Sujet Précédent Sujet Suivant

Cheval de troie Très résistant

Résolu/Fermé
Keli - 5 déc. 2009 à 07:03
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 17 déc. 2009 à 21:10
Bonjour,
J'ai déjà eu affaire avec votre site web et j'ai eu beaucoup d'aide de votre part et je me retrouve aujourd'hui avec un nouveau problème. Je connais un peu de truc sur l'ordi mais cela reste quand même basique.
J'ai découvert il y a deux jours que j'avais un cheval de troie sur mon ordi et ce malgré tout ce que j'ai essayer ( avast 4 fois ccleaner,) je n'arrive pas a le faire partir. Deplus je n'arrive pas a aller en mode sans échec car mon clavier est un USB et il est donc inactif quand vient le temps d'entrer dans le mode sans échec. J'ai aussi essayer de faire un scan virus au démarrage mais encore la mon clavier est inactif donc je suis dans l'impossibilité de faire une sélection quand vient le temps.
Je vous laisse donc mon Hijack, et j'espère que vous allez pouvoir m'aider car je ne sais plus quoi faire.
Merci beaucoup d'avance.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:55:04 AM, on 05/12/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
H:\Program Files\QuickTime\qttask.exe
H:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
H:\Program Files\Portrait Displays\forteManager\DTHtml.exe
H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
H:\Program Files\Java\jre6\bin\jusched.exe
H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
H:\Program Files\Rainlendar2\Rainlendar2.exe
H:\Program Files\Fichiers communs\Portrait Displays\Shared\HookManager.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\devldr32.exe
H:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
H:\Program Files\Java\jre6\bin\jqs.exe
H:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
H:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\ZoneLabs\vsmon.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\WINDOWS\System32\wbem\wmiapsrv.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Program Files\Mozilla Firefox\firefox.exe
H:\Documents and Settings\Karen Castonguay\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.yahoo.com/?p=us
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - H:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - H:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - H:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - H:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - H:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - H:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DT LGE] H:\Program Files\Portrait Displays\forteManager\DTHtml.exe -startup_folder
O4 - HKLM\..\Run: [ZoneAlarm Client] "H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "H:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [msnmsgr] "H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Rainlendar2] H:\Program Files\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [DWQueuedReporting] "H:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Auto updat] SysDebug.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Auto updat] SysDebug.exe (User 'Default user')
O8 - Extra context menu item: Download all with Free Download Manager - file://H:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://H:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://H:\Program Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://H:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://I:\GROUPE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\GROUPE~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - H:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://cdn.messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {DA758BB1-5F89-4465-975F-8D7179A4BCF3} (WheelofFortune Object) - http://messenger.zone.msn.com/binary/WoF.cab31267.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1586CEF5-C41D-4D4C-BBCB-95DE342407BE}: NameServer = 207.164.234.129 207.164.234.193
O17 - HKLM\System\CS1\Services\Tcpip\..\{1586CEF5-C41D-4D4C-BBCB-95DE342407BE}: NameServer = 207.164.234.129 207.164.234.193
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - H:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - H:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: Google Software Updater (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - H:\WINDOWS\system32\ZoneLabs\vsmon.exe

26 réponses

  • 1
  • 2
Réponse 1 / 26
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
9 déc. 2009 à 11:04
Bonjour,

c'est une partie de ce rapport qui nous "inquiète" :

https://forums.commentcamarche.net/forum/affich-15478254-cheval-de-troie-tres-resistant#25

On a vérifié que ce n'était pas nune infection très à la mode (et parfois délicate à éradiquer).

Ce n'est pas elle.

Par contre, ce peut en être une autre;

Fais ceci :

Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.


Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe
Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.

Si c'est le cas, continue comme ça :

Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"

Réactive tes protections
Poste ce rapport et supprimes-le ensuite.

Pour vérifier

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Relance mbr.exe

Réactive tes protections.

Le nouveau mbr.log devrait être celui-ci :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK


Sous Vista, ne pas oublier de lancer mbr.exe par clic droit et Exécuter en tant qu'administrateur.
Note : Si le fichier mbr.exe se trouve dans Téléchargement, cela fonctionne aussi et mbr.log s'y inscrira.


1
keli
9 déc. 2009 à 23:44
Salut
Voila le log que sa donner a la première activation

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
0
Réponse 2 / 26
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
5 déc. 2009 à 07:56
Salut,


infecté ...

essaye de te trouver un clavier normal , on ne sait jamais ....



/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).




Commence par ceci pour avoir un rapport plus détaillé qu'hijackthis :

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


0
Keli
5 déc. 2009 à 08:11
http://www.cijoint.fr/cjlink.php?file=cj200912/cijEbauKtZ.txt

voila le lien
0
Réponse 3 / 26
Maxx972 Messages postés 122 Date d'inscription jeudi 12 novembre 2009 Statut Membre Dernière intervention 26 février 2010 10
5 déc. 2009 à 08:17
Je te proposerai bien malwarebytes pour résoudre ton soucis.

A vrai dire le mieux serais de save tes données et de reinstaller vu l'acitivité.

sinon malware byte c'est très bien pour clean le pc
0
Réponse 4 / 26
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
5 déc. 2009 à 08:20
Bien ....



on attaque .... dans l'ordre :


1- Lance de nouveau ZHPDiag,

!! déconnecte toi et ferme toutes tes applications en cours !!

* Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

> tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.


Laisse travailler l'outil et ne touche à rien ( cela peut-être relativement long ) .


* Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

* Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...


========================

2- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

> https://www.cjoint.com/?mfisVxnoBt


Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...



=====================

3- Télécharge Lop S&D (de AngelDark & Eric71) :

https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2
ou ici http://eric71.geekstogo.com/tools/LopSD.exe


! Déconnecte toi et ferme toutes tes applications en cours !

Double-clique sur sur l'.exe que tu viens de télécharger pour lancer l'installe .

Une fois l'installation faite, clique sur le raccourci pour lancer l'outil .

Là, laisses toi guider:
--->choisis l'option 1 (recherche) et valides.

(Tu ne fais pas l'option de nettoyage ( 2 ou 3) ).

Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Poste ce rapport dans ta prochaine réponse pour analyse .

Tuto : https://sites.google.com/site/eric71mespages/lop.sd.exe

0
Keli
5 déc. 2009 à 08:39
ok voici le rapport #1 analyse détaillée/md5

http://www.cijoint.fr/cjlink.php?file=cj200912/cijX6QblSJ.txt



voici le rapport #2 Zhp fix

ZHPFix v1.12.22 by Nicolas Coolman - Rapport de suppression du 05/12/2009 2:33:03 AM
Fichier d'export Registre : C:\ZHPExportRegistry-05-12-2009-2-33-03 AM.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O64 - Services: CurCS - Sysino (irc.aol.com) - LEGACY_IRC.AOL.COM => Clé supprimée avec succès
O64 - Services: CS003 - Sysino (irc.aol.com) - LEGACY_IRC.AOL.COM => Clé supprimée avec succès

Valeur du Registre :
O4 - HKUS\S-1-5-18\..\Run: [Auto updat] SysDebug.exe => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [Sysino] lsess.exe => Valeur absente
O47 - AAKE:Key Export SP - "H:\Program Files\BitDownload\BitDownload.exe"="H:\Program Files\BitDownload\BitDownload.exe:*:Enabled:Warez3" => Valeur supprimée avec succès

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
sysdebug.exe => Fichier absent
lsess.exe => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 2
Valeur du Registre : 3
Elément de données du Registre : 0
Dossier : 0
Fichier : 2
Logiciel : 0
Autre : 0


End of the scan

Le rapport #3 va suivre dans quelques minutes
0
Keli > Keli
5 déc. 2009 à 08:49
ok voici le rapport #3


--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 1700+ )
BIOS : Award Modular BIOS v6.00PG
USER : Karen Castonguay ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1368 [VPS 091204-0] 4.8.1368 (Activated)
Firewall : ZoneAlarm Firewall 7.0.462.000 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:37 Go (Free:17 Go)
D:\ (CD or DVD) - UDF - Total:2 Go (Free:0 Go)
F:\ (CD or DVD)
G:\ (CD or DVD)
H:\ (Local Disk) - NTFS - Total:19 Go (Free:4 Go)
I:\ (Local Disk) - NTFS - Total:54 Go (Free:8 Go)

"H:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 05/12/2009| 2:41 )

--------------------\\ Listing des dossiers dans APPLIC~1

[26/09/2004|09:31] H:\DOCUME~1\ADMINI~1\APPLIC~1\<REP> Microsoft

[05/12/2009|01:15] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> {CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
[04/10/2007|01:42] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Adobe
[05/12/2005|01:39] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Apple Computer
[19/02/2009|05:09] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Google
[31/07/2007|11:38] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Grisoft
[05/12/2009|01:14] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Lavasoft
[11/07/2008|05:53] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> MailFrontier
[12/03/2008|03:55] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Memo save stupid creative
[06/12/2005|01:58] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Messenger Plus!
[02/05/2009|05:44] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Microsoft
[20/04/2005|03:20] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> MSN6
[01/10/2004|10:16] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> nView_Profiles
[27/08/2007|05:31] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> PlayFirst
[05/12/2009|12:44] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Spybot - Search & Destroy
[09/12/2006|06:26] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Symantec
[26/09/2006|01:34] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Trymedia
[17/03/2008|04:59] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> WLInstaller
[04/09/2007|05:25] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Yahoo!

[07/05/2007|09:52] H:\DOCUME~1\APPLIC~1\APPLIC~1\<REP> Microsoft

[26/09/2004|07:20] H:\DOCUME~1\DEFAUL~1\APPLIC~1\<REP> Microsoft

[07/05/2007|09:52] H:\DOCUME~1\directx9.0\APPLIC~1\<REP> Microsoft

[08/08/2008|12:51] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Adobe
[04/10/2007|01:36] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> AdobeUM
[05/12/2005|01:47] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Apple Computer
[14/05/2005|10:10] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Atari
[26/10/2007|11:32] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Azureus
[18/12/2007|10:12] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> DisplayTune
[11/07/2009|02:24] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> DivX
[11/12/2006|12:18] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> DMCache
[09/12/2006|05:18] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> DriveCleaner 2006 Free
[13/03/2009|01:10] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Free Download Manager
[22/10/2006|04:33] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Google
[26/09/2004|09:29] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Help
[21/08/2007|09:59] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Identities
[27/09/2004|01:00] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Kazaa Lite
[13/02/2008|05:27] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Lavasoft
[14/12/2004|04:12] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Leadertech
[26/09/2004|07:41] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Macromedia
[02/07/2009|03:35] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Microsoft
[17/04/2007|11:07] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Microsoft Games
[11/11/2004|11:23] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Microsoft Web Folders
[23/08/2008|11:48] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Mozilla
[20/04/2005|03:20] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> MSN6
[07/05/2007|09:52] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> MySpace
[27/08/2007|06:09] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> PlayFirst
[11/07/2009|02:51] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> PriceGong
[28/02/2009|12:49] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Skype
[27/09/2004|01:05] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Sun
[26/09/2004|08:20] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Symantec
[15/03/2007|04:49] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Talkback
[26/05/2005|09:00] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> teamspeak2
[28/11/2009|11:54] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Ventrilo
[23/08/2008|11:15] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Yahoo!
[21/08/2007|09:59] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Zylom

[18/05/2006|11:44] H:\DOCUME~1\keli\APPLIC~1\<REP> Identities
[18/05/2006|11:53] H:\DOCUME~1\keli\APPLIC~1\<REP> Macromedia
[18/05/2006|11:52] H:\DOCUME~1\keli\APPLIC~1\<REP> Microsoft

[26/09/2004|07:20] H:\DOCUME~1\LOCALS~1\APPLIC~1\<REP> Microsoft

[26/09/2004|07:20] H:\DOCUME~1\NETWOR~1\APPLIC~1\<REP> Microsoft
[03/10/2004|06:21] H:\DOCUME~1\NETWOR~1\APPLIC~1\<REP> Symantec

--------------------\\ Tâches planifiées dans H:\WINDOWS\tasks

[05/12/2009 01:29 AM][--a------] H:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[05/12/2009 01:20 AM][--ah-----] H:\WINDOWS\tasks\SA.DAT
[28/08/2001 03:00 AM][-r-h-----] H:\WINDOWS\tasks\desktop.ini

--------------------\\ Listing des dossiers dans H:\Program Files

[04/10/2007|01:41] H:\Program Files\<REP> Adobe
[20/12/2004|01:39] H:\Program Files\<REP> Ahead
[09/12/2006|06:28] H:\Program Files\<REP> Alwil Software
[26/06/2006|07:51] H:\Program Files\<REP> ATI Technologies
[25/02/2009|01:26] H:\Program Files\<REP> CCleaner
[26/09/2004|07:17] H:\Program Files\<REP> ComPlus Applications
[10/04/2007|10:30] H:\Program Files\<REP> Continuum
[12/06/2009|11:34] H:\Program Files\<REP> CyberFlix
[14/12/2004|04:40] H:\Program Files\<REP> directx
[23/10/2006|11:33] H:\Program Files\<REP> Druide
[04/12/2009|03:18] H:\Program Files\<REP> Fichiers communs
[01/05/2007|12:51] H:\Program Files\<REP> Free Download Manager
[19/02/2009|05:12] H:\Program Files\<REP> Google
[27/09/2004|01:14] H:\Program Files\<REP> Hewlett-Packard
[27/09/2004|01:18] H:\Program Files\<REP> hp deskjet 656c series
[05/08/2008|05:30] H:\Program Files\<REP> Incomplete
[04/12/2009|12:28] H:\Program Files\<REP> InstallShield Installation Information
[02/05/2009|05:47] H:\Program Files\<REP> Internet Explorer
[03/12/2009|07:49] H:\Program Files\<REP> IrfanView
[25/11/2009|07:14] H:\Program Files\<REP> Java
[26/09/2004|08:54] H:\Program Files\<REP> Kerio
[05/12/2009|01:14] H:\Program Files\<REP> Lavasoft
[03/02/2007|04:40] H:\Program Files\<REP> Logitech
[12/12/2005|01:35] H:\Program Files\<REP> Messenger
[02/05/2009|05:57] H:\Program Files\<REP> Microsoft
[11/11/2004|11:23] H:\Program Files\<REP> microsoft frontpage
[02/05/2009|05:57] H:\Program Files\<REP> Microsoft Office Outlook Connector
[02/05/2009|05:57] H:\Program Files\<REP> Microsoft Silverlight
[02/05/2009|05:42] H:\Program Files\<REP> Microsoft SQL Server Compact Edition
[02/05/2009|05:44] H:\Program Files\<REP> Microsoft Sync Framework
[13/11/2004|10:22] H:\Program Files\<REP> Microsoft.NET
[01/10/2004|11:31] H:\Program Files\<REP> Movie Maker
[05/12/2009|02:35] H:\Program Files\<REP> Mozilla Firefox
[26/09/2004|07:17] H:\Program Files\<REP> MSN
[31/10/2005|05:12] H:\Program Files\<REP> MSN Apps
[26/09/2004|07:17] H:\Program Files\<REP> MSN Gaming Zone
[01/10/2004|11:28] H:\Program Files\<REP> NetMeeting
[09/12/2006|07:02] H:\Program Files\<REP> Norton AntiVirus
[14/04/2006|04:39] H:\Program Files\<REP> Outlook Express
[29/11/2004|11:06] H:\Program Files\<REP> PANASONIC
[18/12/2007|10:10] H:\Program Files\<REP> Portrait Displays
[05/12/2005|01:40] H:\Program Files\<REP> QuickTime
[15/03/2007|05:14] H:\Program Files\<REP> Rainlendar2
[26/09/2004|07:19] H:\Program Files\<REP> Services en ligne
[05/12/2009|12:44] H:\Program Files\<REP> Spybot - Search & Destroy
[27/07/2008|11:32] H:\Program Files\<REP> Sun
[26/09/2004|07:26] H:\Program Files\<REP> Uninstall Information
[01/06/2006|12:33] H:\Program Files\<REP> uTorrent
[30/11/2007|01:47] H:\Program Files\<REP> Ventrilo
[02/05/2009|05:56] H:\Program Files\<REP> Windows Live
[02/05/2009|05:37] H:\Program Files\<REP> Windows Live SkyDrive
[17/02/2006|04:56] H:\Program Files\<REP> Windows Media Player
[01/10/2004|11:28] H:\Program Files\<REP> Windows NT
[26/09/2004|07:45] H:\Program Files\<REP> WindowsUpdate
[05/12/2005|04:35] H:\Program Files\<REP> WinRAR
[26/09/2004|07:21] H:\Program Files\<REP> xerox
[04/12/2007|01:40] H:\Program Files\<REP> Yahoo!
[04/11/2004|12:49] H:\Program Files\<REP> Zero G Registry
[12/07/2008|08:29] H:\Program Files\<REP> Zone Labs

--------------------\\ Listing des dossiers dans H:\Program Files\Fichiers communs

[04/10/2007|01:41] H:\Program Files\Fichiers communs\<REP> Adobe
[20/12/2004|01:39] H:\Program Files\Fichiers communs\<REP> Ahead
[13/11/2004|10:21] H:\Program Files\Fichiers communs\<REP> DESIGNER
[14/05/2005|10:09] H:\Program Files\Fichiers communs\<REP> InstallShield
[27/09/2004|03:09] H:\Program Files\Fichiers communs\<REP> Java
[03/02/2007|04:41] H:\Program Files\Fichiers communs\<REP> Logitech
[02/05/2009|05:37] H:\Program Files\Fichiers communs\<REP> Microsoft Shared
[26/09/2004|07:18] H:\Program Files\Fichiers communs\<REP> MSSoap
[26/09/2004|02:08] H:\Program Files\Fichiers communs\<REP> ODBC
[18/12/2007|10:10] H:\Program Files\Fichiers communs\<REP> Portrait Displays
[26/09/2004|07:18] H:\Program Files\Fichiers communs\<REP> Services
[17/12/2005|09:29] H:\Program Files\Fichiers communs\<REP> snpstd2
[26/09/2004|02:08] H:\Program Files\Fichiers communs\<REP> SpeechEngines
[11/12/2006|07:51] H:\Program Files\Fichiers communs\<REP> Symantec Shared
[14/04/2006|04:41] H:\Program Files\Fichiers communs\<REP> System
[14/12/2004|04:40] H:\Program Files\Fichiers communs\<REP> Vbox
[02/05/2009|05:19] H:\Program Files\Fichiers communs\<REP> Windows Live
[17/03/2008|04:59] H:\Program Files\Fichiers communs\<REP> WindowsLiveInstaller

--------------------\\ Process

( 43 Processes )

... OK !

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

H:\DOCUME~1\ALLUSE~1\APPLIC~1\Memo save stupid creative
H:\DOCUME~1\KARENC~1\MENUDM~1\PROGRA~1\BitDownload
H:\DOCUME~1\KARENC~1\MENUDM~1\PROGRA~1\BitDownload\BitDownload Downloads.lnk

--------------------\\ Verification du Registre

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE


--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-05 02:45:42
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Recherche d'autres infections

--------------------\\ ROGUES ..

H:\DOCUME~1\KARENC~1\APPLIC~1\DriveCleaner 2006 Free

--------------------\\ Cracks & Keygens ..

H:\DOCUME~1\KARENC~1\Bureau\MQ2-MMOPlugins-5-21-09\MQ2DoCrack.dll
H:\DOCUME~1\KARENC~1\Bureau\MQ2-MMOPlugins-5-21-09\UIFiles\MQUI_DoCrackWnd.xml
H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion
H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\file_id.diz
H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\Keygen.exe
H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\keygen.nfo
H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\NBR6603FRA.exe
H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\nero6603.exe
H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\orion.nfo


[F:3][D:3]-> H:\DOCUME~1\KARENC~1\LOCALS~1\Temp
[F:9][D:0]-> H:\DOCUME~1\KARENC~1\Cookies
[F:6][D:4]-> H:\DOCUME~1\KARENC~1\LOCALS~1\TEMPOR~1\content.IE5

1 - "H:\Lop SD\LopR_1.txt" - 05/12/2009| 2:47 - Option : [1]

--------------------\\ Fin du rapport a 2:47:12
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 26
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
5 déc. 2009 à 08:59
Re,


arrête les crack et autre keygen , c'est l'une des cause principal d'infection en informatique ... !



la suite :


1- ! Déconnecte toi et ferme toutes tes applications en cours !

Relance Lop S&D ,

---> choisis cette fois l'option 2 ( nettoyage ) et valide ...

-> ne touche à rien pendant que l'outil travail .


Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Poste ce rapport dans ta prochaine réponse pour analyse ...


=========================

2- Refais un scan ZHPDiag( 'normal' ), coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

0
Keli
5 déc. 2009 à 09:00
Question
C'est quoi les cracks et keygen ?
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463 > Keli
5 déc. 2009 à 09:04
ces petits prg qui servent à pirater un logiciel payant ... regarde à la fin du rapport de Lop ... ;)


fais la suite stp ....

0
Keli > sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012
5 déc. 2009 à 09:11
Je le fesais en même temps que tu me répondais :)

rapport #1


--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 1700+ )
BIOS : Award Modular BIOS v6.00PG
USER : Karen Castonguay ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1368 [VPS 091204-0] 4.8.1368 (Not Activated)
Firewall : ZoneAlarm Firewall 7.0.462.000 (Not Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:37 Go (Free:17 Go)
D:\ (CD or DVD) - UDF - Total:2 Go (Free:0 Go)
F:\ (CD or DVD)
G:\ (CD or DVD)
H:\ (Local Disk) - NTFS - Total:19 Go (Free:4 Go)
I:\ (Local Disk) - NTFS - Total:54 Go (Free:8 Go)

"H:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [2] ( 05/12/2009| 3:03 )


\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ SUPPRESSION

Supprime! - H:\DOCUME~1\KARENC~1\MENUDM~1\PROGRA~1\BitDownload\BitDownload Downloads.lnk
Supprime! - H:\DOCUME~1\ALLUSE~1\APPLIC~1\Memo save stupid creative
Supprime! - H:\DOCUME~1\KARENC~1\MENUDM~1\PROGRA~1\BitDownload
-
[ Fichier Hosts ] .. Restaure!

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\


--------------------\\ Listing des dossiers dans APPLIC~1

[26/09/2004|09:31] H:\DOCUME~1\ADMINI~1\APPLIC~1\<REP> Microsoft

[05/12/2009|01:15] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> {CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
[04/10/2007|01:42] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Adobe
[05/12/2005|01:39] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Apple Computer
[19/02/2009|05:09] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Google
[31/07/2007|11:38] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Grisoft
[05/12/2009|01:14] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Lavasoft
[11/07/2008|05:53] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> MailFrontier
[06/12/2005|01:58] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Messenger Plus!
[02/05/2009|05:44] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Microsoft
[20/04/2005|03:20] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> MSN6
[01/10/2004|10:16] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> nView_Profiles
[27/08/2007|05:31] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> PlayFirst
[05/12/2009|12:44] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Spybot - Search & Destroy
[09/12/2006|06:26] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Symantec
[26/09/2006|01:34] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Trymedia
[17/03/2008|04:59] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> WLInstaller
[04/09/2007|05:25] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Yahoo!

[07/05/2007|09:52] H:\DOCUME~1\APPLIC~1\APPLIC~1\<REP> Microsoft

[26/09/2004|07:20] H:\DOCUME~1\DEFAUL~1\APPLIC~1\<REP> Microsoft

[07/05/2007|09:52] H:\DOCUME~1\directx9.0\APPLIC~1\<REP> Microsoft

[08/08/2008|12:51] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Adobe
[04/10/2007|01:36] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> AdobeUM
[05/12/2005|01:47] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Apple Computer
[14/05/2005|10:10] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Atari
[26/10/2007|11:32] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Azureus
[18/12/2007|10:12] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> DisplayTune
[11/07/2009|02:24] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> DivX
[11/12/2006|12:18] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> DMCache
[09/12/2006|05:18] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> DriveCleaner 2006 Free
[13/03/2009|01:10] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Free Download Manager
[22/10/2006|04:33] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Google
[26/09/2004|09:29] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Help
[21/08/2007|09:59] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Identities
[27/09/2004|01:00] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Kazaa Lite
[13/02/2008|05:27] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Lavasoft
[14/12/2004|04:12] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Leadertech
[26/09/2004|07:41] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Macromedia
[02/07/2009|03:35] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Microsoft
[17/04/2007|11:07] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Microsoft Games
[11/11/2004|11:23] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Microsoft Web Folders
[23/08/2008|11:48] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Mozilla
[20/04/2005|03:20] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> MSN6
[07/05/2007|09:52] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> MySpace
[27/08/2007|06:09] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> PlayFirst
[11/07/2009|02:51] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> PriceGong
[28/02/2009|12:49] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Skype
[27/09/2004|01:05] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Sun
[26/09/2004|08:20] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Symantec
[15/03/2007|04:49] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Talkback
[26/05/2005|09:00] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> teamspeak2
[28/11/2009|11:54] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Ventrilo
[23/08/2008|11:15] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Yahoo!
[21/08/2007|09:59] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Zylom

[18/05/2006|11:44] H:\DOCUME~1\keli\APPLIC~1\<REP> Identities
[18/05/2006|11:53] H:\DOCUME~1\keli\APPLIC~1\<REP> Macromedia
[18/05/2006|11:52] H:\DOCUME~1\keli\APPLIC~1\<REP> Microsoft

[26/09/2004|07:20] H:\DOCUME~1\LOCALS~1\APPLIC~1\<REP> Microsoft

[26/09/2004|07:20] H:\DOCUME~1\NETWOR~1\APPLIC~1\<REP> Microsoft
[03/10/2004|06:21] H:\DOCUME~1\NETWOR~1\APPLIC~1\<REP> Symantec

--------------------\\ Tâches planifiées dans H:\WINDOWS\tasks

[05/12/2009 01:29 AM][--a------] H:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[05/12/2009 01:20 AM][--ah-----] H:\WINDOWS\tasks\SA.DAT
[28/08/2001 03:00 AM][-r-h-----] H:\WINDOWS\tasks\desktop.ini

--------------------\\ Listing des dossiers dans H:\Program Files

[04/10/2007|01:41] H:\Program Files\<REP> Adobe
[20/12/2004|01:39] H:\Program Files\<REP> Ahead
[09/12/2006|06:28] H:\Program Files\<REP> Alwil Software
[26/06/2006|07:51] H:\Program Files\<REP> ATI Technologies
[25/02/2009|01:26] H:\Program Files\<REP> CCleaner
[26/09/2004|07:17] H:\Program Files\<REP> ComPlus Applications
[10/04/2007|10:30] H:\Program Files\<REP> Continuum
[12/06/2009|11:34] H:\Program Files\<REP> CyberFlix
[14/12/2004|04:40] H:\Program Files\<REP> directx
[23/10/2006|11:33] H:\Program Files\<REP> Druide
[04/12/2009|03:18] H:\Program Files\<REP> Fichiers communs
[01/05/2007|12:51] H:\Program Files\<REP> Free Download Manager
[19/02/2009|05:12] H:\Program Files\<REP> Google
[27/09/2004|01:14] H:\Program Files\<REP> Hewlett-Packard
[27/09/2004|01:18] H:\Program Files\<REP> hp deskjet 656c series
[05/08/2008|05:30] H:\Program Files\<REP> Incomplete
[04/12/2009|12:28] H:\Program Files\<REP> InstallShield Installation Information
[02/05/2009|05:47] H:\Program Files\<REP> Internet Explorer
[03/12/2009|07:49] H:\Program Files\<REP> IrfanView
[25/11/2009|07:14] H:\Program Files\<REP> Java
[26/09/2004|08:54] H:\Program Files\<REP> Kerio
[05/12/2009|01:14] H:\Program Files\<REP> Lavasoft
[03/02/2007|04:40] H:\Program Files\<REP> Logitech
[12/12/2005|01:35] H:\Program Files\<REP> Messenger
[02/05/2009|05:57] H:\Program Files\<REP> Microsoft
[11/11/2004|11:23] H:\Program Files\<REP> microsoft frontpage
[02/05/2009|05:57] H:\Program Files\<REP> Microsoft Office Outlook Connector
[02/05/2009|05:57] H:\Program Files\<REP> Microsoft Silverlight
[02/05/2009|05:42] H:\Program Files\<REP> Microsoft SQL Server Compact Edition
[02/05/2009|05:44] H:\Program Files\<REP> Microsoft Sync Framework
[13/11/2004|10:22] H:\Program Files\<REP> Microsoft.NET
[01/10/2004|11:31] H:\Program Files\<REP> Movie Maker
[05/12/2009|02:47] H:\Program Files\<REP> Mozilla Firefox
[26/09/2004|07:17] H:\Program Files\<REP> MSN
[31/10/2005|05:12] H:\Program Files\<REP> MSN Apps
[26/09/2004|07:17] H:\Program Files\<REP> MSN Gaming Zone
[01/10/2004|11:28] H:\Program Files\<REP> NetMeeting
[09/12/2006|07:02] H:\Program Files\<REP> Norton AntiVirus
[14/04/2006|04:39] H:\Program Files\<REP> Outlook Express
[29/11/2004|11:06] H:\Program Files\<REP> PANASONIC
[18/12/2007|10:10] H:\Program Files\<REP> Portrait Displays
[05/12/2005|01:40] H:\Program Files\<REP> QuickTime
[15/03/2007|05:14] H:\Program Files\<REP> Rainlendar2
[26/09/2004|07:19] H:\Program Files\<REP> Services en ligne
[05/12/2009|12:44] H:\Program Files\<REP> Spybot - Search & Destroy
[27/07/2008|11:32] H:\Program Files\<REP> Sun
[26/09/2004|07:26] H:\Program Files\<REP> Uninstall Information
[01/06/2006|12:33] H:\Program Files\<REP> uTorrent
[30/11/2007|01:47] H:\Program Files\<REP> Ventrilo
[02/05/2009|05:56] H:\Program Files\<REP> Windows Live
[02/05/2009|05:37] H:\Program Files\<REP> Windows Live SkyDrive
[17/02/2006|04:56] H:\Program Files\<REP> Windows Media Player
[01/10/2004|11:28] H:\Program Files\<REP> Windows NT
[26/09/2004|07:45] H:\Program Files\<REP> WindowsUpdate
[05/12/2005|04:35] H:\Program Files\<REP> WinRAR
[26/09/2004|07:21] H:\Program Files\<REP> xerox
[04/12/2007|01:40] H:\Program Files\<REP> Yahoo!
[04/11/2004|12:49] H:\Program Files\<REP> Zero G Registry
[12/07/2008|08:29] H:\Program Files\<REP> Zone Labs

--------------------\\ Listing des dossiers dans H:\Program Files\Fichiers communs

[04/10/2007|01:41] H:\Program Files\Fichiers communs\<REP> Adobe
[20/12/2004|01:39] H:\Program Files\Fichiers communs\<REP> Ahead
[13/11/2004|10:21] H:\Program Files\Fichiers communs\<REP> DESIGNER
[14/05/2005|10:09] H:\Program Files\Fichiers communs\<REP> InstallShield
[27/09/2004|03:09] H:\Program Files\Fichiers communs\<REP> Java
[03/02/2007|04:41] H:\Program Files\Fichiers communs\<REP> Logitech
[02/05/2009|05:37] H:\Program Files\Fichiers communs\<REP> Microsoft Shared
[26/09/2004|07:18] H:\Program Files\Fichiers communs\<REP> MSSoap
[26/09/2004|02:08] H:\Program Files\Fichiers communs\<REP> ODBC
[18/12/2007|10:10] H:\Program Files\Fichiers communs\<REP> Portrait Displays
[26/09/2004|07:18] H:\Program Files\Fichiers communs\<REP> Services
[17/12/2005|09:29] H:\Program Files\Fichiers communs\<REP> snpstd2
[26/09/2004|02:08] H:\Program Files\Fichiers communs\<REP> SpeechEngines
[11/12/2006|07:51] H:\Program Files\Fichiers communs\<REP> Symantec Shared
[14/04/2006|04:41] H:\Program Files\Fichiers communs\<REP> System
[14/12/2004|04:40] H:\Program Files\Fichiers communs\<REP> Vbox
[02/05/2009|05:19] H:\Program Files\Fichiers communs\<REP> Windows Live
[17/03/2008|04:59] H:\Program Files\Fichiers communs\<REP> WindowsLiveInstaller

--------------------\\ Process

( 39 Processes )

... OK !

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE


--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-05 03:06:24
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Recherche d'autres infections

--------------------\\ ROGUES ..

H:\DOCUME~1\KARENC~1\APPLIC~1\DriveCleaner 2006 Free

--------------------\\ Cracks & Keygens ..

H:\DOCUME~1\KARENC~1\Bureau\MQ2-MMOPlugins-5-21-09\MQ2DoCrack.dll
H:\DOCUME~1\KARENC~1\Bureau\MQ2-MMOPlugins-5-21-09\UIFiles\MQUI_DoCrackWnd.xml
H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion
H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\file_id.diz
H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\Keygen.exe
H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\keygen.nfo
H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\NBR6603FRA.exe
H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\nero6603.exe
H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\orion.nfo


[F:3][D:3]-> H:\DOCUME~1\KARENC~1\LOCALS~1\Temp
[F:9][D:0]-> H:\DOCUME~1\KARENC~1\Cookies
[F:6][D:4]-> H:\DOCUME~1\KARENC~1\LOCALS~1\TEMPOR~1\content.IE5

1 - "H:\Lop SD\LopR_1.txt" - 05/12/2009| 2:47 - Option : [1]
2 - "H:\Lop SD\LopR_2.txt" - 05/12/2009| 3:07 - Option : [2]

--------------------\\ Fin du rapport a 3:07:28



Rapport #2

http://www.cijoint.fr/cjlink.php?file=cj200912/cijRDoPW5y.txt

Et voila :)
0
Réponse 6 / 26
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
5 déc. 2009 à 09:16
Re,

on continue .... dans l'ordre :


1- Télécharge Malwarebytes' :
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


=======================

2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

0
Keli
5 déc. 2009 à 09:40
Re
Ok voici le rapport de malwarebytes

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3299
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

05/12/2009 3:31:50 AM
mbam-log-2009-12-05 (03-31-50).txt

Type de recherche: Examen rapide
Eléments examinés: 130262
Temps écoulé: 8 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 4
Fichier(s) infecté(s): 29

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8fcdf9d9-a28b-480f-8c3d-581f119a8ab8} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{deceaaa2-370a-49bb-9362-68c3a58ddc62} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{386a771c-e96a-421f-8ba7-32f1b706892f} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{42f2c9ba-614f-47c0-b3e3-ecfd34eed658} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{30000273-8230-4dd4-be4f-6889d1e74167} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{511f9316-771b-4953-a268-1c36da667fe9} (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{efb22865-f3bc-4309-adfa-c8e078a7f762} (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d5792aa9-d373-4039-8670-2cdab6a71f15} (Trojan.Swizzor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d2a2595c-4fe4-4315-aa9b-19dbd6271b71} (Adware.PriceGong) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\Local Page (Hijack.SearchPage) -> Bad: (http://www.iesearch.com/) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
H:\Documents and Settings\Karen Castonguay\Application Data\DriveCleaner 2006 Free (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\DriveCleaner 2006 Free\Logs (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data (Adware.PriceGong) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
H:\Documents and Settings\Karen Castonguay\Application Data\DriveCleaner 2006 Free\Logs\update.log (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\1.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\a.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\b.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\c.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\d.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\e.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\f.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\g.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\h.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\i.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\J.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\k.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\l.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\m.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\mru.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\n.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\o.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\p.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\q.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\r.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\s.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\t.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\u.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\v.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\w.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\x.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\y.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\z.xml (Adware.PriceGong) -> Quarantined and deleted successfully.


Et le lien pour Zhp diag

http://www.cijoint.fr/cjlink.php?file=cj200912/cijb24dSVW.txt
0
Réponse 7 / 26
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
5 déc. 2009 à 10:19
bien ...


on avance ...



dans l'ordre :


1- Supprime tout ce qui se trouve dans la quarantaine de Malwarebytes.


=======================

2- Utilisation CCleaner:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

========================

3- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------------------------------------------------------------------

Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation.
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan --


Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .


Poste le rapport Combofix accompagné pour analyse ...

==================

4- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


0
keli
5 déc. 2009 à 10:52
ok voici

rapport combofix

ComboFix 09-12-04.02 - Karen Castonguay 05/12/2009 4:33.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.2.1036.18.1279.753 [GMT -5:00]
Running from: h:\documents and settings\Karen Castonguay\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 091205-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

h:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
h:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
h:\documents and settings\All Users\Application Data\Microsoft\WLSetup
h:\documents and settings\All Users\Application Data\Microsoft\WLSetup\Logs\2009-05-02_18-19_ebc-aaxy9h6p.log
h:\recycler\NPROTECT

----- BITS: Possible infected sites -----

hxxp://patch.everquest.com:7001
.
((((((((((((((((((((((((( Files Created from 2009-11-05 to 2009-12-05 )))))))))))))))))))))))))))))))
.

2009-12-05 08:19 . 2009-12-05 08:19 -------- d-----w- h:\documents and settings\Karen Castonguay\Application Data\Malwarebytes
2009-12-05 08:19 . 2009-12-03 21:14 38224 ----a-w- h:\windows\system32\drivers\mbamswissarmy.sys
2009-12-05 08:19 . 2009-12-05 08:19 -------- d-----w- h:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-05 08:19 . 2009-12-03 21:13 19160 ----a-w- h:\windows\system32\drivers\mbam.sys
2009-12-05 08:19 . 2009-12-05 08:31 -------- d-----w- h:\program files\Malwarebytes' Anti-Malware
2009-12-05 08:09 . 2009-12-05 08:09 -------- d-----w- h:\windows\system32\LogFiles
2009-12-05 07:40 . 2009-12-05 08:07 -------- d-----w- H:\Lop SD
2009-12-05 06:17 . 2009-09-23 12:55 64288 ----a-w- h:\windows\system32\drivers\Lbd.sys
2009-12-05 06:14 . 2009-12-05 06:15 -------- dc-h--w- h:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
2009-12-05 06:14 . 2009-10-03 08:15 2924848 -c--a-w- h:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe
2009-11-26 00:13 . 2009-11-26 00:13 152576 ----a-w- h:\documents and settings\Karen Castonguay\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-11-26 00:13 . 2009-11-26 00:13 79488 ----a-w- h:\documents and settings\Karen Castonguay\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-05 09:41 . 2008-07-11 23:00 43601952 --sha-w- h:\windows\system32\drivers\fidbox.dat
2009-12-05 08:32 . 2008-07-11 23:00 512456 --sha-w- h:\windows\system32\drivers\fidbox.idx
2009-12-05 06:14 . 2008-02-13 10:28 -------- d-----w- h:\documents and settings\All Users\Application Data\Lavasoft
2009-12-05 06:14 . 2004-09-27 01:44 -------- d-----w- h:\program files\Lavasoft
2009-12-05 05:44 . 2004-10-02 02:55 -------- d-----w- h:\program files\Spybot - Search & Destroy
2009-12-05 05:44 . 2004-10-02 02:55 -------- d-----w- h:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-04 05:28 . 2004-11-30 04:06 -------- d--h--w- h:\program files\InstallShield Installation Information
2009-12-04 00:49 . 2007-01-31 09:54 -------- d-----w- h:\program files\IrfanView
2009-11-29 04:54 . 2005-02-25 05:20 -------- d-----w- h:\documents and settings\Karen Castonguay\Application Data\Ventrilo
2009-11-29 04:20 . 2001-08-28 08:00 74172 ----a-w- h:\windows\system32\perfc00C.dat
2009-11-29 04:20 . 2001-08-28 08:00 465264 ----a-w- h:\windows\system32\perfh00C.dat
2009-11-26 00:14 . 2004-09-27 08:09 -------- d-----w- h:\program files\Java
2009-11-24 23:54 . 2006-12-09 11:28 1280480 ----a-w- h:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2006-12-09 11:28 93424 ----a-w- h:\windows\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2006-12-09 11:28 94160 ----a-w- h:\windows\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2008-04-05 06:44 114768 ----a-w- h:\windows\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2008-04-05 06:44 20560 ----a-w- h:\windows\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2006-12-09 11:28 48560 ----a-w- h:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2006-12-09 11:28 23120 ----a-w- h:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2006-12-09 11:28 27408 ----a-w- h:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2006-12-09 11:28 97480 ----a-w- h:\windows\system32\AVASTSS.scr
2009-11-13 22:00 . 2009-03-02 22:27 11520245 ----a-w- h:\windows\Internet Logs\tvDebug.zip
2009-10-11 09:17 . 2008-11-28 03:02 411368 ----a-w- h:\windows\system32\deploytk.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="h:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]
"swg"="h:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-20 68856]
"Rainlendar2"="h:\program files\Rainlendar2\Rainlendar2.exe" [2007-07-24 1298432]
"DWQueuedReporting"="h:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="h:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"QuickTime Task"="h:\program files\QuickTime\qttask.exe" [2005-12-05 155648]
"Adobe Reader Speed Launcher"="h:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"DT LGE"="h:\program files\Portrait Displays\forteManager\DTHtml.exe" [2007-06-12 291328]
"ZoneAlarm Client"="h:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
"SunJavaUpdateSched"="h:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="h:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=h:\windows\system32\MsgPlusLoader.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\H:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.exe.lnk]
path=h:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.exe.lnk
backup=h:\windows\pss\Adobe Gamma Loader.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"h:\\Program Files\\Java\\j2re1.4.2_05\\bin\\javaw.exe"=
"h:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"=
"h:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Stronghold2.exe"=
"h:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"h:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"h:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"h:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\EQ\\EQVoiceService.exe"=

R0 d347bus;d347bus;h:\windows\system32\drivers\d347bus.sys [14/05/2005 9:53 PM 155136]
R0 d347prt;d347prt;h:\windows\system32\drivers\d347prt.sys [14/05/2005 9:53 PM 5248]
R0 Lbd;Lbd;h:\windows\system32\drivers\Lbd.sys [05/12/2009 1:17 AM 64288]
R1 aswSP;avast! Self Protection;h:\windows\system32\drivers\aswSP.sys [05/04/2008 1:44 AM 114768]
R1 kbfilter;Keyboard Filter Driver;h:\windows\system32\drivers\kbfilter.sys [17/12/2005 9:43 PM 12544]
R2 aswFsBlk;aswFsBlk;h:\windows\system32\drivers\aswFsBlk.sys [05/04/2008 1:44 AM 20560]
R2 fssfltr;FssFltr;h:\windows\system32\drivers\fssfltr_tdi.sys [02/05/2009 5:56 PM 55152]
S2 IcRecUsb;IC Recorder Driver;h:\windows\system32\drivers\IcRecUsb.sys [29/11/2004 11:04 PM 17432]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;h:\program files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 6:17 AM 1184912]
S3 fsssvc;Windows Live Contrôle parental;h:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 5:08 PM 533360]
S4 irc.aol.com;Sysino;"h:\windows\System32\lsess.exe" -netsvcs --> h:\windows\System32\lsess.exe [?]
.
Contents of the 'Scheduled Tasks' folder

2009-12-05 h:\windows\Tasks\Ad-Aware Update (Weekly).job
- h:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 06:16]
.
.
------- Supplementary Scan -------
.
mStart Page = hxxp://www.yahoo.com/
mSearch Bar = hxxp://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Download all with Free Download Manager - file://h:\program files\Free Download Manager\dlall.htm
IE: Download selected with Free Download Manager - file://h:\program files\Free Download Manager\dlselected.htm
IE: Download web site with Free Download Manager - file://h:\program files\Free Download Manager\dlpage.htm
IE: Download with Free Download Manager - file://h:\program files\Free Download Manager\dllink.htm
IE: E&xporter vers Microsoft Excel - i:\groupe~1\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - h:\documents and settings\Karen Castonguay\Application Data\Mozilla\Firefox\Profiles\hdatpnr2.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Live Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.ca/
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - plugin: h:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: h:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: h:\program files\Windows Live\Photo Gallery\NPWLPG.dll
.
- - - - ORPHANS REMOVED - - - -

WebBrowser-{D0523BB4-21E7-11DD-9AB7-415B56D89593} - (no file)
HKU-Default-RunOnce-IETI - c:\phone\IEPlugin\unins000.exe
HKU-Default-RunOnce-Auto updat - SysDebug.exe
HKU-Default-RunOnce-Sysino - lsess.exe
AddRemove-Ad-Aware - h:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe REMOVE=TRUE MODIFY=FALSE
AddRemove-NVIDIA Display Driver - h:\windows\System32\nvudisp.exe Uninstall



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-05 04:40
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys >>UNKNOWN [0x894953C8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf764bfc3
\Driver\ACPI -> ACPI.sys @ 0xf74e7cb8
\Driver\atapi -> 0x894953c8
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x8059c876
ParseProcedure -> ntoskrnl.exe @ 0x8057016c
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x8059c876
ParseProcedure -> ntoskrnl.exe @ 0x8057016c
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(440)
h:\windows\system32\MsgPlusLoader.dll
h:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(496)
h:\windows\system32\MsgPlusLoader.dll
.
Completion time: 2009-12-05 04:44
ComboFix-quarantined-files.txt 2009-12-05 09:44

Pre-Run: 4,647,780,352 octets libres
Post-Run: 5,487,992,832 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
h:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

- - End Of File - - C532EA5D5276DCD75233920DB180BDD2






rapport Zhp diag
http://www.cijoint.fr/cjlink.php?file=cj200912/cij1eNtHwN.txt

Quand j'ai ouvert mon navigateur, ca ma demander si je voulais avoir mozilla firefox comme navigateur, j'ai répondu oui, et la je ne suis plus capable d'avoir de multiple bar qui s'ouvre quand je clique sur un nouveau lien.
0
keli > keli
5 déc. 2009 à 10:54
Oh et aussi quand je suis aller sur Cijoint pour faire le lien, la page a été redirigé
0
Réponse 8 / 26
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
5 déc. 2009 à 11:00
re,

et la je ne suis plus capable d'avoir de multiple bar qui s'ouvre quand je clique sur un nouveau lien.

j'ai pas tout saisi ! .... ^^ soit plus claire stp ...



fais la suite :


1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


Driver::
Sysino

NetSvc::
irc.aol.com


Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...


2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


Une fois le scan achevé, un rapport va s'afficher : poste le accompagné d' un nouveau pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

0
keli
5 déc. 2009 à 11:03
pour les pages webs, quand je navigais je pouvais avoir plusieurs pages ouvert juste en dessous de la bar d'adresse web, et je pouvais naviger d'une a l'autre, comme si javais plusieurs pages webs ouvertes, mais en fait j'en avais une seule.
Je sais pas si je suis plus clair :S
0
Réponse 9 / 26
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
5 déc. 2009 à 11:04
oki ... on réglera cela quand on aura mis FireFox à jour ...


pour le moment , fait la suite stp ....

0
keli
5 déc. 2009 à 11:26
OK c'est fait mais je suis vraiment pas sure que ca fonctionner, car il n'y a eu aucun message qui ma demander : Type 1 to continue or 2 to abort
et le fichier que tu ma demander de faire a disparu

Mais bon voici le log que ca donner

ComboFix 09-12-04.02 - Karen Castonguay 05/12/2009 5:12.2.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.2.1036.18.1279.826 [GMT -5:00]
Running from: h:\documents and settings\Karen Castonguay\Bureau\ComboFix.exe
Command switches used :: h:\documents and settings\Karen Castonguay\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 091205-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

((((((((((((((((((((((((( Files Created from 2009-11-05 to 2009-12-05 )))))))))))))))))))))))))))))))
.

2009-12-05 08:19 . 2009-12-05 08:19 -------- d-----w- h:\documents and settings\Karen Castonguay\Application Data\Malwarebytes
2009-12-05 08:19 . 2009-12-03 21:14 38224 ----a-w- h:\windows\system32\drivers\mbamswissarmy.sys
2009-12-05 08:19 . 2009-12-05 08:19 -------- d-----w- h:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-05 08:19 . 2009-12-03 21:13 19160 ----a-w- h:\windows\system32\drivers\mbam.sys
2009-12-05 08:19 . 2009-12-05 08:31 -------- d-----w- h:\program files\Malwarebytes' Anti-Malware
2009-12-05 08:09 . 2009-12-05 08:09 -------- d-----w- h:\windows\system32\LogFiles
2009-12-05 07:40 . 2009-12-05 08:07 -------- d-----w- H:\Lop SD
2009-12-05 06:17 . 2009-09-23 12:55 64288 ----a-w- h:\windows\system32\drivers\Lbd.sys
2009-12-05 06:14 . 2009-12-05 06:15 -------- dc-h--w- h:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
2009-12-05 06:14 . 2009-10-03 08:15 2924848 -c--a-w- h:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe
2009-11-26 00:13 . 2009-11-26 00:13 152576 ----a-w- h:\documents and settings\Karen Castonguay\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-11-26 00:13 . 2009-11-26 00:13 79488 ----a-w- h:\documents and settings\Karen Castonguay\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-05 10:19 . 2008-07-11 23:00 43730976 --sha-w- h:\windows\system32\drivers\fidbox.dat
2009-12-05 08:32 . 2008-07-11 23:00 512456 --sha-w- h:\windows\system32\drivers\fidbox.idx
2009-12-05 06:14 . 2008-02-13 10:28 -------- d-----w- h:\documents and settings\All Users\Application Data\Lavasoft
2009-12-05 06:14 . 2004-09-27 01:44 -------- d-----w- h:\program files\Lavasoft
2009-12-05 05:44 . 2004-10-02 02:55 -------- d-----w- h:\program files\Spybot - Search & Destroy
2009-12-05 05:44 . 2004-10-02 02:55 -------- d-----w- h:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-04 05:28 . 2004-11-30 04:06 -------- d--h--w- h:\program files\InstallShield Installation Information
2009-12-04 00:49 . 2007-01-31 09:54 -------- d-----w- h:\program files\IrfanView
2009-11-29 04:54 . 2005-02-25 05:20 -------- d-----w- h:\documents and settings\Karen Castonguay\Application Data\Ventrilo
2009-11-29 04:20 . 2001-08-28 08:00 74172 ----a-w- h:\windows\system32\perfc00C.dat
2009-11-29 04:20 . 2001-08-28 08:00 465264 ----a-w- h:\windows\system32\perfh00C.dat
2009-11-26 00:14 . 2004-09-27 08:09 -------- d-----w- h:\program files\Java
2009-11-24 23:54 . 2006-12-09 11:28 1280480 ----a-w- h:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2006-12-09 11:28 93424 ----a-w- h:\windows\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2006-12-09 11:28 94160 ----a-w- h:\windows\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2008-04-05 06:44 114768 ----a-w- h:\windows\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2008-04-05 06:44 20560 ----a-w- h:\windows\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2006-12-09 11:28 48560 ----a-w- h:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2006-12-09 11:28 23120 ----a-w- h:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2006-12-09 11:28 27408 ----a-w- h:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2006-12-09 11:28 97480 ----a-w- h:\windows\system32\AVASTSS.scr
2009-11-13 22:00 . 2009-03-02 22:27 11520245 ----a-w- h:\windows\Internet Logs\tvDebug.zip
2009-10-11 09:17 . 2008-11-28 03:02 411368 ----a-w- h:\windows\system32\deploytk.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="h:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]
"swg"="h:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-20 68856]
"Rainlendar2"="h:\program files\Rainlendar2\Rainlendar2.exe" [2007-07-24 1298432]
"DWQueuedReporting"="h:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="h:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"QuickTime Task"="h:\program files\QuickTime\qttask.exe" [2005-12-05 155648]
"Adobe Reader Speed Launcher"="h:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"DT LGE"="h:\program files\Portrait Displays\forteManager\DTHtml.exe" [2007-06-12 291328]
"ZoneAlarm Client"="h:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
"SunJavaUpdateSched"="h:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="h:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=h:\windows\system32\MsgPlusLoader.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\H:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.exe.lnk]
path=h:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.exe.lnk
backup=h:\windows\pss\Adobe Gamma Loader.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"h:\\Program Files\\Java\\j2re1.4.2_05\\bin\\javaw.exe"=
"h:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"=
"h:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Stronghold2.exe"=
"h:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"h:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"h:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"h:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\EQ\\EQVoiceService.exe"=

R0 d347bus;d347bus;h:\windows\system32\drivers\d347bus.sys [14/05/2005 9:53 PM 155136]
R0 d347prt;d347prt;h:\windows\system32\drivers\d347prt.sys [14/05/2005 9:53 PM 5248]
R0 Lbd;Lbd;h:\windows\system32\drivers\Lbd.sys [05/12/2009 1:17 AM 64288]
R1 aswSP;avast! Self Protection;h:\windows\system32\drivers\aswSP.sys [05/04/2008 1:44 AM 114768]
R1 kbfilter;Keyboard Filter Driver;h:\windows\system32\drivers\kbfilter.sys [17/12/2005 9:43 PM 12544]
R2 aswFsBlk;aswFsBlk;h:\windows\system32\drivers\aswFsBlk.sys [05/04/2008 1:44 AM 20560]
R2 fssfltr;FssFltr;h:\windows\system32\drivers\fssfltr_tdi.sys [02/05/2009 5:56 PM 55152]
S2 IcRecUsb;IC Recorder Driver;h:\windows\system32\drivers\IcRecUsb.sys [29/11/2004 11:04 PM 17432]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;h:\program files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 6:17 AM 1184912]
S3 fsssvc;Windows Live Contrôle parental;h:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 5:08 PM 533360]
S4 irc.aol.com;Sysino;"h:\windows\System32\lsess.exe" -netsvcs --> h:\windows\System32\lsess.exe [?]
.
Contents of the 'Scheduled Tasks' folder

2009-12-05 h:\windows\Tasks\Ad-Aware Update (Weekly).job
- h:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 06:16]
.
.
------- Supplementary Scan -------
.
mStart Page = hxxp://www.yahoo.com/
mSearch Bar = hxxp://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Download all with Free Download Manager - file://h:\program files\Free Download Manager\dlall.htm
IE: Download selected with Free Download Manager - file://h:\program files\Free Download Manager\dlselected.htm
IE: Download web site with Free Download Manager - file://h:\program files\Free Download Manager\dlpage.htm
IE: Download with Free Download Manager - file://h:\program files\Free Download Manager\dllink.htm
IE: E&xporter vers Microsoft Excel - i:\groupe~1\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - h:\documents and settings\Karen Castonguay\Application Data\Mozilla\Firefox\Profiles\hdatpnr2.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Live Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.ca/
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - plugin: h:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: h:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: h:\program files\Windows Live\Photo Gallery\NPWLPG.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-05 05:19
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys >>UNKNOWN [0x894953C8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf764bfc3
\Driver\ACPI -> ACPI.sys @ 0xf74e7cb8
\Driver\atapi -> 0x894953c8
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x8059c876
ParseProcedure -> ntoskrnl.exe @ 0x8057016c
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x8059c876
ParseProcedure -> ntoskrnl.exe @ 0x8057016c
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(440)
h:\windows\system32\MsgPlusLoader.dll
h:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(496)
h:\windows\system32\MsgPlusLoader.dll
.
Completion time: 2009-12-05 05:22
ComboFix-quarantined-files.txt 2009-12-05 10:22
ComboFix2.txt 2009-12-05 09:44

Pre-Run: 5,479,567,360 octets libres
Post-Run: 5,467,447,296 octets libres

- - End Of File - - 9C40F9B80B24D81BC76CDE9DCAA806CD
0
keli > keli
5 déc. 2009 à 11:27
Je dois quitter pour aller travailler, donc est ce que c'est possible d'arreter ici et continuer a mon retour ?
0
Réponse 10 / 26
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
5 déc. 2009 à 11:54
re,


Je dois quitter pour aller travailler, donc est ce que c'est possible d'arreter ici et continuer a mon retour ?

aucun prb .... ;)

On va recommencer la manipe car il y a eu un prb avec le script ...



la suite donc :

1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


File::
h:\windows\System32\lsess.exe

Driver::
irc.aol.com



Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...


2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer combofix .

> patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )



0
keli
5 déc. 2009 à 22:46
Bon je suis de retour du travail, et je viens d'essayer le nouveau fichier texte que tu as inscrit mais sa marche toujours pas, sa me demande si je veux executer combofix et il start comme la premiere fois que je l'ai démarrer comme un scan normal. Que dois je faire?
0
keli > keli
5 déc. 2009 à 23:44
Il y a t'il quelqu'un qui peut m'aider a terminer ce cleanage ? s'il vous plait ?
0
Réponse 11 / 26
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 déc. 2009 à 00:54
re,


Que dois je faire?

poste moi le rapport que tu obtiens .... merci ....



0
keli
6 déc. 2009 à 01:18
wow je suis contente de te voir :)

voici le log

ComboFix 09-12-04.02 - Karen Castonguay 05/12/2009 18:57.3.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.2.1036.18.1279.818 [GMT -5:00]
Running from: h:\documents and settings\Karen Castonguay\Bureau\ComboFix.exe
Command switches used :: h:\documents and settings\Karen Castonguay\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 091205-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

FILE ::
"h:\windows\System32\lsess.exe"
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_irc.aol.com


((((((((((((((((((((((((( Files Created from 2009-11-06 to 2009-12-06 )))))))))))))))))))))))))))))))
.

2009-12-05 08:19 . 2009-12-05 08:19 -------- d-----w- h:\documents and settings\Karen Castonguay\Application Data\Malwarebytes
2009-12-05 08:19 . 2009-12-03 21:14 38224 ----a-w- h:\windows\system32\drivers\mbamswissarmy.sys
2009-12-05 08:19 . 2009-12-05 08:19 -------- d-----w- h:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-05 08:19 . 2009-12-03 21:13 19160 ----a-w- h:\windows\system32\drivers\mbam.sys
2009-12-05 08:19 . 2009-12-05 08:31 -------- d-----w- h:\program files\Malwarebytes' Anti-Malware
2009-12-05 08:09 . 2009-12-05 08:09 -------- d-----w- h:\windows\system32\LogFiles
2009-12-05 07:40 . 2009-12-05 08:07 -------- d-----w- H:\Lop SD
2009-12-05 06:17 . 2009-09-23 12:55 64288 ----a-w- h:\windows\system32\drivers\Lbd.sys
2009-12-05 06:14 . 2009-12-05 06:15 -------- dc-h--w- h:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
2009-12-05 06:14 . 2009-10-03 08:15 2924848 -c--a-w- h:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe
2009-11-26 00:13 . 2009-11-26 00:13 152576 ----a-w- h:\documents and settings\Karen Castonguay\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-11-26 00:13 . 2009-11-26 00:13 79488 ----a-w- h:\documents and settings\Karen Castonguay\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-06 00:10 . 2008-07-11 23:00 44156960 --sha-w- h:\windows\system32\drivers\fidbox.dat
2009-12-06 00:06 . 2008-07-11 23:00 521528 --sha-w- h:\windows\system32\drivers\fidbox.idx
2009-12-05 06:14 . 2008-02-13 10:28 -------- d-----w- h:\documents and settings\All Users\Application Data\Lavasoft
2009-12-05 06:14 . 2004-09-27 01:44 -------- d-----w- h:\program files\Lavasoft
2009-12-05 05:44 . 2004-10-02 02:55 -------- d-----w- h:\program files\Spybot - Search & Destroy
2009-12-05 05:44 . 2004-10-02 02:55 -------- d-----w- h:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-04 05:28 . 2004-11-30 04:06 -------- d--h--w- h:\program files\InstallShield Installation Information
2009-12-04 00:49 . 2007-01-31 09:54 -------- d-----w- h:\program files\IrfanView
2009-11-29 04:54 . 2005-02-25 05:20 -------- d-----w- h:\documents and settings\Karen Castonguay\Application Data\Ventrilo
2009-11-29 04:20 . 2001-08-28 08:00 74172 ----a-w- h:\windows\system32\perfc00C.dat
2009-11-29 04:20 . 2001-08-28 08:00 465264 ----a-w- h:\windows\system32\perfh00C.dat
2009-11-26 00:14 . 2004-09-27 08:09 -------- d-----w- h:\program files\Java
2009-11-24 23:54 . 2006-12-09 11:28 1280480 ----a-w- h:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2006-12-09 11:28 93424 ----a-w- h:\windows\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2006-12-09 11:28 94160 ----a-w- h:\windows\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2008-04-05 06:44 114768 ----a-w- h:\windows\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2008-04-05 06:44 20560 ----a-w- h:\windows\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2006-12-09 11:28 48560 ----a-w- h:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2006-12-09 11:28 23120 ----a-w- h:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2006-12-09 11:28 27408 ----a-w- h:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2006-12-09 11:28 97480 ----a-w- h:\windows\system32\AVASTSS.scr
2009-11-13 22:00 . 2009-03-02 22:27 11520245 ----a-w- h:\windows\Internet Logs\tvDebug.zip
2009-10-11 09:17 . 2008-11-28 03:02 411368 ----a-w- h:\windows\system32\deploytk.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-12-05_09.40.58 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-12-06 00:07 . 2009-12-06 00:07 16384 h:\windows\Temp\Perflib_Perfdata_4d4.dat
+ 2009-12-06 00:07 . 2009-12-06 00:07 16384 h:\windows\Temp\Perflib_Perfdata_2c4.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="h:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]
"swg"="h:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-20 68856]
"Rainlendar2"="h:\program files\Rainlendar2\Rainlendar2.exe" [2007-07-24 1298432]
"DWQueuedReporting"="h:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="h:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"QuickTime Task"="h:\program files\QuickTime\qttask.exe" [2005-12-05 155648]
"Adobe Reader Speed Launcher"="h:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"DT LGE"="h:\program files\Portrait Displays\forteManager\DTHtml.exe" [2007-06-12 291328]
"ZoneAlarm Client"="h:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
"SunJavaUpdateSched"="h:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="h:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=h:\windows\system32\MsgPlusLoader.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\H:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.exe.lnk]
path=h:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.exe.lnk
backup=h:\windows\pss\Adobe Gamma Loader.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"h:\\Program Files\\Java\\j2re1.4.2_05\\bin\\javaw.exe"=
"h:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"=
"h:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Stronghold2.exe"=
"h:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"h:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"h:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"h:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\EQ\\EQVoiceService.exe"=

R0 d347bus;d347bus;h:\windows\system32\drivers\d347bus.sys [14/05/2005 9:53 PM 155136]
R0 d347prt;d347prt;h:\windows\system32\drivers\d347prt.sys [14/05/2005 9:53 PM 5248]
R0 Lbd;Lbd;h:\windows\system32\drivers\Lbd.sys [05/12/2009 1:17 AM 64288]
R1 aswSP;avast! Self Protection;h:\windows\system32\drivers\aswSP.sys [05/04/2008 1:44 AM 114768]
R1 kbfilter;Keyboard Filter Driver;h:\windows\system32\drivers\kbfilter.sys [17/12/2005 9:43 PM 12544]
R2 aswFsBlk;aswFsBlk;h:\windows\system32\drivers\aswFsBlk.sys [05/04/2008 1:44 AM 20560]
R2 fssfltr;FssFltr;h:\windows\system32\drivers\fssfltr_tdi.sys [02/05/2009 5:56 PM 55152]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;h:\program files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 6:17 AM 1184912]
S2 IcRecUsb;IC Recorder Driver;h:\windows\system32\drivers\IcRecUsb.sys [29/11/2004 11:04 PM 17432]
S3 fsssvc;Windows Live Contrôle parental;h:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 5:08 PM 533360]
.
Contents of the 'Scheduled Tasks' folder

2009-12-06 h:\windows\Tasks\Ad-Aware Update (Weekly).job
- h:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 06:16]
.
.
------- Supplementary Scan -------
.
mStart Page = hxxp://www.yahoo.com/
mSearch Bar = hxxp://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Download all with Free Download Manager - file://h:\program files\Free Download Manager\dlall.htm
IE: Download selected with Free Download Manager - file://h:\program files\Free Download Manager\dlselected.htm
IE: Download web site with Free Download Manager - file://h:\program files\Free Download Manager\dlpage.htm
IE: Download with Free Download Manager - file://h:\program files\Free Download Manager\dllink.htm
IE: E&xporter vers Microsoft Excel - i:\groupe~1\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - h:\documents and settings\Karen Castonguay\Application Data\Mozilla\Firefox\Profiles\hdatpnr2.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Live Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.ca/
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - plugin: h:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: h:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: h:\program files\Windows Live\Photo Gallery\NPWLPG.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-05 19:08
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x894D0DC8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf763bfc3
\Driver\ACPI -> ACPI.sys @ 0xf7587cb8
\Driver\atapi -> 0x894d0dc8
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x8059c876
ParseProcedure -> ntoskrnl.exe @ 0x8057016c
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x8059c876
ParseProcedure -> ntoskrnl.exe @ 0x8057016c
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(440)
h:\windows\system32\Ati2evxx.dll
.
------------------------ Other Running Processes ------------------------
.
h:\windows\system32\Ati2evxx.exe
h:\windows\system32\Ati2evxx.exe
h:\program files\Alwil Software\Avast4\aswUpdSv.exe
h:\program files\Alwil Software\Avast4\ashServ.exe
h:\program files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
h:\program files\Java\jre6\bin\jqs.exe
h:\program files\Fichiers communs\Portrait Displays\Shared\HookManager.exe
h:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
h:\windows\system32\devldr32.exe
h:\windows\system32\wdfmgr.exe
h:\progra~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
h:\program files\Alwil Software\Avast4\ashMaiSv.exe
h:\windows\System32\wbem\unsecapp.exe
h:\program files\Alwil Software\Avast4\ashWebSv.exe
h:\windows\System32\wbem\wmiapsrv.exe
h:\program files\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Completion time: 2009-12-05 19:16 - machine was rebooted
ComboFix-quarantined-files.txt 2009-12-06 00:16
ComboFix2.txt 2009-12-05 10:22
ComboFix3.txt 2009-12-05 09:44

Pre-Run: 5,427,490,816 octets libres
Post-Run: 5,297,770,496 octets libres

- - End Of File - - A844F99CBA815E88EACFF26289DFFDB5
0
Réponse 12 / 26
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 déc. 2009 à 09:08
re,


Wow je suis contente de te voir :)

> sache que je n'ai encore jamais laissé tombé quelqu'un en cours de désinfection ... Si je ne répond pas de suite , c'est que j'ai une vie privé aussi ! ...


bref, on avance ... dis moi commnet va le PC , du mieux ?


puis fais ceci dans l'ordre :


1- Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe

!! ferme tes applications en cours !!


* double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ...


Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport uniquement ! Ne suis pas les éventuelles consignes qu'il mentionne pour le moment ...

=========================

2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/

! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

• Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

• Au menu principal choisis l'option "S" et tape sur [entrée] .

• le scan démarre , laisse travailler l'outil et ne touche à rien ...

/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
Aides en images (Recherche) : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html




0
keli
7 déc. 2009 à 00:45
Salut je voulais m'excuser je n'es pas dit que j'étais contente de te voir car je pensais que tu m'avais laisser tomber et je sais très bien que vous faites ce travail bénévolement et j'en suis très reconnaissante. Donc si je t'ai blesser j'en suis désoler

Voici les 2 analyses que tu m'as demander de faire, et oui mon ordi commence a prendre du mieux et moi aussi par la même occassion :)

Rapport GenProc 2.657 [1] - 06/12/2009 à 18:19:51
@ Windows XP Service Pack 2 - Mode normal
@ Mozilla Firefox 3.0.15 (fr) [Navigateur par défaut]

~~ ECHEC DU TELECHARGEMENT DE CM ~~
~~ ECHEC DU TELECHARGEMENT DE MBR.EXE ~~
~~ ECHEC DU TELECHARGEMENT D'HIJACKTHIS ~~
~~ ECHEC DU TELECHARGEMENT DE ZHP ~~

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :


Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
C:\Program Files\EsetOnlineScanner\log.txt



----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 18:21:57 ~~


.
======= LOGFILE OF AD-REMOVER 1.1.4.6_E | ONLY XP/VISTA/7 =======
.
Updated by C_XX on 06.12.2009 at 17:18
Contact: AdRemover.contact@gmail.com
Website: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Launch at: 18:23:42, 06/12/2009 | Normal Boot | Option: SCAN
Executed from: H:\Program Files\Ad-Remover\
Operating system: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
Computer Name: KAREN | Current user: Karen Castonguay
.
============== FOUND ELEMENT(S) ==============
.

.
HKLM\software\Trymedia Systems
.
============== Added scan ==============
.
.
* Mozilla FireFox Version 3.0.15 [fr] *
.
ProfilePath: hdatpnr2.default (Karen Castonguay)
.
(KARENC~1, prefs.js) Browser.download.lastDir, H:\Documents and Settings\Karen Castonguay\Bureau\msn plus
(KARENC~1, prefs.js) Browser.search.defaultenginename, Live Search
(KARENC~1, prefs.js) Browser.search.defaulturl, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
(KARENC~1, prefs.js) Browser.search.selectedEngine, Live Search
(KARENC~1, prefs.js) Browser.startup.homepage, hxxp://www.google.ca/
.
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Show_ToolBar: yes
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Use Search Asst:
Use Custom Search URL: 1 (0x1)
Enable Browser Extensions: yes
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://www.yahoo.com/
Search Bar: hxxp://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*hxxp://www.yahoo.com/ext/search/search.html
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Error: Value: "Tabs" does not exist!
.
============== Suspect (Cracks, Serials, ...) ==============
.
H:\Documents and Settings\Karen Castonguay\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\Keygen.exe
H:\Documents and Settings\Karen Castonguay\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\keygen.nfo
H:\Documents and Settings\Karen Castonguay\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\NBR6603FRA.exe
H:\Documents and Settings\Karen Castonguay\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\nero6603.exe
H:\Documents and Settings\Karen Castonguay\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\orion.nfo
H:\Documents and Settings\Karen Castonguay\Mes documents\Stronghold 2\patch.exe
.
===================================
.
2914 Byte(s) - H:\Ad-Report-SCAN[1].log
.
1 File(s) - H:\DOCUME~1\KARENC~1\LOCALS~1\Temp
3 File(s) - H:\WINDOWS\Temp
.
2 File(s) - H:\Program Files\Ad-Remover\BACKUP
0 File(s) - H:\Program Files\Ad-Remover\QUARANTINE
.
End at: 18:32:20 | 06/12/2009 - SCAN[1]
.
============== E.O.F ==============
.
0
Réponse 13 / 26
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
7 déc. 2009 à 16:44
Hello,

Donc si je t'ai blesser j'en suis désoler

pas du tout ... ;)



la suite :

1- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !


• Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

• Au menu principal choisis cette fois l'option "L" et tape sur [entrée] .

• Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )


--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log)
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

===================

2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

0
keli
7 déc. 2009 à 18:19
Salut :)
Voici les rapports, on ai rendu a quel stade de la désinfection ? (environ)

.
======= LOGFILE OF AD-REMOVER 1.1.4.6_E | ONLY XP/VISTA/7 =======
.
Updated by C_XX on 06.12.2009 at 17:18
Contact: AdRemover.contact@gmail.com
Website: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Launch at: 12:03:25, 07/12/2009 | Normal Boot | Option: CLEAN
Executed from: H:\Program Files\Ad-Remover\
Operating system: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
Computer Name: KAREN | Current user: Karen Castonguay
.
============== NEUTRALIZED ELEMENT(S) ==============
.


(!) -- Temp files deleted.

.
HKLM\software\Trymedia Systems
.
============== Added scan ==============
.
.
* Mozilla FireFox Version 3.0.15 [fr] *
.
ProfilePath: hdatpnr2.default (Karen Castonguay)
.
(KARENC~1, prefs.js) Browser.download.lastDir, H:\Documents and Settings\Karen Castonguay\Bureau\msn plus
(KARENC~1, prefs.js) Browser.search.defaultenginename, Live Search
(KARENC~1, prefs.js) Browser.search.defaulturl, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
(KARENC~1, prefs.js) Browser.search.selectedEngine, Live Search
(KARENC~1, prefs.js) Browser.startup.homepage, hxxp://www.google.ca/
.
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst:
Use Custom Search URL: 1 (0x1)
Enable Browser Extensions: yes
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
H:\Documents and Settings\Karen Castonguay\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\Keygen.exe
H:\Documents and Settings\Karen Castonguay\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\keygen.nfo
H:\Documents and Settings\Karen Castonguay\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\NBR6603FRA.exe
H:\Documents and Settings\Karen Castonguay\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\nero6603.exe
H:\Documents and Settings\Karen Castonguay\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\orion.nfo
H:\Documents and Settings\Karen Castonguay\Mes documents\Stronghold 2\patch.exe
.
===================================
.
3064 Byte(s) - H:\Ad-Report-CLEAN[1].log
3229 Byte(s) - H:\Ad-Report-SCAN[1].log
.
0 File(s) - H:\DOCUME~1\KARENC~1\LOCALS~1\Temp
3 File(s) - H:\WINDOWS\Temp
.
19 File(s) - H:\Program Files\Ad-Remover\BACKUP
0 File(s) - H:\Program Files\Ad-Remover\QUARANTINE
.
End at: 12:12:18 | 07/12/2009 - CLEAN[1]
.
============== E.O.F ==============
.


Rapport Zhp

http://www.cijoint.fr/cjlink.php?file=cj200912/cijfUZAqJ1.txt
0
Réponse 14 / 26
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
7 déc. 2009 à 18:39
oki ...

on ai rendu a quel stade de la désinfection ?

on a bien avancé ... ;)
encore une petite vérife et on finalise ....



la suite dans l'ordre :


( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! ferme tes autres applications en cours !!


A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

Là tu décoches la case devant ZHPDiag !


> Enfin clique en bas sur "Nettoyer" .


laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

Copie/colle le contenu de ce rapport pour analyse ...



B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ).

Au message de confirmation , clique sur "Ok" .


Puis ferme ZHPFix ...


======================================

2- Refais un coup de CCleaner ( registre compris ) .


======================================

3- Télécharge et installe le logiciel HijackThis :

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

======================================

4- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )


Fais un scan antivirus en ligne, avec INTERNET EXPLORER et accepter l'ActiveX :

https://www.bitdefender.fr/

* Aide :
- En bas, dans l'encadré "Analyse en ligne gratuite" , clique sur "analyser" .
- Dans la nouvelle fenêtre, clique sur "j’accepte" .
> il te sera proposer d'installer un module complémentaire (contrôle ActiveX) pour pouvoir faire le scan > accepte !
- Puis patiente le temps du chargement .
- La fenêtre change encore, clique sur "démarrer l'analyse" .
- Les signatures se chargent, etc ... et le scan démarre ...

Laisse travailler sans utiliser le PC .

* pour le rapport : clique sur l'onglet "plus de détailles" . A la fin du scan, clique sur " problème détectés " .
-> juste au dessus à droite de la fenêtre des résultats , tu as " cliquer ici pour exporter le rapport " .
-> Clique dessus donc, et choisis d'enregistrer le rapport sur ton bureau .


--> Ouvre le document html que tu viens de sauvegarder ( le rapport ),
fais un copier/coller de tout son contenu et poste le dans ta prochaine réponse ...


Rappel : le scan en ligne ne fonctionne que sous Internet Exploreur ! ( et pas sur FireFox ou autres navigateurs )

Tutoriel en images ici :
http://perso.orange.fr/rginformatique/section%20virus/defender.htm (merci à Balltrap34 pour cette réalisation)
Et ici : https://www.commentcamarche.net/faq/8872-scanner-en-ligne-avec-bitdefender




0
keli
7 déc. 2009 à 18:52
Voici le zhpfix les autres analyses vont suivre dans quelques minutes

ZHPFix v1.12.22 by Nicolas Coolman - Rapport de suppression du 07/12/2009 12:45:06 PM
Fichier d'export Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
H:\Qoobox => Supprimé et mis en quarantaine
H:\Genproc => Supprimé et mis en quarantaine
H:\Lop SD => Supprimé et mis en quarantaine

Fichier :
h:\documents and settings\karen castonguay\bureau\ad-r.exe => Supprimé et mis en quarantaine
h:\combofix.txt => Supprimé et mis en quarantaine
h:\documents and settings\karen castonguay\bureau\rapport - genproc[1].url => Supprimé et mis en quarantaine
h:\documents and settings\karen castonguay\bureau\raccourci - genproc.lnk => Supprimé et mis en quarantaine
h:\lopr.txt => Supprimé et mis en quarantaine

Logiciel :
O63 - Logiciel: HijackThis 2.0.2 => Logiciel supprimé avec succès
O63 - Logiciel: AD-Remover => Logiciel supprimé avec succès
O63 - Logiciel: ComboFix => Logiciel supprimé avec succès
O63 - Logiciel: GenProc => Logiciel supprimé avec succès
O63 - Logiciel: Lop SD => Logiciel supprimé avec succès

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 3
Fichier : 5
Logiciel : 5
Autre : 0


End of the scan


Je suis rendu a télécharger hijackthis
0
keli > keli
7 déc. 2009 à 20:00
Bon j'ai fait toute les étapes jusqu'a bitdefender et la jai eu des problemes je ne pouvais pas voir les icones sur le scan donc jai pas pu faire sortir le rapport. La je dois quitter pour aller travailler. Il y avait des fichiers encore infecter je crois donc aussitot que je reviens de travailler a minuit (heure du canada) je vais refaire le bitdefender a moins que tu me dises de ne pas le faire.

J'aimerais aussi que tu m'explique un peu ce que nous avons fait et ce qui ma infecter sur mon ordi. J'ai vraiment fait tout ce que tu ma dit mais je suis pas sure d'avoir suivi sur toute les étapes :) Merci d'avance
0
Réponse 15 / 26
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
7 déc. 2009 à 20:25
re,

donc jai pas pu faire sortir le rapport

> tu n'aurais pas un fichier nommé Bitdefender.html sur ton bureau par hzard ? ( c'est la page xeb de ton rapport ) ?


Il y avait des fichiers encore infecter je crois donc aussitot que je reviens de travailler a minuit (heure du canada) je vais refaire le bitdefender a moins que tu me dises de ne pas le faire.

> As tu bien purgé la restauration systeme avant comme demandé ? ...


refais le scan et poste le rapport obtenu si possible ...
0
keli
8 déc. 2009 à 06:29
Salut bon je viens d'essayer de refaire le scan, je n'arrive toujours pas a avoir un rapport car je ne peux pas cliquer sur le lien qui est supposer etre la pour faire le rapport puisque que je ne le voit pas, il y a les boutons mais aucune écriture dessus et je ne peux pas copier coller. C'est quoi je dois faire ?
Et j'ai fait toute les étapes que tu m'as dit de faire meme le restaure.
0
Réponse 16 / 26
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
8 déc. 2009 à 10:16
Bonjour,

ske69, pourrais tu lui faire faire ceci :

Télécharge OTL sur ton Bureau.

Ferme toutes tes fenêtres actives.

Double clique sur l'icône pour le lancer.

Copie colle ces instructions dans "Custom Scan" : 

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
iaStor.sys
atapi.sys
/md5stop
CREATERESTOREPOINT



Clique sur le bouton "Quick Scan".

Ne change pas les réglages par défaut, sauf si l'outil te le demande.

Le scan devrait être rapide.

A la fin du scan, le bloc-notes s'ouvrira, et les fichiers OTL.Txt et Extras.Txt seront sauvegardés sur ton Bureau.

Transmet les dans des liens Cijoint.


(clique sur Cijoint

Clique sur Parcourir et cherche ton Bureau (en général dans C:\Documents and settings\nom_de_te_session).

Sélectionne le fichier OTL.Txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse. )

Fais de même pour Extras.txt

0
Réponse 17 / 26
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
8 déc. 2009 à 19:59
salut keli, salut Lyonnais92, =)



keli,

fais ce que demande Lyonnais92 ici stp ...


0
keli
9 déc. 2009 à 05:31
Salut a vous deux. Voila les 2 fichiers que vous avez demander. Est ce que c'est possible de m'expliquer un peu ce qui ce passe s'il vous plait car la je suis perdu :)

OTL.txt

http://www.cijoint.fr/cjlink.php?file=cj200912/cijn7XoGoj.txt

Extras.txt

http://www.cijoint.fr/cjlink.php?file=cj200912/cij8fhixgl.txt

Merci
0
Réponse 18 / 26
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
11 déc. 2009 à 19:11
Salut,


le scan mbr est clean .... je pense que l'on peut passer à la suite ...



fais cet autre scan en ligne histoire d'être sûr du coup et on finalisera ensuite :


Fais un scan en ligne avec " Panda " :

https://www.pandasecurity.com/?ref=www.pandasoftware.com/products/activescan

tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId237368


poste moi le rapport obtenu pour analyse ...


0
keli
12 déc. 2009 à 00:24
Bon sa été long mais sa donner des résultats, les voici

;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-12-11 18:20:42
PROTECTIONS: 1
MALWARE: 6
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
avast! antivirus 4.8.1368 [VPS 091211-0] 4.8.1368 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00029560 spyware/betterinet Spyware No 1 Yes No hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{36a59337-6eef-40ae-94b1-ed443a0c4740}
00047863 adware/ieplugin Adware No 0 Yes No hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{886dde35-e585-11d0-a707-000000521958}
00122030 adware/fastvideoplayer Adware No 0 Yes No hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{b5dd9a64-5c4b-4a48-be56-97c1a8f85708}
00137090 adware/looksmart Adware No 0 Yes No hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{cc8c8f4f-f2e8-404b-a43d-5cc57876a008}
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No h:\documents and settings\karen castonguay\cookies\karen castonguay@atdmt[2].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No h:\documents and settings\karen castonguay\cookies\karen castonguay@smartadserver[1].txt
;===================================================================================================================================================================================
SUSPECTS
Sent Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================================================
215048 HIGH MS09-065
214076 HIGH MS09-059
971486 HIGH MS09-058
214074 HIGH MS09-057
214073 HIGH MS09-056
214072 HIGH MS09-055
214071 HIGH MS09-054
213109 HIGH MS09-046
212494 HIGH MS09-042
212493 HIGH MS09-041
212490 HIGH MS09-038
212530 HIGH MS09-034
211784 HIGH MS09-032
211781 HIGH MS09-029
210625 HIGH MS09-026
210624 HIGH MS09-025
210621 HIGH MS09-022
210618 HIGH MS09-019
208380 HIGH MS09-015
208379 HIGH MS09-014
208378 HIGH MS09-013
208377 HIGH MS09-012
206981 HIGH MS09-007
206980 HIGH MS09-006
204670 HIGH MS09-001
203806 HIGH MS08-078
203508 HIGH MS08-073
203505 HIGH MS08-071
202465 HIGH MS08-068
201683 HIGH MS08-067
201258 HIGH MS08-066
201256 HIGH MS08-064
201255 HIGH MS08-063
201253 HIGH MS08-061
201250 HIGH MS08-058
209275 HIGH MS08-049
209273 HIGH MS08-045
196455 MEDIUM MS08-037
194862 HIGH MS08-032
194861 HIGH MS08-031
194860 HIGH MS08-030
191618 HIGH MS08-025
191617 HIGH MS08-024
191616 HIGH MS08-023
191614 HIGH MS08-021
191613 HIGH MS08-020
187735 HIGH MS08-010
187733 HIGH MS08-008
184380 MEDIUM MS08-002
184379 MEDIUM MS08-001
182048 HIGH MS07-069
182046 HIGH MS07-067
179553 HIGH MS07-061
176383 HIGH MS07-058
176382 HIGH MS07-057
170911 HIGH MS07-050
170907 HIGH MS07-046
170906 HIGH MS07-045
170904 HIGH MS07-043
164915 HIGH MS07-035
164913 HIGH MS07-033
164911 HIGH MS07-031
160623 HIGH MS07-027
157262 HIGH MS07-022
157261 HIGH MS07-021
157260 HIGH MS07-020
157259 HIGH MS07-019
156477 HIGH MS07-017
150253 HIGH MS07-016
150249 HIGH MS07-013
150248 HIGH MS07-012
150247 HIGH MS07-011
150243 HIGH MS07-008
150242 HIGH MS07-007
150241 MEDIUM MS07-006
141033 MEDIUM MS06-075
141030 HIGH MS06-072
;===================================================================================================================================================================================

Merci d'avance pour ta prochaine réponse :)
0
Réponse 19 / 26
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
12 déc. 2009 à 08:47
hello,


encore un peut de nettoyage ...


fais ceci :


Télécharge OTM (de Old_Timer) sur ton Bureau.

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

* Double clique sur "OTM.exe" pour ouvrir le prg .

* Ensuite rends toi sur cette page > https://www.cjoint.com/?mmiU7QNmGO

* Puis copie tout le texte qui s' y trouve et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

! Déconnecte toi et ferme toutes tes applications en cours ( navigateur compris ) !

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).



0
keli
13 déc. 2009 à 05:57
Salut et voila c'est fait

All processes killed
========== REGISTRY ==========
Registry key hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{36a59337-6eef-40ae-94b1-ed443a0c4740}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36a59337-6eef-40ae-94b1-ed443a0c4740}\ not found.
Registry key hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{886dde35-e585-11d0-a707-000000521958}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{886dde35-e585-11d0-a707-000000521958}\ not found.
Registry key hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{b5dd9a64-5c4b-4a48-be56-97c1a8f85708}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b5dd9a64-5c4b-4a48-be56-97c1a8f85708}\ not found.
Registry key hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{cc8c8f4f-f2e8-404b-a43d-5cc57876a008}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cc8c8f4f-f2e8-404b-a43d-5cc57876a008}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: All Users

User: Application Data

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: directx9.0

User: Karen Castonguay
->Temp folder emptied: 81102571 bytes
->Temporary Internet Files folder emptied: 4134894 bytes
->Java cache emptied: 13689536 bytes
->FireFox cache emptied: 112401308 bytes

User: keli
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 2859591 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1100105 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 54969 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 42866 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 205.44 mb


OTM by OldTimer - Version 3.1.2.2 log created on 12122009_235118

Files moved on Reboot...
H:\WINDOWS\temp\_av_proI.tm~a03368\setup.lok moved successfully.
File move failed. H:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
File H:\WINDOWS\temp\Perflib_Perfdata_4d8.dat not found!
File H:\WINDOWS\temp\ZLT021ee.TMP not found!
File H:\WINDOWS\temp\ZLT021f2.TMP not found!

Registry entries deleted on Reboot...
0
Réponse 20 / 26
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
13 déc. 2009 à 09:05
Hello,


tu peux recommencer la manipe de OTM avec ce sript stp :

> https://www.cjoint.com/?mnje6nbPmL


poste moi le nouveau rapport obtenu ....

0
keli
13 déc. 2009 à 09:22
Salut
Il n'y a rien dans le document cijoint
0

Discussions similaires

L'antivirus ESET NOD32 bloque UPTOBOX ( HTML/ScrInject.B ).
Logan -
Snoopyx -

10 réponses
Présence ou non de cheval de troie ?
hunter55 -
Malekal_morte- -

14 réponses
windows defender cheval de troie
dplonguet -
Faarid.31 -

3 réponses
Cheval de Troie et ordi bloqué!!!
Bouillouck -
Speed-Air -

3 réponses
Problème de réception a cause du vent
Steven -
Andy31200 -

2 réponses