12:00	3968	----a-w-	c:\windows\system32\drivers\AvgArCln.sys
2009-06-16 09:44 . 2009-06-16 09:44	--------	d-----w-	c:\program files\VDMSound
2009-06-15 19:09 . 2009-06-15 19:11	--------	d-----w-	c:\program files\WinSTon

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-15 14:21 . 2006-01-26 20:38	--------	d-----w-	c:\program files\Wanadoo
2009-07-15 12:40 . 2009-05-07 12:31	--------	d-----w-	c:\program files	rend micro
2009-06-22 19:25 . 2007-09-30 14:39	--------	d-----w-	c:\program files\FinePixViewer
2009-06-14 19:07 . 2009-06-14 19:06	--------	d-----w-	c:\program files\Ootake
2009-06-13 12:08 . 2009-06-10 12:09	--------	d-----w-	c:\program files\Project64 1.6
2009-05-10 10:43 . 2004-11-23 21:26	66816	----a-w-	c:\windows\system32\perfc00C.dat
2009-05-10 10:43 . 2004-11-23 21:26	452356	----a-w-	c:\windows\system32\perfh00C.dat
2009-05-07 15:43 . 2004-08-05 18:00	347136	----a-w-	c:\windows\system32\localspl.dll
2009-05-01 18:30 . 2009-05-01 18:30	3366912	----a-w-	c:\windows\system32\GPhotos.scr
2009-04-29 04:45 . 2004-08-05 18:00	827392	----a-w-	c:\windows\system32\wininet.dll
2009-04-29 04:45 . 2004-08-05 18:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-04-19 20:09 . 2004-08-05 18:00	1846784	----a-w-	c:\windows\system32\win32k.sys
2006-08-16 21:07 . 2006-08-16 21:07	60518	----a-w-	c:\program files\mozilla firefox\components\jar50.dll
2006-08-16 21:07 . 2006-08-16 21:07	49248	----a-w-	c:\program files\mozilla firefox\components\jsd3250.dll
2006-08-16 21:07 . 2006-08-16 21:07	165992	----a-w-	c:\program files\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus Photo RX520 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE" [2005-04-07 98304]
"EPSON Stylus Photo RX520 Series (Copie 1)"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE" [2005-04-07 98304]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2008-08-08 185896]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-02-04 155648]
"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]

c:\documents and settings\Compaq_Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\
rncsys32.exe [2004-8-5 29184]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0stera

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^ExifLauncher2.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\ExifLauncher2.lnk
backup=c:\windows\pss\ExifLauncher2.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk
backup=c:\windows\pss\Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Compaq_Propriétaire^Menu Démarrer^Programmes^Démarrage^ChkDisk.lnk]
path=c:\documents and settings\Compaq_Propriétaire\Menu Démarrer\Programmes\Démarrage\ChkDisk.lnk
backup=c:\windows\pss\ChkDisk.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Real\RealPlayer\realplay.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8085:TCP"= 8085:TCP:sfx

R0 VOBID;VOBID;c:\windows\system32\drivers\vobid.sys [01/08/2003 14:47 29239]
R1 vobiw;vobiw;c:\windows\system32\drivers\vobIW.sys [01/09/2004 14:50 188416]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [10/05/2009 12:54 108289]
R3 cdrdrv;Cdrdrv;c:\windows\system32\drivers\Cdrdrv.sys [03/08/2004 11:10 62976]
S3 Aicidrv;Aicidrv; [x]
S3 SG760_XP;SAGEM 802.11g XG760 1211 Driver;c:\windows\system32\drivers\WlanUZXP.sys [26/01/2006 22:33 260608]
S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?]
.
Contents of the 'Scheduled Tasks' folder

2009-07-15 c:\windows\Tasks\Symantec NetDetect.job
- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2005-01-02 17:22]
.
- - - - ORPHANS REMOVED - - - -

SafeBoot-AVG Anti-Spyware Driver


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.wanadoo.fr
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mWindow Title = 
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\ckiygc0v.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel",             1); // 0=low, 1=medium, 2=high, 3=custom
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.enablePad",                   false); // Allow client to do proxy autodiscovery
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://branding/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom",  "chrome://branding/content/searchconfig.properties");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-15 16:27
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(540)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1324)
c:\windows\system32\browselc.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\GRISOFT\AVG Anti-Spyware 7.5\guard.exe
c:\windows\system32\bgsvcgen.exe
c:\windows\system32\FTRTSVC.exe
c:\program files\Fichiers communs\Symantec Shared\Security Center\symwsc.exe
c:\windows\system32\wscntfy.exe
c:\program files\Fichiers communs\Symantec Shared\Security Center\SymSCUI.exe
.
**************************************************************************
.
Completion time: 2009-07-15 16:29 - machine was rebooted
ComboFix-quarantined-files.txt  2009-07-15 14:29

Pre-Run: 222 319 075 328 octets libres
Post-Run: 222 322 544 640 octets libres

182	--- E O F ---	2009-06-10 22:09

Mat · Answer

Pour le moment, le problème de redirection sur google a disparu. J'espère que c'est pas juste temporaire.

Mat · Answer

Aparrement c'est bon, ça remarche.

Sinon, comment peut-on désinstaller combofix ???

eZula · Answer

tu l'as lancé combofix ? si oui poste le rapport C:\combofix.txt par curiosité

Mat · Answer

Le rapport combofix est sur la page 1.

eZula · Answer

Regarde ces fichiers sur virustotal

c:\windows\jmmark2.dat
c:\windows\bf23567.dat

eZula · Answer

Relance GenProc et fais ce qu'il suggère

eZula · Answer

ça comme je te disais : O4 - Startup: rncsys32.exe  fixe-le
ensuite suis la procédure GenProc

Mat · Answer

[ Rapport ToolsCleaner version 2.3.7 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\GenProc: trouvé !
C:\Qoobox: trouvé !
C:\WORT: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Downloads\HJTInstall.exe: trouvé !
C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Downloads\WareOut Removal Tool.bat: trouvé !
C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Downloads\Genproc.exe: trouvé !
C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Downloads\WORT.exe: trouvé !
C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Downloads\WORT: trouvé !
C:\GenProc\outil\hijackthis.log: trouvé !
C:\GenProc\outil\mbr.exe: trouvé !
C:\GenProc\Page\GenProc[*].html: trouvé !
C:\Program Files	rend micro\HijackThis: trouvé !
C:\Program Files	rend micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files	rend micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Downloads\HJTInstall.exe: supprimé !
C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Downloads\WareOut Removal Tool.bat: supprimé !
C:\Program Files	rend micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Downloads\Genproc.exe: supprimé !
C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Downloads\WORT.exe: supprimé !
C:\GenProc\outil\hijackthis.log: supprimé !
C:\GenProc\outil\mbr.exe: supprimé !
C:\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Program Files	rend micro\HijackThis\hijackthis.log: supprimé !
C:\GenProc: supprimé !
C:\Qoobox: supprimé !
C:\WORT: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Downloads\WORT: supprimé !
C:\Program Files	rend micro\HijackThis: supprimé !

Nico · Answer

je viens de ligne cette p'tite affaire d'infection....
1) mets à jour ton ordi (xp sp2, ça date...)
2) formate ta bouz... là au moins, ça marchera mieux
3) arrête les sites coquins

Virus Google Redirection - Page 2

Newsletters