Attaque rootkit et security tool

Nicoach -  
truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,

Je viens d'avoir une attaque hier de win32 : Rootkit gen, Malware Gen et security tool.
Le PC ramait (process à 100 % au lieu de 2 % habituellement quand rien n'est lancé comme appli)

Je pense m'en être sorti avec Malwarebytes ,avast, quelques réinstallations de drivers et finalement une restaure de Windows datant de 10 jours.
Ça a l'air de fonctionner correctement ce matin mis est ce que quelqu'un saurait me dire si tout est clean ?
Je vous joins ci dessous un rapport HiJackThis et je ne sais pas l'exploiter mais j'ai l'impression (à la vue des autres posts) que c'est utile pour connaitre "l'état d'infection" du PC .... merci pour votre aide.

Nicolas

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:26:37, on 06/03/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\FsUsbExService.Exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\SFR\Kit\WiFi\9wifi.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\WinMover\WinMover.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\Program Files\Vista Rainbar\Rainmeter.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\IncrediMail\bin\ImApp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://download.gigabyte.com.tw/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: QT TabBar - {d2bf470e-ed1c-487f-a333-2bd8835eb6ce} - mscoree.dll (file missing)
O3 - Toolbar: QT Tab Standard Buttons - {D2BF470E-ED1C-487F-A666-2BD8835EB6CE} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DAEMON Tools] "%ProgramFiles%\D-Tools\daemon.exe\" -lang 1033
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Autoconfigurateur WiFi SFR] "C:\Program Files\SFR\Kit\WiFi\9wifi.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [WinMover] "C:\Program Files\WinMover\WinMover.exe" /q
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Vista Rainbar] C:\Program Files\Vista Rainbar\Vista Rainbar.exe
O4 - HKCU\..\Run: [UberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE RÉSEAU')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 9852 bytes
Configuration: Windows XP / Firefox 3.5.8

18 réponses

  1. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Bonjour ,

    POurrais tu poster ces deux rapports , qui me donnerons plus de données pour traiter le problème :

    • Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe
    random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
    • Double-clique sur RSIT.exe afin de lancer RSIT.(Avec VISTA/7 > clic-droit et > Exécuter en tant qu'administrateur.
    • Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
    • Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
    • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
    • Poste le contenu de log.txt ainsi que info.txt
    ( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )
    "si tu ne trouve pas les deux fichiers log.txt et info.txt ils sont dans C:\RSIT)

    Ainsi que le dernier rapport du scan malware bytes que tu as fait
    0
  2. Nicoach
     
    Merci truecode pour le coup de main

    Pour RSIT :
    Info.txt => http://www.cijoint.fr/cjlink.php?file=cj201003/cijY4GlOWn.txt
    Log.txt => http://www.cijoint.fr/cjlink.php?file=cj201003/cijhQzpcNX.txt

    Pour mes manips :
    rapport scan malware bytes => http://www.cijoint.fr/cjlink.php?file=cj201003/cijUWn2WW7.txt

    Autres points : hier, lors de l'attaque, AVAST m'a mis en quarantaine 72 fichiers => ils sont tous dans win32/drivers et les 2 virus trouvés sont win32:rootkit-gen et vbs : malware-gen
    Enfin, sur mon PC, un icone security tool était sur le bureau et une fenetre est apparue pour lancer un scan security tool. Evidemment je n'ai rien fait et j'ai lancé malware-byte qui a tout fait disparaitre

    En espérant le ménage nécessaire soit déjà fait ...
    0
  3. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Commence par faire cela !

    Désactiver sa avant C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe

    Télécharge http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe (de Cyrildu17 / C_XX) sur ton Bureau.

    /!\ Déconnecte-toi d'Internet et ferme toutes applications en cours. /!\

    Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files).
    Double-clique sur le raccourci d'Ad-Remover située sur ton Bureau.
    (Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur)
    Au menu principal, choisis l'option S.
    Poste le rapport généré (C:\Ad-Report-Scan-(date).log).

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    Note : "Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    0
  4. nicoach
     
    Je n'ai pas trouvé tea timer de spybot ... ??? je le désactive comment ?

    Ci joint le rapport demandé :
    .
    ======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 05.02.2010 à 17:34
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 14:09:56, 06/03/2010 | Mode Normal | Option: SCAN
    Exécuté de: C:\Ad-Remover\
    Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
    Nom du PC: SWEET-5822729F2 | Utilisateur actuel: Administrateur
    .
    ============== ÉLÉMENT(S) TROUVÉ(S) ==============
    .

    C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Everest Poker
    C:\Program Files\Everest Poker
    C:\DOCUME~1\ADMINI~1\Bureau\Everest Poker.lnk
    .
    HKCU\software\Grand Virtual
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
    HKLM\software\microsoft\windows\currentversion\uninstall\Everest Poker
    HKU\s-1-5-21-1708537768-179605362-725345543-500\software\Grand Virtual
    .
    ============== Scan additionnel ==============
    .
    .
    * Mozilla FireFox Version 3.5.8 [fr] *
    .
    Nom du profil: mteietq8.default (Administrateur)
    .
    (ADMINI~1, prefs.js) Browser.download.lastDir, C:\Documents and Settings\Administrateur\Bureau
    (ADMINI~1, prefs.js) Browser.startup.homepage, hxxp://www.google.fr/
    (ADMINI~1, prefs.js) Extensions.enabledItems, {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.1.3,{e4a8a97b-f2ed-450b-b12d-ee082ba24781}:0.8.20100211.5,{77b819fa-95ad-4f2c-ac7c-486b356188a9}:1.5.20090525,{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}:6.0.03,{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,jqs@sun.com:1.0,{27c60876-b5c9-4335-b4f3-52b26782220c}:0.9.1,OberonGameHost@OberonGames.com:1.0.5.1344,{7b821b0e-b102-4f9b-b6e3-433ede1fe379}:0.9.1.10,foxmarks@kei.com:3.4.10,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.8
    (ADMINI~1, prefs.js) Keyword.URL, hxxp://www.wibeez.com/france?search&q=
    .
    .
    * Internet Explorer Version 7.0.5730.11 *
    .
    [HKEY_CURRENT_USER\..\Internet Explorer\Main]
    .
    Start Page: hxxp://www.yahoo.com
    Enable Browser Extensions: yes
    Do404Search: 01000000
    Local Page: C:\WINDOWS\system32\blank.htm
    Show_ToolBar: yes
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.yahoo.com
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Local Page: %SystemRoot%\system32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://www.yahoo.com
    Search Bar: hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    .
    ===================================
    .
    3515 Octet(s) - C:\Ad-Report-SCAN[2].log
    2782 Octet(s) - C:\Ad-Report-SCAN[3].log
    .
    371 Fichier(s) - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
    7 Fichier(s) - C:\WINDOWS\Temp
    129 Fichier(s) - C:\WINDOWS\Prefetch
    .
    3 Fichier(s) - C:\Ad-Remover\BACKUP
    0 Fichier(s) - C:\Ad-Remover\QUARANTINE
    .
    Fin à: 14:12:20 | 06/03/2010 - SCAN[3]
    .
    ============== E.O.F ==============
    .
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Lance spybot
    Menu mode : clic sur "avancé"puis sur "outils" clic sur l'icone "résident" ensuite à droite décoches Teatimer
    0
  7. nicoach
     
    OK merci.
    J'avais déjà (mal) désinstallé spybot. Maintenant c'est fait.
    Qu'en est il de mon rapport ?

    Encore merci pour ton aide
    0
  8. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Bonjour,
    Relance ad remover puis choisi l'option de nettoyage " L" et poste le nouveau rapport
    0
  9. nicoach
     
    .
    ======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 05.02.2010 à 17:34
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 13:46:09, 07/03/2010 | Mode Normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\
    Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
    Nom du PC: SWEET-5822729F2 | Utilisateur actuel: Administrateur
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .

    C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Everest Poker
    C:\Program Files\Everest Poker
    C:\DOCUME~1\ADMINI~1\Bureau\Everest Poker.lnk

    (!) -- Fichiers temporaires supprimés.

    .
    HKCU\software\Grand Virtual
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
    HKLM\software\microsoft\windows\currentversion\uninstall\Everest Poker
    .
    ============== Scan additionnel ==============
    .
    .
    * Mozilla FireFox Version 3.5.8 [fr] *
    .
    Nom du profil: mteietq8.default (Administrateur)
    .
    (ADMINI~1, prefs.js) Browser.download.lastDir, C:\Documents and Settings\Administrateur\Bureau
    (ADMINI~1, prefs.js) Browser.startup.homepage, hxxp://www.google.fr/
    (ADMINI~1, prefs.js) Extensions.enabledItems, {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.1.3,{e4a8a97b-f2ed-450b-b12d-ee082ba24781}:0.8.20100211.5,{77b819fa-95ad-4f2c-ac7c-486b356188a9}:1.5.20090525,{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}:6.0.03,{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,jqs@sun.com:1.0,{27c60876-b5c9-4335-b4f3-52b26782220c}:0.9.1,OberonGameHost@OberonGames.com:1.0.5.1344,{7b821b0e-b102-4f9b-b6e3-433ede1fe379}:0.9.1.10,foxmarks@kei.com:3.4.10,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.8
    (ADMINI~1, prefs.js) Keyword.URL, hxxp://www.wibeez.com/france?search&q=
    .
    .
    * Internet Explorer Version 7.0.5730.11 *
    .
    [HKEY_CURRENT_USER\..\Internet Explorer\Main]
    .
    Start Page: hxxp://fr.msn.com/
    Enable Browser Extensions: yes
    Do404Search: 01000000
    Local Page: C:\WINDOWS\system32\blank.htm
    Show_ToolBar: yes
    Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: %SystemRoot%\system32\blank.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    Search Bar: hxxp://search.msn.com/spbasic.htm
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    .
    ===================================
    .
    2927 Octet(s) - C:\Ad-Report-CLEAN[1].log
    3515 Octet(s) - C:\Ad-Report-SCAN[2].log
    3121 Octet(s) - C:\Ad-Report-SCAN[3].log
    .
    371 Fichier(s) - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
    6 Fichier(s) - C:\WINDOWS\Temp
    0 Fichier(s) - C:\WINDOWS\Prefetch
    .
    20 Fichier(s) - C:\Ad-Remover\BACKUP
    44 Fichier(s) - C:\Ad-Remover\QUARANTINE
    .
    Fin à: 13:49:42 | 07/03/2010 - CLEAN[1]
    .
    ============== E.O.F ==============
    .
    0
  10. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Mets a jour malware bytes
    Tu sélectionne "Exécuter un examen complet"
    Puis tu clique sur"Rechercher"

    L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    L'examen s'est terminé normalement. Il te reste a cliquer sur"Afficher les résultats" pour afficher tous les objets trouvés.

    Maintenant tu clique sur "Ok" pour poursuivre.
    Ferme tes navigateurs ( firefox , internet explorer , chrome , opéra...)
    Si MBAM à détecter des malwares, clique sur "Afficher les résultats".
    Sélectionne tout et clique sur"Supprimer la sélection",MBAM va supprimer tous les fichiers infectés.
    Le Bloc-notes va s'ouvrir avec le rapport d'analyse
    Fais un copier coller de ce rapport etposte-le dans ton prochain message.
    0
  11. nicoach
     
    Ça a l'air propre ?

    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3835
    Windows 5.1.2600 Service Pack 2
    Internet Explorer 7.0.5730.11

    08/03/2010 20:17:56
    mbam-log-2010-03-08 (20-17-56).txt

    Type de recherche: Examen complet (C:\|F:\|)
    Eléments examinés: 303373
    Temps écoulé: 37 minute(s), 57 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  12. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Bonjour,

    Rien de détecté c'est bon signe , relance RSIT fais un scan et poste moi le rapport
    0
  13. nicoach
     
    http://www.cijoint.fr/cjlink.php?file=cj201003/cijrlEFMck.txt
    0
  14. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Lance hijackthis
    Choisis "Do a scan only"
    Coche la case devant les lignes suivantes :

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://download.gigabyte.com.tw/
    O3 - Toolbar: QT TabBar - {d2bf470e-ed1c-487f-a333-2bd8835eb6ce} - mscoree.dll (file missing)
    O3 - Toolbar: QT Tab Standard Buttons - {D2BF470E-ED1C-487F-A666-2BD8835EB6CE} - mscoree.dll (file missing)
    
    


    Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
    Clique sur "Fix checked".
    Ferme Hijackthis.
    0
  15. nicoach
     
    Avec le lien c'est mieux ...
    http://www.cijoint.fr/cjlink.php?file=cj201003/cijslPICRl.txt
    0
  16. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Toujours des soucis ?
    0
  17. nicoach
     
    Non, ca semble nickel

    Un grand merci pour ton coup de main et ta disponibilité.

    A +

    Nicoach
    0
  18. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Bonne journée
    0