Sujet Précédent Sujet Suivant

Problème avec "Searcheo"

Résolu/Fermé
Tine333 Messages postés 12 Date d'inscription mercredi 4 novembre 2009 Statut Membre Dernière intervention 6 novembre 2009 - 4 nov. 2009 à 19:54
 Metares - 31 janv. 2010 à 11:02
Bonjour,

J'ai consulté un site vosdemarches.com

1/ pour commencer j'ai cliqué sur une zone cliquable qui s'avérait être un minitel...

2/ je me suis retrouvé avec "www.searcheo.com" comme page d'accueil a la place de google dans Firefox et Internet explorer -> j'ai réussi à changer ça

3/ mais j'ai aussi la barre de tâches toute noire et la police en haut des fenêtres est noire au lieu d'être blanche


J'ai réalisé un rapport avec hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:54:01, on 04/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bluetooth Software\bin\btwdins.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Satsuki Decoder Pack\filtres\qt\QTSystem\qttask.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Bluetooth Software\BTTray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Winsudate\gibusr.exe
C:\Program Files\Winsudate\gibsvc.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\explorer.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Bluetooth Software\BTTray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\Satsuki Decoder Pack\filtres\qt\QTSystem\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BDSwitchAgent] C:\PROGRA~1\Softwin\BITDEF~2\bdswitch.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] "C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [WinUsr] C:\Program Files\Winsudate\gibusr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 7804714890
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\Bluetooth Software\bin\btwdins.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Gestionnaire de mise à jour Winsudate (WinSvc) - Winsudate - C:\Program Files\Winsudate\gibsvc.exe

--
End of file - 7005 bytes



Merci de votre aide!!

22 réponses

  • 1
  • 2
Réponse 1 / 22
Utilisateur anonyme
5 nov. 2009 à 20:10
Lance Hijackthis (RSIT l'a installé ici : C:\Program Files\Trend Micro\HijackThis\Max.exe
, choisis "Do a system scan only", coche les lignes suivantes et clique sur "Fix checked" :

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\Satsuki Decoder Pack\filtres\qt\QTSystem\qttask.exe" -atboottime
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE


télécharge la mise a jour de windows xp sp3: http://www.microsoft.com/downloads/details.aspx?familyid=2FCDE6CE-B5FB-4488-8C50-FE22559D164E&displaylang=fr


• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur firefox Une fois que c'est fait, lance le et installe l’ extension de sécurité suivantes : adblock plus
pour bloquer les publicités ;

• WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
-------------------------------------------------------------------------------------------------------------------------

 Je conseille de mettre a jour internet explorer même si vous ne l’utilisé jamais. Les MAJ systéme se font par le biais de IE. Par conséquent on évite les failles de sécurité.
• Télécharger IE8 : ici

• Si Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : https://java.com/fr/

• Si Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version. https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html

• Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.

Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.

Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.

* Un conseil : n'installe pas les BETA
====================================================
Pour éliminer les programmes de desinfections.

• Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.(sur un des 2 liens)
http://pc-system.fr/
https://www.commentcamarche.net/telecharger/ 34055291 toolscleaner
• Clique sur Recherche et laisse le scan se terminer.
• Clique, sur Suppression pour finaliser.
• Tu peux, si tu le souhaites, te servir des Options facultatives.
• Clique sur Quitter, pour que le rapport puisse se créer.
• Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
-----------------------------------------------------------------------------------------------------------------------------------
Désactive et réactive la Restauration du système sous windows xp.
Le fait de faire cette manipulation va supprimer tous les virus qui auraient pu se loger dans les
points de restauration que tu avais créé auparavant.. Il est donc recommandé de la faire :
[1] Dans la barre des tâches de Windows, clique sur Démarrer.
[2] Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
[3 ] Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
[4 ] Clique sur Appliquer.
[5 ] Ensuite décoche "Désactiver la restauration du systeme"
[6 ] clique sur appliquer puis ok
[7 ] vas créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du systeme => créer un point de restauration => tu mets un nom :(exemple :fin de désinfections) puis tu valides.
[8]Pensé a vider la corbeille.





Tu peux mettre ton problème résolu !!Comment mettre résolu ??



1
Réponse 2 / 22
Metares
5 janv. 2010 à 23:04
Bonsoir,

Après une sérieuse prise de tête avec Searcheo, j'ai décide de plonger au cœur du problème.

j'ai déjà trouvé la solution pour couper court à ce site de misère au cœur de FireFox

Voila la soluce :

Excepté le fait qu'il faille changer son adresse par défaut, et virer searcheo des moteurs de recherche, vous aurez remarqué que le problème persiste encore quand on veut faire une recherche directement dans la barre de lien (sur FireFox).

Dans la barre de lien FireFox, tapez :
about:config
et validez.
vous verrez toute la configuration de FireFox après avoir cliquez sur le fait que vous serez prudent.
Dans la barre de filtre, tapez :
keyword.URL
une ligne du meme nom apparait.
Clqiquez droit sur celle ci, et en bas, vous trouverez :
réinitialiser
cliquer dessus.
si jamais vous ne pouvez pas, modifiez la avec ceci :
https://www.google.com/webhp?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&gws_rd=ssl
Validez, et fermer votre navigateur pour le réouvrir.
C'est réparé, adieu Searcheo pour de bon.

Cordialement
1
LM
30 janv. 2010 à 16:45
Je viens d'essayer cette solution: même résultat à l'ouverture... Google est toujours là mais c'est searcheo qui fait la recherche...
0
Metares > LM
31 janv. 2010 à 11:02
tout simplement parce que ta page d'accueil EST Searcheo.

Il faut que tu ailles dans :
Outils / Options / Générale
Et que tu change la page d'accueil en google.fr, et que tu la mette par défaut.

:)
0
Réponse 3 / 22
Utilisateur anonyme
4 nov. 2009 à 20:19
• Bonjour

• Télécharge et installe : Malwarebyte’s Anti-Malware
• (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
• Si tu as besoin d’aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
0
Réponse 4 / 22
Tine333 Messages postés 12 Date d'inscription mercredi 4 novembre 2009 Statut Membre Dernière intervention 6 novembre 2009
4 nov. 2009 à 21:30
Voici le rapport de scan après la suppression :

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3101
Windows 5.1.2600 Service Pack 2

04/11/2009 21:26:26
mbam-log-2009-11-04 (21-26-26).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 146157
Temps écoulé: 35 minute(s), 37 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winusr (Adware.Gibmedia) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)


Pas de redémarrage demandé. Toujours les mêmes soucis : barre de tâches noire et textes en noir.
Qu'en pensez-vous?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 22
Utilisateur anonyme
4 nov. 2009 à 21:33
/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.

/!\ Désactive tous tes logiciels de protection /!\

• Télécharge combofix(de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser¬-combofix
0
Réponse 6 / 22
Tine333 Messages postés 12 Date d'inscription mercredi 4 novembre 2009 Statut Membre Dernière intervention 6 novembre 2009
4 nov. 2009 à 22:01
La barre de taches est redevenue normale mais le texte est toujours noir dans la bande en haut des fenêtres.

Voici le compte-rendu de combofix:

ComboFix 09-11-04.02 - Max 04/11/2009 21:45.1.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.479.67 [GMT 1:00]
Lancé depuis: c:\documents and settings\Max\Mes documents\Téléchargements\ComboFix.exe
AV: avast! antivirus 4.8.1201 [VPS 091104-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\INSTALL.LOG
c:\recycler\S-1-5-21-1977577633-992441997-368668822-500
c:\recycler\S-1-5-21-3901902748-320435125-1411722650-500
c:\windows\system32\t.txt

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-10-04 au 2009-11-04 ))))))))))))))))))))))))))))))))))))
.

2009-11-04 19:32 . 2009-11-04 19:32 -------- d-----w- c:\documents and settings\Max\Application Data\Malwarebytes
2009-11-04 19:32 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-04 19:32 . 2009-11-04 19:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-11-04 19:32 . 2009-11-04 19:32 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-11-04 19:32 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-04 17:46 . 2009-11-04 17:46 -------- d-----w- c:\program files\Trend Micro
2009-11-04 09:47 . 2009-11-04 09:47 60456 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-11-04 09:46 . 2009-11-04 09:46 -------- d-----r- c:\documents and settings\LocalService\Mes documents
2009-11-04 09:46 . 2009-11-04 09:46 -------- d--h--w- c:\documents and settings\LocalService\Voisinage réseau
2009-11-04 09:46 . 2009-11-04 09:46 -------- d-----r- c:\documents and settings\LocalService\Favoris
2009-11-04 09:46 . 2009-11-04 09:46 -------- d-----w- c:\documents and settings\LocalService\Bureau
2009-11-04 07:44 . 2009-11-04 07:44 -------- d-----w- c:\windows\LastGood
2009-10-18 09:17 . 2009-10-18 09:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-10-18 09:17 . 2009-10-18 09:17 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-10-07 20:17 . 2009-11-03 20:33 -------- d-----w- c:\documents and settings\Max\Application Data\FileZilla
2009-10-07 20:17 . 2009-10-07 20:17 -------- d-----w- c:\program files\FileZilla FTP Client

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-03 22:10 . 2005-12-22 08:53 12 ----a-w- c:\windows\bthservsdp.dat
2009-11-03 20:31 . 2009-09-28 13:30 -------- d-----w- c:\program files\McAfee Security Scan
2009-10-25 09:42 . 2002-01-01 05:16 445672 ----a-w- c:\windows\system32\perfh00C.dat
2009-10-25 09:42 . 2002-01-01 05:16 64052 ----a-w- c:\windows\system32\perfc00C.dat
2009-09-30 13:30 . 2009-09-30 13:30 -------- d-----w- c:\documents and settings\All Users\Application Data\McAfee
2009-09-28 13:30 . 2009-09-28 13:30 -------- d-----w- c:\documents and settings\All Users\Application Data\McAfee Security Scan
2009-09-28 06:36 . 2002-01-01 05:09 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-09-27 08:21 . 2009-09-27 08:11 -------- d-----w- c:\program files\OrangeHSS
2009-09-27 08:12 . 2008-06-08 18:23 -------- d-----w- c:\program files\Securitoo
2009-09-27 08:09 . 2009-09-27 08:09 -------- d-----w- c:\program files\Fichiers communs\France Telecom
2009-09-27 07:48 . 2008-06-08 18:35 -------- d-----w- c:\program files\Wanadoo
2009-09-25 05:54 . 2002-01-01 05:17 666112 ----a-w- c:\windows\system32\wininet.dll
2009-09-25 05:54 . 2002-01-01 05:16 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-09-11 14:34 . 2002-01-01 05:16 133632 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-04 20:46 . 2002-01-01 05:16 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-26 08:15 . 2002-01-01 05:17 247326 ----a-w- c:\windows\system32\strmdll.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2003-10-02 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2003-10-02 118784]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2004-02-12 49152]
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2003-10-02 81920]
"QuickTime Task"="c:\program files\Satsuki Decoder Pack\filtres\qt\QTSystem\qttask.exe" [2006-01-12 155648]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-15 79224]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2008-06-10 107248]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2003-03-27 53248]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-03 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - c:\program files\Bluetooth Software\BTTray.exe [2002-1-1 565309]
D‚marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2002-1-1 53248]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2002-1-1 241664]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2002-1-1 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2002-1-1 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 pnpshark;pnpshark;c:\windows\system32\drivers\pnpshark.sys [01/01/2002 06:18 119552]
R0 st3shark;st3shark;c:\windows\system32\drivers\st3shark.sys [01/01/2002 06:18 5504]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [08/06/2008 22:39 78416]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [08/06/2008 22:39 20560]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [04/11/2009 20:32 38224]
S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - MBAMSWISSARMY
*NewlyCreated* - MBR
*NewlyCreated* - PROCEXP113
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
Contenu du dossier 'Tâches planifiées'

2009-11-04 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-09-28 20:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr
IE: Envoyer à &Bluetooth - c:\program files\Bluetooth Software\btsendto_ie_ctx.htm
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Max\Application Data\Mozilla\Firefox\Profiles\ci8bf70h.default\
FF - prefs.js: browser.search.selectedEngine - Searcheo
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.searcheo.fr/france?search&q=

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-WOOKIT - c:\progra~1\Wanadoo\Shell.exe
HKLM-Run-BDSwitchAgent - c:\progra~1\Softwin\BITDEF~2\bdswitch.exe
AddRemove-HijackThis - c:\program files\Trend Micro\HijackThis\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-04 21:51
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x85203008]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x85203008
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

**************************************************************************
.
Heure de fin: 2009-11-04 21:54
ComboFix-quarantined-files.txt 2009-11-04 20:53

Avant-CF: 36 749 164 544 octets libres
Après-CF: 37 126 766 592 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect
0
Réponse 7 / 22
Utilisateur anonyme
4 nov. 2009 à 22:26
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
* Merci à Malekal pour le tutoriel
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
* Double clique sur mbr.exe
* Un rapport sera généré : mbr.log
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande : "%userprofile%\Bureau\mbr" -f
* (veuillez à bien respecter les guillemets)
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
* Réactive tes protections .Poste ce rapport et supprime le ensuite.

o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
o Relance mbr.exe
o Réactive tes protections.
o Le nouveau mbr.log devrait être celui-ci :
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
o device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
0
Réponse 8 / 22
Tine333 Messages postés 12 Date d'inscription mercredi 4 novembre 2009 Statut Membre Dernière intervention 6 novembre 2009
4 nov. 2009 à 22:41
Merci pour ton aide. Pas d'infection d'après le rapport:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Mais toujours le même problème pour la bande du haut. Comment peut-on expliquer cela?
0
Réponse 9 / 22
Utilisateur anonyme
4 nov. 2009 à 22:51
Mais toujours le même problème pour la bande du haut. Comment peut-on expliquer cela?
Je ne comprends pas .fait ce qui suit.
Bonjour

• Télécharge : http://images.malwareremoval.com/random/RSIT.exe
/!\ Important (Sous Vista) /!\
Vous devez exécuter RSIT avec les droits d'administrateur, pour cela Clique droit sur RSIT et "Lancer en tant qu'administrateur"
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur 'Continue' à l'écran Disclaimer.
• Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
• Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.
( C:\RSIT\log.txt et C:\RSIT\info.txt )
• CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller
0
Réponse 10 / 22
Tine333 Messages postés 12 Date d'inscription mercredi 4 novembre 2009 Statut Membre Dernière intervention 6 novembre 2009
4 nov. 2009 à 22:59
Oki, voici les 2 rapports:
log.txt:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Max at 2009-11-04 22:55:08
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 35 GB (62%) free of 57 GB
Total RAM: 479 MB (25% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:55:20, on 04/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bluetooth Software\bin\btwdins.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Satsuki Decoder Pack\filtres\qt\QTSystem\qttask.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Bluetooth Software\BTTray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Bluetooth Software\BTTray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Max\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Max.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\Satsuki Decoder Pack\filtres\qt\QTSystem\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] "C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107804714890
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\Bluetooth Software\bin\btwdins.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
0
Réponse 11 / 22
Utilisateur anonyme
4 nov. 2009 à 23:09
* Télécharge OtmoveIT (de Old_Timer) sur ton Bureau
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/ (de OldTimer) sur ton Bureau
Redémarre en mode sans échec
(Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.
* Double-clique sur OTMoveIt.exe pour le lancer.
* Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.
* copie la liste en gras ci-dessous et colle la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.



:processes
explorer.exe

:services
mbr


:files
c:\documents and settings\max\locals~1\temp\mbr.sys


:reg


:commands
[emptytemp]
[purity]
[start explorer]
[reboot]



-----------------------------

* clique sur MoveIt! pour lancer la suppression.
* Le résultat apparaitra dans le cadre "Results".
* Clique sur Exit pour fermer.
* Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
* Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
0
Réponse 12 / 22
Tine333 Messages postés 12 Date d'inscription mercredi 4 novembre 2009 Statut Membre Dernière intervention 6 novembre 2009
4 nov. 2009 à 23:16
Tu as vu quelque chose dans mes rapports précédents?
Je t'avoue que j'ai un peu peur de redémarrer le pc en l'état actuel des choses. J'ai eu un PC qui n'a jamais pu redémarrer il y a quelques temps...
0
Réponse 13 / 22
Utilisateur anonyme
4 nov. 2009 à 23:27
cette ligne fait partie du programme utilisé tout a l'heure.Il faut la supprimer.

Ensuite tu peux faire usbfix.
• Télécharge et install: UsbFix.exe par Chiquitine29
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 2 " et tape sur [entrée]
• Laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

0
Réponse 14 / 22
Tine333 Messages postés 12 Date d'inscription mercredi 4 novembre 2009 Statut Membre Dernière intervention 6 novembre 2009
4 nov. 2009 à 23:45
Tu veux dire que je dois supprimer la ligne "c:\documents and settings\max\locals~1\temp\mbr.sys " en utilisant OtmoveIT?

Par contre usbfix, je ne pense pas avoir à le faire, je n'ai pas de sources de données externes branchées depuis longtemps..
0
Réponse 15 / 22
Utilisateur anonyme
5 nov. 2009 à 07:03
Tu veux dire que je dois supprimer la ligne "c:\documents and settings\max\locals~1\temp\mbr.sys " en utilisant OtmoveIT?
oui

Fait Usbfix
0
Réponse 16 / 22
Tine333 Messages postés 12 Date d'inscription mercredi 4 novembre 2009 Statut Membre Dernière intervention 6 novembre 2009
5 nov. 2009 à 19:07
Bonsoir!
Ci-dessous le rapport de OtmoveIT:

All processes killed
========== PROCESSES ==========
Process explorer.exe killed successfully!
========== SERVICES/DRIVERS ==========
Service\Driver mbr not found.
Service\Driver mbr not found.
========== FILES ==========
File/Folder c:\documents and settings\max\locals~1\temp\mbr.sys not found.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temp folder emptied: 65716 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Max
->Temp folder emptied: 227291 bytes
->Temporary Internet Files folder emptied: 8028294 bytes
->FireFox cache emptied: 83892137 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\msdownld.tmp folder deleted successfully.
%systemroot% .tmp files removed: 1119633 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 43862 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 89,12 mb


OTM by OldTimer - Version 3.0.0.6 log created on 11052009_185848

Files moved on Reboot...

Registry entries deleted on Reboot...
0
Réponse 17 / 22
Utilisateur anonyme
5 nov. 2009 à 19:17
il faut allr dans panneau de configuration:puis modifier la résolution de l'écran:puis avancé :puis écran choisir ecran plug and play puis ok .ca revient sur propriété affichage resolution ecran 1152 par 864 coché bureau comme moniteur principal puis ok si c 'est bon selectionné oui .sinon non avant la fin des 10 seconde.les ecran 1 et 2 doit être bleu.et normalement ca marche.bon courage et n'hesite pas a faire plusieur fois si sa ne marche pas.

Excuse pour l'écriture mais c'est une astuce trouvée sur le net.
0
Réponse 18 / 22
Tine333 Messages postés 12 Date d'inscription mercredi 4 novembre 2009 Statut Membre Dernière intervention 6 novembre 2009
5 nov. 2009 à 19:32
En fait depuis ce matin, après sa mise en veille cette nuit, tout est redevenu normal au niveau de l'affichage.

J'ai fait un usbfix avec une clé usb que j'ai déjà utilisée, voici le rapport ci-dessous. Il me reste un disque dur externe à passer..

############################## | UsbFix V6.048 |

User : Max (Administrateurs) # KITEAONE
Update on 04/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 19:20:03 | 05/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) M processor 1500MHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1201 [VPS 091105-1] 4.8.1201 [ Enabled | Updated ]

C:\ -> Disque fixe local # 55,88 Go (34,62 Go free) [HDD] # NTFS
D:\ -> Disque CD-ROM # 89,64 Mo (0 Mo free) [livebox] # CDFS
E:\ -> Disque CD-ROM # 562,82 Mo (0 Mo free) [DANCE_EJAY6_CD2] # CDFS
F:\ -> Disque CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS
G:\ -> Disque amovible # 3,74 Go (2,93 Go free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 776
C:\WINDOWS\system32\csrss.exe 824
C:\WINDOWS\system32\winlogon.exe 848
C:\WINDOWS\system32\services.exe 892
C:\WINDOWS\system32\lsass.exe 904
C:\WINDOWS\system32\svchost.exe 1060
C:\WINDOWS\system32\svchost.exe 1124
C:\WINDOWS\System32\svchost.exe 1300
C:\WINDOWS\System32\svchost.exe 1372
C:\WINDOWS\system32\svchost.exe 1568
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1736
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1836
C:\WINDOWS\Explorer.EXE 220
C:\WINDOWS\system32\spoolsv.exe 636
C:\WINDOWS\System32\svchost.exe 1192
C:\WINDOWS\system32\svchost.exe 1224
C:\Program Files\Bluetooth Software\bin\btwdins.exe 1252
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe 1344
C:\WINDOWS\system32\slserv.exe 1420
C:\WINDOWS\System32\svchost.exe 1444
C:\WINDOWS\system32\wuauclt.exe 1776
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 244
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 368
C:\WINDOWS\system32\wbem\wmiprvse.exe 572
C:\WINDOWS\System32\alg.exe 1520

################## | Fichiers # Dossiers infectieux |

Non supprimé ! D:\autorun.inf
Non supprimé ! E:\autorun.inf
Non supprimé ! F:\autorun.inf

################## | Registre # Clés Run infectieuses |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[21/12/2005 18:32|--a------|274] C:\Boot.bak
[04/11/2009 21:44|-rahs----|264] C:\BOOT.INI
[30/08/2002 13:00|-rahs----|4952] C:\Bootfont.bin
[30/08/2002 13:00|-rahs----|249136] C:\cmldr
[02/11/2005 10:35|--a------|4933] C:\DWNLOG.TXT
[08/06/2008 21:30|--a------|648] C:\error.log
[21/12/2005 18:27|--ahs----|502845440] C:\hiberfil.sys
[04/11/2009 10:44|-rahs----|0] C:\IO.SYS
[02/11/2005 10:35|--a------|4933] C:\MCDLOG.TXT
[04/11/2009 10:44|-rahs----|0] C:\MSDOS.SYS
[05/11/2009 18:51|--a------|1277] C:\Nouveau Document texte.txt
[30/08/2002 13:00|-rahs----|47580] C:\NTDETECT.COM
[30/08/2002 13:00|-rahs----|235824] C:\ntldr
[?|?|?] C:\pagefile.sys
[08/06/2008 22:23|--a------|90] C:\Setup.log
[11/03/2009 14:15|--ah-----|268] C:\sqmdata00.sqm
[29/09/2009 22:03|--ah-----|268] C:\sqmdata01.sqm
[11/03/2009 14:15|--ah-----|244] C:\sqmnoopt00.sqm
[29/09/2009 22:03|--ah-----|244] C:\sqmnoopt01.sqm
[05/11/2009 19:22|--a------|3541] C:\UsbFix.txt
[16/03/2009 17:20|--a------|1167] C:\_Sid.txt
[13/11/2008 10:36|-r-------|81] D:\autorun.inf
[04/08/2008 15:13|-r-------|5570] D:\livebox.dcr
[23/01/2008 20:25|-r-------|2652030] D:\livebox.exe
[05/08/2008 12:38|-r-------|101235] D:\livebox.swf
[31/05/2007 13:02|-r-------|133272] D:\Setup.exe
[13/11/2008 10:36|-r-------|24] D:\setup.ini
[04/12/2008 16:20|-r-------|2279] D:\_livebox FTTH.823.17_8.0.2f_002_ 3000 319 406 AC.md5
[13/10/2003 17:07|-r-------|307320] E:\00000000.016
[13/10/2003 17:07|-r-------|308280] E:\00000000.256
[13/10/2003 17:07|-r-------|2048] E:\00000001.TMP
[27/08/2003 11:23|-r-------|48] E:\AUTORUN.INF
[09/10/2003 19:22|-r-------|2453558] E:\CLUB_FR.HLP
[23/09/2003 18:47|-r-------|45056] E:\Club.exe
[09/10/2003 19:21|-r-------|2119463] E:\DANCE6_DE.HLP
[09/10/2003 19:22|-r-------|2056751] E:\DANCE6_ES.HLP
[09/10/2003 19:23|-r-------|2239289] E:\DANCE6_IT.HLP
[09/10/2003 19:23|-r-------|2229521] E:\DANCE6_UK.HLP
[23/09/2003 18:47|-r-------|45056] E:\Dance6.exe
[09/10/2003 19:25|-r-------|53248] E:\FAQs_English.doc
[09/10/2003 19:23|-r-------|52736] E:\FAQs_German.doc
[31/10/2002 08:42|-r-------|28672] E:\Setup.exe
[06/05/2008 13:26|-r-------|309] F:\autorun.inf
[23/10/2007 08:45|-r-------|1336632] F:\LaunchU3.exe
[06/05/2008 13:11|-r-------|5600229] F:\LaunchPad.zip
[23/10/2007 10:45|-ra------|1336632] G:\LaunchU3.exe

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# G:\autorun.inf -> Dossier créé par UsbFix.

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |

"C:\Program Files\ejay\Dance ejay 6 - Full mutilingual ISO - by pollopocket\Dance ejay 6 Crack\Dance60.exe"
14/12/2003 14:13 |Size 6131712 |Crc32 51e4c96e |Md5 6bfc2e20042cc3f800e9bf9d7a2968a3

"E:\Crack\Dance60.exe"
14/12/2003 15:13 |Size 6131712 |Crc32 51e4c96e |Md5 6bfc2e20042cc3f800e9bf9d7a2968a3


################## | ! Fin du rapport # UsbFix V6.048 ! |
0
Réponse 19 / 22
Tine333 Messages postés 12 Date d'inscription mercredi 4 novembre 2009 Statut Membre Dernière intervention 6 novembre 2009
5 nov. 2009 à 19:51
Voici le rapport usbfix pour mon disque dur externe. Vois-tu d'autres soucis?

############################## | UsbFix V6.048 |

User : Max (Administrateurs) # KITEAONE
Update on 04/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 19:43:35 | 05/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) M processor 1500MHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1201 [VPS 091105-1] 4.8.1201 [ Enabled | Updated ]

C:\ -> Disque fixe local # 55,88 Go (34,65 Go free) [HDD] # NTFS
D:\ -> Disque CD-ROM # 89,64 Mo (0 Mo free) [livebox] # CDFS
E:\ -> Disque CD-ROM # 562,82 Mo (0 Mo free) [DANCE_EJAY6_CD2] # CDFS
F:\ -> Disque fixe local # 149,01 Go (128,33 Go free) [WD USB 2] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 776
C:\WINDOWS\system32\csrss.exe 828
C:\WINDOWS\system32\winlogon.exe 852
C:\WINDOWS\system32\services.exe 896
C:\WINDOWS\system32\lsass.exe 908
C:\WINDOWS\system32\svchost.exe 1064
C:\WINDOWS\system32\logonui.exe 1108
C:\WINDOWS\system32\svchost.exe 1128
C:\WINDOWS\System32\svchost.exe 1304
C:\WINDOWS\System32\svchost.exe 1372
C:\WINDOWS\system32\svchost.exe 1572
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1736
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1836
C:\WINDOWS\system32\spoolsv.exe 368
C:\WINDOWS\System32\svchost.exe 508
C:\WINDOWS\system32\svchost.exe 592
C:\Program Files\Bluetooth Software\bin\btwdins.exe 660
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe 692
C:\WINDOWS\Explorer.EXE 1212
C:\WINDOWS\system32\slserv.exe 1280
C:\WINDOWS\System32\svchost.exe 1364
C:\WINDOWS\system32\KB905474\wgasetup.exe 1380
C:\WINDOWS\system32\KB905474\wgasetup.exe 1540
C:\WINDOWS\system32\wuauclt.exe 1912
C:\WINDOWS\system32\wbem\wmiprvse.exe 536
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 1124
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 720
C:\WINDOWS\System32\alg.exe 1876

################## | Fichiers # Dossiers infectieux |

Non supprimé ! D:\autorun.inf
Non supprimé ! E:\autorun.inf
Supprimé ! F:\autorun.inf

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[21/12/2005 18:32|--a------|274] C:\Boot.bak
[04/11/2009 21:44|-rahs----|264] C:\BOOT.INI
[30/08/2002 13:00|-rahs----|4952] C:\Bootfont.bin
[30/08/2002 13:00|-rahs----|249136] C:\cmldr
[02/11/2005 10:35|--a------|4933] C:\DWNLOG.TXT
[08/06/2008 21:30|--a------|648] C:\error.log
[21/12/2005 18:27|--ahs----|502845440] C:\hiberfil.sys
[04/11/2009 10:44|-rahs----|0] C:\IO.SYS
[02/11/2005 10:35|--a------|4933] C:\MCDLOG.TXT
[04/11/2009 10:44|-rahs----|0] C:\MSDOS.SYS
[05/11/2009 18:51|--a------|1277] C:\Nouveau Document texte.txt
[30/08/2002 13:00|-rahs----|47580] C:\NTDETECT.COM
[30/08/2002 13:00|-rahs----|235824] C:\ntldr
[?|?|?] C:\pagefile.sys
[08/06/2008 22:23|--a------|90] C:\Setup.log
[11/03/2009 14:15|--ah-----|268] C:\sqmdata00.sqm
[29/09/2009 22:03|--ah-----|268] C:\sqmdata01.sqm
[11/03/2009 14:15|--ah-----|244] C:\sqmnoopt00.sqm
[29/09/2009 22:03|--ah-----|244] C:\sqmnoopt01.sqm
[05/11/2009 19:45|--a------|3336] C:\UsbFix.txt
[16/03/2009 17:20|--a------|1167] C:\_Sid.txt
[13/11/2008 10:36|-r-------|81] D:\autorun.inf
[04/08/2008 15:13|-r-------|5570] D:\livebox.dcr
[23/01/2008 20:25|-r-------|2652030] D:\livebox.exe
[05/08/2008 12:38|-r-------|101235] D:\livebox.swf
[31/05/2007 13:02|-r-------|133272] D:\Setup.exe
[13/11/2008 10:36|-r-------|24] D:\setup.ini
[04/12/2008 16:20|-r-------|2279] D:\_livebox FTTH.823.17_8.0.2f_002_ 3000 319 406 AC.md5
[13/10/2003 17:07|-r-------|307320] E:\00000000.016
[13/10/2003 17:07|-r-------|308280] E:\00000000.256
[13/10/2003 17:07|-r-------|2048] E:\00000001.TMP
[27/08/2003 11:23|-r-------|48] E:\AUTORUN.INF
[09/10/2003 19:22|-r-------|2453558] E:\CLUB_FR.HLP
[23/09/2003 18:47|-r-------|45056] E:\Club.exe
[09/10/2003 19:21|-r-------|2119463] E:\DANCE6_DE.HLP
[09/10/2003 19:22|-r-------|2056751] E:\DANCE6_ES.HLP
[09/10/2003 19:23|-r-------|2239289] E:\DANCE6_IT.HLP
[09/10/2003 19:23|-r-------|2229521] E:\DANCE6_UK.HLP
[23/09/2003 18:47|-r-------|45056] E:\Dance6.exe
[09/10/2003 19:25|-r-------|53248] E:\FAQs_English.doc
[09/10/2003 19:23|-r-------|52736] E:\FAQs_German.doc
[31/10/2002 08:42|-r-------|28672] E:\Setup.exe
[02/03/2006 15:16|--a------|208896] F:\cdm.xls
[02/06/2006 17:16|--a------|2602883] F:\rapportFinal02-06-06.odt
[31/03/2006 20:53|---hs----|26112] F:\Thumbs.db
[25/11/2005 11:59|--a------|113369593] F:\Sonic Dvdit Pro v6.0.rar
[10/04/2006 23:20|--a------|3762176] F:\Roi heenok Rap iso ugo boos - Combo mortel-obz.mp3
[02/01/2004 22:47|--a------|101376] F:\Le Grand Detournement.doc
[30/12/2005 20:39|--a------|2867044] F:\eChanblard.exe
[30/07/2005 10:28|--a------|4577316] F:\eMule0.46c-Installer.exe
[25/12/2002 17:51|--a------|732229632] F:\lucasarts_collection.iso
[09/09/2005 11:44|--a------|395665] F:\SuperCopier135.exe

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# F:\autorun.inf -> Dossier créé par UsbFix.

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |

"C:\Program Files\ejay\Dance ejay 6 - Full mutilingual ISO - by pollopocket\Dance ejay 6 Crack\Dance60.exe"
14/12/2003 14:13 |Size 6131712 |Crc32 51e4c96e |Md5 6bfc2e20042cc3f800e9bf9d7a2968a3

"E:\Crack\Dance60.exe"
14/12/2003 15:13 |Size 6131712 |Crc32 51e4c96e |Md5 6bfc2e20042cc3f800e9bf9d7a2968a3


################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\Max\Bureau\UsbFix_Upload_Me_KITEAONE.zip : https://www.androidworld.fr/
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.048 ! |
0
Réponse 20 / 22
Utilisateur anonyme
5 nov. 2009 à 19:53
Post un nouveau rapport rsit
0