Redirection google et autres.

Question

Bonjour,

Alors voilà, tout semble avoir commencé lorsque j'ai eu des redirections google, cela semblait aller vers un site de recherche bidon mais je ne me suis pas amusé à laisser la page s'afficher entièrement, ce problème ne semblant se déclencher que lorsque j'effectuais des recherches depuis le site même et non en utilisant le navigateur pas défaut d'IE. Ce dernier a parfois tendance à "gonfler" jusqu'à utiliser parfois 200 Mo avec au plus quatre onglets (à part fermer le navigateur, rien ne réduisait sa taille) et des jeux (même vieux) qui ont tendance à ramer.

J'ai également reçu la visite d'un site apparament connu, 213.174.149.70 après ce genre de recherches. Hier (tard, pour ça que je ne poste que maintenant), on dirait qu'il a appelé du renfort : 68.169.70.240 et 68.169.70.241 (lorsque je regarde les "noms des pages" dans l'historique je peux lire "502 Bad Gateway" même si ça ne me rassure pas plus que ça).

Je vous envoie donc un log hijackthis que j'ai fait juste avant d'écrire ce message (il m'a d'ailleurs affiché ceci : http://img29.xooimage.com/files/0/1/d/sans-titre-16aa8d6.jpg même si je ne sais pas si c'est utile, mieux vaut trop que pas assez). Merci d'avance pour votre aide.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:38:09, on 21/12/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Electronic Arts\EADM\Core.exe
C:\Program Files\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\G DATA InternetSecurity\AVK\AVKService.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\Program Files\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\program files\g data internetsecurity\avkkid\avkcks.exe,
O1 - Hosts: ::1 localhost
O1 - Hosts: 91.206.201.8 osadwarekill.microsoft.com
O1 - Hosts: 91.206.201.8 osadwarekill.com
O1 - Hosts: 91.206.201.8 www.osadwarekill.com
O2 - BHO: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G DATA InternetSecurity\Webfilter\AvkWebIE.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G DATA InternetSecurity\Webfilter\AvkWebIE.dll
O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] "C:\Program Files\Neuf\Kit\WiFi\9wifi.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_5_3_0.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Program Files\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: Gardien d'AVK (AVKWCtl) - G DATA Software AG - C:\Program Files\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Pare-feu personnel G DATA (GDFwSvc) - G DATA Software AG - C:\Program Files\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

gen-hackman · Answer

salut :


&#9654 télécharge LOP S&D sur ton Bureau.

&#9654 Double-clique dessus pour lancer l'installation
&#9654 Puis double-clique sur le raccourci Lop S&D présent sur ton Bureau
&#9654 Séléctionne la langue souhaitée , puis choisis l'option 1 (Recherche)
&#9654 Patiente jusqu'à la fin du scan

&#9654 Poste le rapport généré (C:\lopR.txt)

inforPagicien · Answer

Merci pour cette réponse des plus rapides! Alors, le rapport, ça donne :

   --------------------\  Lop S&D 4.2.5-0   XP/Vista

   Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Multiprocessor Free : AMD Athlon(tm) Dual Core Processor 4850e )
   BIOS : Award Modular BIOS v6.00PG
   USER : yoann ( Administrator )
   BOOT : Normal boot
   Antivirus : G DATA AntiVirusKit 2007 16.0 (Activated)
   Firewall  : Pare-feu personnel G DATA 1.0 (Not Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:48 Go (Free:29 Go)
   D:\ (Local Disk) - NTFS - Total:141 Go (Free:99 Go)
   E:\ (CD or DVD)
   F:\ (CD or DVD)

   "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
   Option : [1] ( 21/12/2009|13:27 )
 
   --------------------\  Listing des dossiers dans APPLIC~1

   [22/08/2009|18:07] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft

   [18/05/2009|17:21] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
   [25/12/2008|18:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ATI
   [07/03/2009|12:02] C:\DOCUME~1\ALLUSE~1\APPLIC~1\DAEMON Tools Lite
   [28/11/2009|18:56] C:\DOCUME~1\ALLUSE~1\APPLIC~1\f18354c
   [22/12/2008|23:41] C:\DOCUME~1\ALLUSE~1\APPLIC~1\G DATA
   [11/12/2009|17:26] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ma-config.com
   [12/03/2009|19:05] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
   [16/09/2009|20:47] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
   [04/08/2009|18:53] C:\DOCUME~1\ALLUSE~1\APPLIC~1\QuickTime
   [22/12/2008|21:30] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage

   [22/12/2008|19:05] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

   [22/12/2008|19:05] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

   [22/12/2008|19:05] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

   [18/05/2009|17:20] C:\DOCUME~1\yoann\APPLIC~1\Adobe
   [26/12/2008|18:41] C:\DOCUME~1\yoann\APPLIC~1\AdobeUM
   [22/12/2008|20:38] C:\DOCUME~1\yoann\APPLIC~1\ATI
   [18/05/2009|17:22] C:\DOCUME~1\yoann\APPLIC~1\com.doubleperfect.ggpo.0753AD3679DBFCA1E7F470171B7D0DB8B404A7EA.1
   [07/03/2009|12:03] C:\DOCUME~1\yoann\APPLIC~1\DAEMON Tools
   [07/03/2009|11:56] C:\DOCUME~1\yoann\APPLIC~1\DAEMON Tools Lite
   [07/03/2009|12:03] C:\DOCUME~1\yoann\APPLIC~1\DAEMON Tools Pro
   [01/03/2009|19:57] C:\DOCUME~1\yoann\APPLIC~1\DataCast
   [30/04/2009|20:10] C:\DOCUME~1\yoann\APPLIC~1\FileZilla
   [13/11/2009|15:33] C:\DOCUME~1\yoann\APPLIC~1\GetRightToGo
   [08/12/2009|23:04] C:\DOCUME~1\yoann\APPLIC~1\Hamachi
   [28/08/2009|10:22] C:\DOCUME~1\yoann\APPLIC~1\Help
   [22/12/2008|19:09] C:\DOCUME~1\yoann\APPLIC~1\Identities
   [22/12/2008|19:36] C:\DOCUME~1\yoann\APPLIC~1\InstallShield
   [25/12/2008|12:13] C:\DOCUME~1\yoann\APPLIC~1\Leadertech
   [22/12/2008|23:03] C:\DOCUME~1\yoann\APPLIC~1\Macromedia
   [12/03/2009|19:05] C:\DOCUME~1\yoann\APPLIC~1\Malwarebytes
   [16/01/2009|12:13] C:\DOCUME~1\yoann\APPLIC~1\Microsoft
   [17/04/2009|21:12] C:\DOCUME~1\yoann\APPLIC~1\Mozilla
   [29/04/2009|11:59] C:\DOCUME~1\yoann\APPLIC~1\Nvu
   [10/01/2009|17:52] C:\DOCUME~1\yoann\APPLIC~1\OpenOffice.org
   [25/07/2009|14:27] C:\DOCUME~1\yoann\APPLIC~1\REAPER
   [05/01/2009|16:20] C:\DOCUME~1\yoann\APPLIC~1\SecuROM
   [06/02/2009|15:34] C:\DOCUME~1\yoann\APPLIC~1\Sun
   [30/12/2008|18:27] C:\DOCUME~1\yoann\APPLIC~1\WinRAR
 
   --------------------\  Tâches planifiées dans C:\WINDOWS	asks

   [21/12/2009 13:21][--ah-----] C:\WINDOWS	asks\SA.DAT
   [24/04/2003 13:00][-r-h-----] C:\WINDOWS	asks\desktop.ini

   --------------------\  Listing des dossiers dans C:\Program Files

   [23/12/2008|16:25] C:\Program Files\Adobe
   [22/12/2008|21:06] C:\Program Files\ADVANCE
   [05/06/2009|11:50] C:\Program Files\ATI
   [25/12/2008|18:32] C:\Program Files\ATI Technologies
   [08/08/2009|17:56] C:\Program Files\Atout Clic 6e
   [07/01/2009|18:02] C:\Program Files\Audacity
   [03/03/2009|18:50] C:\Program Files\Common Files
   [22/12/2008|19:03] C:\Program Files\ComPlus Applications
   [30/08/2009|11:46] C:\Program Files\DOSBox-0.73
   [24/08/2009|18:36] C:\Program Files\dsibtv
   [05/01/2009|15:37] C:\Program Files\Electronic Arts
   [16/09/2009|20:44] C:\Program Files\Fichiers communs
   [29/04/2009|20:07] C:\Program Files\FileZilla FTP Client
   [22/12/2008|23:40] C:\Program Files\G DATA InternetSecurity
   [19/03/2009|22:34] C:\Program Files\ICCup
   [08/10/2009|17:06] C:\Program Files\InstallShield Installation Information
   [10/12/2009|01:40] C:\Program Files\Internet Explorer
   [03/07/2009|22:22] C:\Program Files\IrfanView
   [29/11/2009|11:56] C:\Program Files\Java
   [29/04/2009|15:28] C:\Program Files\JavaFX
   [08/02/2009|14:37] C:\Program Files\JoWooD Productions
   [11/12/2009|17:26] C:\Program Files\ma-config.com
   [05/12/2009|15:25] C:\Program Files\Malwarebytes' Anti-Malware
   [01/03/2009|19:57] C:\Program Files\MarkAny
   [22/12/2008|19:58] C:\Program Files\Maxtor
   [13/01/2009|22:41] C:\Program Files\Messenger
   [16/09/2009|20:47] C:\Program Files\Microsoft
   [22/12/2008|19:05] C:\Program Files\microsoft frontpage
   [22/12/2008|23:25] C:\Program Files\Movie Maker
   [21/08/2009|00:52] C:\Program Files\MSBuild
   [22/12/2008|19:03] C:\Program Files\MSN
   [22/12/2008|19:03] C:\Program Files\MSN Gaming Zone
   [02/03/2009|18:38] C:\Program Files\MSXML 4.0
   [21/08/2009|00:49] C:\Program Files\MSXML 6.0
   [22/12/2008|23:24] C:\Program Files\NetMeeting
   [25/12/2008|10:54] C:\Program Files\Neuf
   [17/04/2009|21:12] C:\Program Files\Nvu
   [10/01/2009|17:51] C:\Program Files\OpenOffice.org 3
   [13/08/2009|11:13] C:\Program Files\Outlook Express
   [04/08/2009|18:54] C:\Program Files\QuickTime
   [11/12/2009|17:09] C:\Program Files\Realtek
   [21/08/2009|00:51] C:\Program Files\Reference Assemblies
   [03/03/2009|21:04] C:\Program Files\Reflex English
   [01/03/2009|19:57] C:\Program Files\Samsung
   [22/12/2008|19:03] C:\Program Files\Services en ligne
   [13/11/2009|15:34] C:\Program Files\Star Downloader
   [29/04/2009|15:28] C:\Program Files\Sun
   [20/12/2009|20:34] C:\Program Files\Trend Micro
   [22/12/2008|19:09] C:\Program Files\Uninstall Information
   [03/03/2009|18:50] C:\Program Files\ViaVoice
   [16/09/2009|20:47] C:\Program Files\Windows Live
   [16/09/2009|20:47] C:\Program Files\Windows Live SkyDrive
   [27/11/2009|00:19] C:\Program Files\Windows Media Player
   [22/12/2008|23:24] C:\Program Files\Windows NT
   [22/12/2008|21:18] C:\Program Files\WindowsUpdate
   [30/12/2008|18:27] C:\Program Files\WinRAR
   [22/12/2008|19:05] C:\Program Files\xerox
   [03/03/2009|18:50] C:\Program Files\XviD
   [22/12/2008|19:36] C:\Program Files\Yahoo!

   --------------------\  Listing des dossiers dans C:\Program Files\Fichiers communs

   [25/09/2009|13:15] C:\Program Files\Fichiers communs\AdaCore
   [23/12/2008|16:32] C:\Program Files\Fichiers communs\Adobe
   [18/05/2009|17:20] C:\Program Files\Fichiers communs\Adobe AIR
   [30/12/2008|11:42] C:\Program Files\Fichiers communs\Blizzard Entertainment
   [22/12/2008|23:39] C:\Program Files\Fichiers communs\G DATA
   [03/03/2009|18:51] C:\Program Files\Fichiers communs\GraphBoard 2.00
   [22/12/2008|23:39] C:\Program Files\Fichiers communs\InstallShield
   [16/09/2009|20:47] C:\Program Files\Fichiers communs\Microsoft Shared
   [22/12/2008|19:03] C:\Program Files\Fichiers communs\MSSoap
   [22/12/2008|18:58] C:\Program Files\Fichiers communs\ODBC
   [22/12/2008|19:03] C:\Program Files\Fichiers communs\Services
   [22/12/2008|18:58] C:\Program Files\Fichiers communs\SpeechEngines
   [13/01/2009|22:40] C:\Program Files\Fichiers communs\System
   [16/09/2009|20:44] C:\Program Files\Fichiers communs\Windows Live
   [03/03/2009|18:51] C:\Program Files\Fichiers communs\YDP

   --------------------\  Process

   ( 41 Processes )

   ... OK !

   --------------------\  Recherche avec S_Lop

   Aucun fichier / dossier Lop trouvé !
 
   --------------------\  Recherche de Fichiers / Dossiers Lop

   C:\DOCUME~1\yoann\Cookies\yoann@advertising[1].txt
 
   --------------------\  Verification du Registre
 
   ..... OK !

   --------------------\  Verification du fichier Hosts

   Fichier Hosts PROPRE


   --------------------\  Recherche de fichiers avec Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2009-12-21 13:32:25
   Windows 5.1.2600 Service Pack 2 NTFS
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 1
 
   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !

   [F:33][D:3]-> C:\DOCUME~1\yoann\LOCALS~1\Temp
   [F:76][D:0]-> C:\DOCUME~1\yoann\Cookies
   [F:4210][D:20]-> C:\DOCUME~1\yoann\LOCALS~1\TEMPOR~1\content.IE5

   1 - "C:\Lop SD\LopR_1.txt" - 21/12/2009|13:34 - Option : [1]

   --------------------\  Fin du rapport a 13:34:35

gen-hackman · Answer

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

&#9654 Télécharge List&Kill'em et enregistre le sur ton bureau

&#9654double clic (clic droit "executer en tant qu'administrateur" pour Vista/7) pour lancer l'installation

choisis creer une icone sur le bureau.

clic sur terminer pour lancer le programme

choisis la langue puis choisis l'option 1 = Mode Recherche

&#9654laisse travailler l'outil

a la fin du scan il apparait "COMPLETED" 

&#9654colle le contenu du rapport qui s ouvre dans ta prochaine réponse

inforPagicien · Answer

Voilà :

List'em by g3n-h@ckm@n 1.1.6.0 

Thx to Chiquitine29.....& CCM team 

User : yoann (Administrateurs) # YOANN-KAYLG7MIJ
Update on 18/12/2009 by g3n-h@ckm@n ::::: 20:30 
Start at: 13:46:56 | 21/12/2009
Contact : g3n-h@ckm@n sur CCM

AMD Athlon(tm) Dual Core Processor 4850e
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : G DATA AntiVirusKit 2007 16.0 [ Enabled | (!) Outdated ]
FW : Pare-feu personnel G DATA[ Enabled ]1.0

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 48,83 Go (29,74 Go free) | NTFS
D:\ -> Disque fixe local | 141,08 Go (99,91 Go free) | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running 

C:\WINDOWS\System32\smss.exe 448
C:\WINDOWS\system32\csrss.exe 496
C:\WINDOWS\system32\winlogon.exe 528
C:\WINDOWS\system32\services.exe 576
C:\WINDOWS\system32\lsass.exe 588
C:\WINDOWS\system32\Ati2evxx.exe 744
C:\WINDOWS\system32\svchost.exe 776
C:\WINDOWS\system32\svchost.exe 840
C:\WINDOWS\System32\svchost.exe 996
C:\WINDOWS\System32\svchost.exe 1076
C:\WINDOWS\system32\Ati2evxx.exe 1100
C:\WINDOWS\System32\svchost.exe 1276
C:\WINDOWS\Explorer.EXE 1468
C:\WINDOWS\system32\spoolsv.exe 1676
C:\WINDOWS\System32\svchost.exe 1920
C:\Program Files\G DATA InternetSecurity\AVKTray\AVKTray.exe 1944
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe 1952
C:\Program Files\Java\jre6\bin\jusched.exe 1968
C:\WINDOWS\RTHDCPL.EXE 1976
C:\WINDOWS\system32\ctfmon.exe 1992
C:\Program Files\Electronic Arts\EADM\Core.exe 2000
C:\Program Files\G DATA InternetSecurity\Firewall\GDFirewallTray.exe 2020
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe 152
C:\Program Files\OpenOffice.org 3\program\soffice.exe 344
C:\Program Files\OpenOffice.org 3\program\soffice.bin 928
C:\Program Files\G DATA InternetSecurity\AVK\AVKService.exe 944
C:\Program Files\G DATA InternetSecurity\AVK\AVKWCtl.exe 1108
C:\Program Files\Java\jre6\bin\jqs.exe 1304
C:\WINDOWS\system32\wdfmgr.exe 1740
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe 1808
C:\WINDOWS\System32\alg.exe 2576
C:\Program Files\G DATA InternetSecurity\Firewall\GDFwSvc.exe 2696
C:\WINDOWS\system32\wscntfy.exe 2768
C:\WINDOWS\System32\svchost.exe 2816
C:\WINDOWS\system32\wuauclt.exe 3432
C:\WINDOWS\system32\ctfmon.exe 3800
C:\Program Files\List_Kill'em\List_Kill'em.exe 3252
C:\WINDOWS\system32\cmd.exe 3256
C:\WINDOWS\system32\wbem\wmiprvse.exe 4012
C:\Documents and Settings\yoann\Local Settings\Temp\3B.tmp\pv.exe 3648

======================
Keys "Run" 
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE	REG_SZ         	C:\WINDOWS\system32\ctfmon.exe
EA Core	REG_SZ         	C:\Program Files\Electronic Arts\EADM\Core.exe -silent

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
AVKTray	REG_SZ         	"C:\Program Files\G DATA InternetSecurity\AVKTray\AVKTray.exe" 
Autoconfigurateur WiFi Neuf	REG_SZ         	"C:\Program Files\Neuf\Kit\WiFi\9wifi.exe" 
StartCCC	REG_SZ         	"C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun 
SunJavaUpdateSched	REG_SZ         	"C:\Program Files\Java\jre6\bin\jusched.exe" 
RTHDCPL	REG_SZ         	RTHDCPL.EXE 
Alcmtr	REG_SZ         	ALCMTR.EXE 
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] 
dontdisplaylastusername	REG_DWORD      	0 (0x0) 
legalnoticecaption	REG_SZ         	 
legalnoticetext	REG_SZ         	 
shutdownwithoutlogon	REG_DWORD      	1 (0x1) 
undockwithoutlogon	REG_DWORD      	1 (0x1) 

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
NoDriveTypeAutoRun	REG_DWORD      	145 (0x91) 

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
HonorAutoRunSetting	REG_DWORD      	1 (0x1) 

=============== 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS	REG_SZ         	

===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\AtiExtEvent]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\crypt32chain]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\cryptnet]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\cscdll]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\ScCertProp]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\Schedule]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\sclgntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\SensLogn]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify	ermsrv]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\wlballoon]

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{AEB6717E-7E19-11d0-97EE-00C04FD91972}	REG_SZ         	 
{88485281-8b4b-4f8d-9ede-82e29a064277}	REG_SZ         	MarkAny Contents Safer Manager 1.0 

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe	REG_SZ         	%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
C:\Program Files\Messenger\msmsgs.exe	REG_SZ         	C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger
%windir%\Network Diagnostic\xpnetdiag.exe	REG_SZ         	%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
C:\Program Files\MSN Messenger\livecall.exe	REG_SZ         	C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)
C:\Program Files\Windows Live\Messenger\wlcsdk.exe	REG_SZ         	C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call
C:\Program Files\Windows Live\Messenger\msnmsgr.exe	REG_SZ         	C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
C:\Program Files\ma-config.com\maconfservice.exe	REG_SZ         	C:\Program Files\ma-config.com\maconfservice.exe:LocalSubNet:Enabled:maconfservice

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe	REG_SZ         	%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
%windir%\Network Diagnostic\xpnetdiag.exe	REG_SZ         	%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
C:\Program Files\MSN Messenger\livecall.exe	REG_SZ         	C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)
C:\Program Files\Windows Live\Messenger\wlcsdk.exe	REG_SZ         	C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call
C:\Program Files\Windows Live\Messenger\msnmsgr.exe	REG_SZ         	C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger

=============== 
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{0124123D-61B4-456f-AF86-78C53A0790C5}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{FFFFFEF0-5B30-21D4-945D-000000000000}]

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	http://home.neuf.fr/

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 

Ndisuio : 0x3 
SharedAccess : 0x2 
wuauserv : 0x2 

=========
 
=======
Drive :
=======

D‚fragmenteur de disque Windows
Copyright (c) 2001 Microsoft Corp. et Executive Software International Inc.

Rapport d'analyse                 	 
    48,83 Go total,  29,74 Go libre (60%),  12% fragment‚ (fragmentation du fichier 24%)

Vous devriez d‚fragmenter ce volume. 	 

¤¤¤¤¤¤¤¤¤¤ Files/folders :

C:\WINDOWS\System32\drivers\etc\hosts.msn  
C:\WINDOWS\System32\muzapp.exe  
C:\WINDOWS\whAgent.inf  
C:\WINDOWS\whInstaller.ini  
C:\Documents and Settings\yoann\LOCAL Settings\Temp\d2l_PlayD2.exe  
 
¤¤¤¤¤¤¤¤¤¤ Keys : 

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"  
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"  

================
Other infections
================

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-21 13:59:55
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="D:\yoann\jeux\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:3a,73,eb,2f,ac,e3,6b,13,e1,fa,26,91,f4,54,a0,2a,b8,44,5f,3a,2e,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,b2,4b,b5,56,eb,fd,57,fc,4e,4a,ea,0a,b2,b4,e9,1c,04,..
"khjeh"=hex:38,41,5d,6a,ed,fb,94,03,24,5a,25,9e,5b,ad,41,32,1d,a9,9b,fc,a5,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:d0,84,f9,57,a6,2e,46,5a,bd,7f,b8,45,0d,0f,33,a4,20,85,5f,2b,d4,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:97,09,5e,88,6b,55,8f,f7,95,8a,ce,2f,32,78,df,f4,f1,bd,4e,b4,81,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:82,e2,2d,36,a5,a1,38,cf,84,fc,2c,e3,3b,96,eb,e3,8e,5d,2d,2f,39,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="D:\yoann\jeux\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:3a,73,eb,2f,ac,e3,6b,13,e1,fa,26,91,f4,54,a0,2a,b8,44,5f,3a,2e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,b2,4b,b5,56,eb,fd,57,fc,4e,4a,ea,0a,b2,b4,e9,1c,04,..
"khjeh"=hex:38,41,5d,6a,ed,fb,94,03,24,5a,25,9e,5b,ad,41,32,1d,a9,9b,fc,a5,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:d0,84,f9,57,a6,2e,46,5a,bd,7f,b8,45,0d,0f,33,a4,20,85,5f,2b,d4,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:97,09,5e,88,6b,55,8f,f7,95,8a,ce,2f,32,78,df,f4,f1,bd,4e,b4,81,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:82,e2,2d,36,a5,a1,38,cf,84,fc,2c,e3,3b,96,eb,e3,8e,5d,2d,2f,39,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 

==========
Programs
==========

Adobe
ADVANCE
ATI
ATI Technologies
Atout Clic 6e
Audacity
Common Files
ComPlus Applications
DOSBox-0.73
dsibtv
Electronic Arts
Fichiers communs
FileZilla FTP Client
G DATA InternetSecurity
ICCup
InstallShield Installation Information
Internet Explorer
IrfanView
Java
JavaFX
JoWooD Productions
List_Kill'em
ma-config.com
Malwarebytes' Anti-Malware
MarkAny
Maxtor
Messenger
Microsoft
microsoft frontpage
Movie Maker
MSBuild
MSN
MSN Gaming Zone
MSXML 4.0
MSXML 6.0
NetMeeting
Neuf
Nvu
OpenOffice.org 3
Outlook Express
QuickTime
Realtek
Reference Assemblies
Reflex English
Samsung
Services en ligne
Star Downloader
Sun
Trend Micro
Uninstall Information
ViaVoice
Windows Live
Windows Live SkyDrive
Windows Media Player
Windows NT
WindowsUpdate
WinRAR
xerox
XviD
Yahoo!

============
Lecteur C:
============

ATI
AUTOEXEC.BAT
boot.ini
Bootfont.bin
CONFIG.SYS
csb.log
Documents and Settings
Downloads
emme
gen5
GNAT
GtkAda
IO.SYS
Kill'em
List'em.txt
Lop SD
lopR.txt
MSDOS.SYS
Nouveau dossier
NTDETECT.COM
ntldr
pagefile.sys
POP3.CD
Program Files
ProgramData
RECYCLER
RHDSetup.log
sqmdata00.sqm
sqmdata01.sqm
sqmdata02.sqm
sqmdata03.sqm
sqmdata04.sqm
sqmdata05.sqm
sqmdata06.sqm
sqmdata07.sqm
sqmdata08.sqm
sqmdata09.sqm
sqmdata10.sqm
sqmdata11.sqm
sqmdata12.sqm
sqmdata13.sqm
sqmdata14.sqm
sqmdata15.sqm
sqmdata16.sqm
sqmdata17.sqm
sqmdata18.sqm
sqmdata19.sqm
sqmnoopt00.sqm
sqmnoopt01.sqm
sqmnoopt02.sqm
sqmnoopt03.sqm
sqmnoopt04.sqm
sqmnoopt05.sqm
sqmnoopt06.sqm
sqmnoopt07.sqm
sqmnoopt08.sqm
sqmnoopt09.sqm
sqmnoopt10.sqm
sqmnoopt11.sqm
sqmnoopt12.sqm
sqmnoopt13.sqm
sqmnoopt14.sqm
sqmnoopt15.sqm
sqmnoopt16.sqm
sqmnoopt17.sqm
sqmnoopt18.sqm
sqmnoopt19.sqm
System Volume Information
SYSTEM.VER
Temp
WINDOWS
YP-U3.LOG
 
¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials 
 
C:\Program Files\Java\jdk1.6.0_13\sample\jnlp\servlet\src\classes\jnlp\sample\jardiff\Patcher.java 
D:\NeverwinterNights\NWN\Patchw32.dll 
D:\yoannpg_maker\Bodom-Child - RaBBi\RMXP\Patch 800x600.exe 
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

inforPagicien · Answer

hm, je crois que je suis allé vite en besogne et ai oublié de désactiver GData -_-'
Ralala, j'ai du mal à me concentrer moi! Dois-je recommencer l'opération?

gen-hackman · Answer

ok

&#9654 Relance List&Kill'em (soit en clic droit pour vista),

mais cette fois-ci :

&#9654 choisis l'option 2 = Mode Destruction

laisse travailler l'outil.

en fin de scan un rapport s'ouvre 

&#9654 colle le contenu dans ta reponse

inforPagicien · Answer

Résultats de l'option 2 :

Kill'em by g3n-h@ckm@n 1.1.6.0 
 
User : yoann (Administrateurs) # YOANN-KAYLG7MIJ
Update on 18/12/2009 by g3n-h@ckm@n ::::: 20:30 
Start at: 14:18:54 | 21/12/2009
Contact : g3n-h@ckm@n sur CCM

AMD Athlon(tm) Dual Core Processor 4850e
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : G DATA AntiVirusKit 2007 16.0 [ (!) Disabled | (!) Outdated ]
FW : Pare-feu personnel G DATA[ (!) Disabled ]1.0

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 48,83 Go (29,74 Go free) | NTFS
D:\ -> Disque fixe local | 141,08 Go (99,91 Go free) | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\WINDOWS\System32\smss.exe 448
C:\WINDOWS\system32\csrss.exe 496
C:\WINDOWS\system32\winlogon.exe 528
C:\WINDOWS\system32\services.exe 576
C:\WINDOWS\system32\lsass.exe 588
C:\WINDOWS\system32\Ati2evxx.exe 744
C:\WINDOWS\system32\svchost.exe 776
C:\WINDOWS\system32\svchost.exe 840
C:\WINDOWS\System32\svchost.exe 996
C:\WINDOWS\System32\svchost.exe 1076
C:\WINDOWS\system32\Ati2evxx.exe 1100
C:\WINDOWS\System32\svchost.exe 1276
C:\WINDOWS\Explorer.EXE 1468
C:\WINDOWS\system32\spoolsv.exe 1676
C:\WINDOWS\System32\svchost.exe 1920
C:\Program Files\G DATA InternetSecurity\AVKTray\AVKTray.exe 1944
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe 1952
C:\Program Files\Java\jre6\bin\jusched.exe 1968
C:\WINDOWS\RTHDCPL.EXE 1976
C:\WINDOWS\system32\ctfmon.exe 1992
C:\Program Files\Electronic Arts\EADM\Core.exe 2000
C:\Program Files\G DATA InternetSecurity\Firewall\GDFirewallTray.exe 2020
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe 152
C:\Program Files\OpenOffice.org 3\program\soffice.exe 344
C:\Program Files\OpenOffice.org 3\program\soffice.bin 928
C:\Program Files\G DATA InternetSecurity\AVK\AVKService.exe 944
C:\Program Files\G DATA InternetSecurity\AVK\AVKWCtl.exe 1108
C:\Program Files\Java\jre6\bin\jqs.exe 1304
C:\WINDOWS\system32\wdfmgr.exe 1740
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe 1808
C:\WINDOWS\System32\alg.exe 2576
C:\Program Files\G DATA InternetSecurity\Firewall\GDFwSvc.exe 2696
C:\WINDOWS\system32\wscntfy.exe 2768
C:\WINDOWS\System32\svchost.exe 2816
C:\WINDOWS\system32\wuauclt.exe 3432
C:\WINDOWS\system32\ctfmon.exe 3800
C:\Program Files\List_Kill'em\List_Kill'em.exe 644
C:\WINDOWS\system32\cmd.exe 2544
C:\WINDOWS\system32\wbem\wmiprvse.exe 3844
C:\Documents and Settings\yoann\Local Settings\Temp\57.tmp\pv.exe 3876
 
Detections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

"C:\WINDOWS\System32\drivers\etc\hosts.msn"  
"C:\WINDOWS\system32\muzapp.exe"  
"C:\WINDOWS\whAgent.inf"  
"C:\WINDOWS\whInstaller.ini"  
C:\Documents and Settings\yoann\LOCAL Settings\Temp\d2l_PlayD2.exe  
 
 
¤¤¤¤¤¤¤¤¤¤ Files/folders deleted : 
  
Quarantine : 

d2l_PlayD2.exe.Kill'em
hosts.msn.Kill'em
muzapp.exe.Kill'em
whAgent.inf.Kill'em
whInstaller.ini.Kill'em

==============
host file OK !
==============

========
Registry
========
Deleted : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe  
Deleted : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe  

============
Disk Cleaned
============
 
================
Prefetch cleaned 
================
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic ( pour vista => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant scan all users

&#9654 règle-le sur "60 Days"

&#9654 dans la colonne de gauche , mets tout sur all

ne modifie pas ceci : 

"files created whithin" et "files modified whithin" 

&#9654Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt".

inforPagicien · Answer

OTL.txt : http://www.cijoint.fr/cjlink.php?file=cj200912/cijp5tjqlG.txt

Extras.txt : http://www.cijoint.fr/cjlink.php?file=cj200912/cijSbVrW9d.txt

gen-hackman · Answer

&#9654 Double clic sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous Customs Scans/Fixes :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O1 - Hosts: 91.206.201.8 osadwarekill.microsoft.com
O1 - Hosts: 91.206.201.8 osadwarekill.com
O1 - Hosts: 91.206.201.8 www.osadwarekill.com
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htm ()
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_5_3_0.cab (Reg Error: Key error.)
[2009/12/21 13:44:36 | 01,009,533 | ---- | C] (g3n-h@ckm@n                                                 ) -- C:\Documents and Settings\yoann\Bureau\List_Killem_Install.exe


:files
C:\Documents and Settings\All Users\Application Data\f18354c
C:\Documents and Settings\yoann\Bureau\List_Killem_Install.exe
C:\WINDOWS
02.ini

:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur RunFix pour lancer la suppression.


&#9654 Poste le rapport.

inforPagicien · Answer

Lorsque j'ai cliqué sur runfix, le message "cannot create : c:\windows\system32\drivers\etc\hosts" est apparu. Je l'ai fermé et ai retenté et il a tourné, voilà le rapport donné :

All processes killed
Error: Unable to interpret <O1 - Hosts: 91.206.201.8 osadwarekill.microsoft.com > in the current context!
Error: Unable to interpret <O1 - Hosts: 91.206.201.8 osadwarekill.com > in the current context!
Error: Unable to interpret <O1 - Hosts: 91.206.201.8 www.osadwarekill.com > in the current context!
Error: Unable to interpret <O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. > in the current context!
Error: Unable to interpret <O8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htm () > in the current context!
Error: Unable to interpret <O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_5_3_0.cab (Reg Error: Key error.) > in the current context!
Error: Unable to interpret <[2009/12/21 13:44:36 | 01,009,533 | ---- | C] (g3n-h@ckm@n ) -- C:\Documents and Settings\yoann\Bureau\List_Killem_Install.exe > in the current context!
========== FILES ==========
C:\Documents and Settings\All Users\Application Data\f18354c folder moved successfully.
C:\Documents and Settings\yoann\Bureau\List_Killem_Install.exe moved successfully.
C:\WINDOWS\n02.ini moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temporary Internet Files folder emptied: 32768 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: yoann
->Temp folder emptied: 6980590 bytes
->Temporary Internet Files folder emptied: 11806274 bytes
->Java cache emptied: 24483977 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1119633 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 123511590 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 36928432 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 3405996 bytes
RecycleBin emptied: 307682197 bytes

Total Files Cleaned = 492,00 mb

OTL by OldTimer - Version 3.1.19.0 log created on 12212009_152015

Files\Folders moved on Reboot...
C:\WINDOWS\temp\JETD851.tmp moved successfully.
C:\WINDOWS\temp\JETDEB7.tmp moved successfully.
C:\WINDOWS\temp\JETDEE7.tmp moved successfully.
C:\WINDOWS\temp\JETDF15.tmp moved successfully.

Registry entries deleted on Reboot...

gen-hackman · Answer

tu es sur d avoir mis tout ce qui est en gras ?*

inforPagicien · Answer

Je ne pense pas avoir oublié quoi que ce soit, pourquoi?

gen-hackman · Answer

parce qu il n y pas trace du passage de tout ce que j ai ecrit dans le rapport

inforPagicien · Answer

Ah... En effet. Je suppose que je dois relancer la commande?

gen-hackman · Answer

oui voir ?

inforPagicien · Answer

Encore le même problème que tout à l'heure lorsque je tente de lancer runfix... Je crains que le rapport change assez peu.

All processes killed
Error: Unable to interpret <O1 - Hosts: 91.206.201.8 osadwarekill.microsoft.com > in the current context!
Error: Unable to interpret <O1 - Hosts: 91.206.201.8 osadwarekill.com > in the current context!
Error: Unable to interpret <O1 - Hosts: 91.206.201.8 www.osadwarekill.com > in the current context!
Error: Unable to interpret <O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. > in the current context!
Error: Unable to interpret <O8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htm () > in the current context!
Error: Unable to interpret <O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_5_3_0.cab (Reg Error: Key error.) > in the current context!
Error: Unable to interpret <[2009/12/21 13:44:36 | 01,009,533 | ---- | C] (g3n-h@ckm@n ) -- C:\Documents and Settings\yoann\Bureau\List_Killem_Install.exe > in the current context!
========== FILES ==========
File\Folder C:\Documents and Settings\All Users\Application Data\f18354c not found.
File\Folder C:\Documents and Settings\yoann\Bureau\List_Killem_Install.exe not found.
File\Folder C:\WINDOWS\n02.ini not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: yoann
->Temp folder emptied: 642084 bytes
->Temporary Internet Files folder emptied: 678342 bytes
->Java cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 64785 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1,00 mb

OTL by OldTimer - Version 3.1.19.0 log created on 12212009_153814

Files\Folders moved on Reboot...
C:\WINDOWS\temp\JETD002.tmp moved successfully.
C:\WINDOWS\temp\JETD4C4.tmp moved successfully.
C:\WINDOWS\temp\JETD570.tmp moved successfully.
C:\WINDOWS\temp\JETD5ED.tmp moved successfully.

Registry entries deleted on Reboot...

gen-hackman · Answer

&#9654 Télécharge HostXpert sur ton Bureau :

&#9654 Décompresse-le (Clic droit >> Extraire ici) 

&#9654 Double-clique sur HostsXpert pour le lancer 

&#9654 clique sur le bouton "Restore MS Hosts File" puis ferme le programme 

PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur. 

&#9654 s'il est fermé , clique dessus  :)

ensuite :

Mets ton windows a jour

inforPagicien · Answer

Je crois qu'il y ait un contre-temps : http://img45.xooimage.com/files/b/2/7/sans-titre2-16ad110.jpg

j'ai ensuite un autre message qui met "hidden file", après quoi impossible d'ouvrir le cadenas. Étrange, je croyais que MBAM me l'avait viré celui-là.

gen-hackman · Answer

meme si tu clic ok ?

inforPagicien · Answer

Oui, même comme ça impossible. "Make writeable" est écrit en rouge et il ne semble pas décidé à changer de couleur... ^^'

gen-hackman · Answer

desactive le resident de GData et refais l option 2 stp de List_Kill'em en mode sans echec

inforPagicien · Answer

Désolé pour le délai de réponse...

Après avoir changé de clavier pour pouvoir accéder au options de boot, j'ai tenté de démarrer en mode sans échec... Ce qui a fait planter puis redémarrer le PC, prise en charge réseau ou pas. J'ai donc quelques questions :

Y a-t-il autrechose à essayer?
Comment savoir si mes ports USBsont sains (je vais éviterde pourrir un autre PC... Et au pire je prendrai des CD/DVD)? Car s'il n'y a rien d'autre, un bon formatage devrait faire l'affaire (extrême, mais efficace).

Je voulais en poser une autre mais je ne sais plus trop...

ps : désolé pourles éventuelles fautes, ce clavier là a pas été utilisé depuis un petit bout de temps...

gen-hackman · Answer

mets ton windows a jour

ensuite :


&#9654 Télécharge SDFix sur ton bureau : 
ici :SDFix 
ou ici SDFix 
ou ici SDFix 

&#9654 Double-clique sur SDFix.exe et choisis "Install" . 

Tuto 

Puis une fois l'installe faite , 

Impératif !!!: Démarrer en mode sans echec . 

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec : 
&#9654 Redémarre ton ordi . 
&#9654 Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" . 
&#9654 Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
&#9654 Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] . 
&#9654 Choisis ton compte habituel ( et pas Administrateur ).
 
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ... 


&#9654 Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer l'outil . 

&#9654 Tapes Y pour lancer le script ...
 
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
 
&#9654 presse une touche pour redémarrer quand il te le sera demandé . 

Le PC va mettre du temps avant de démarrer ( c'est normal ), après le chargement du Bureau :

&#9654 presse une touche lorsque "Finished" s'affiche . 

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier
 
C:\SDFix sous le nom "Report.txt". 

&#9654 Poste ce dernier dans ta prochaine réponse
__________________________________________________________

&#9654Si SDfix ne se lance pas (ça arrive!) 

&#9654 Démarrer->Exécuter 

&#9654 Copie/colle ceci : 

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe 

&#9654 Clique sur ok, et valide. 

&#9654 Redémarre et essaye de nouveau de lancer SDfix , toujours en mode sans echec .

Redirection google et autres.

24 réponses

Votre réponse

Newsletters