Spyware et virus- Nettoyage de printemps

Moira2111 Messages postés 16 Statut Membre -  
Moira2111 Messages postés 16 Statut Membre -
Bonjour,

Je viens de réinstaller mon vieux PC et décide de faire pas mal de mise à jour (windows update, Antivir, Spybot & Search, CCleaner). C'est à ce moment que les ennuis commencent.

Je décide de désinstaller avec CCleaner et de télécharger depuis un autre ordi: Antivir, Malwarebytes, Spybot, Mozilla, Internet explorer 8 et surtout les mises à jour de Windows XP (les dernières datant de 2008).

Cela fait 2 analyses complètes que j'ai fais aujourd'hui avec Antivir et Malwarebytes, avec plusieurs nettoyages avec les différentes options de CCleaner.

J'aimerai faire un nettoyage complet car j'ai l'impression que Mozilla est piraté ou que certains spywares ou virus m'empêchent d'accéder a certaines pages ou informations vers les virus en me redirigant vers d'autres pages notamment Facebook et Google.
Certaines installations ne veulent pas se faire alors que j'ai tous désinstaller y compris dans les fichiers caché.(
http://www.commentcamarche.net/...


Lorsque j'ai fais mon analyse avec Antivir j'ai eu plusieurs alertes sur:
- appl/KillApplicat-A (
http://www.commentcamarche.net/...

-Appl/KillApp-A
- ADSPY/AdSpy.Gen
- APPL/DLdr.ircFast;Gen
- Java JS/Dldr.iFrame.el
- APPL/Dldr.IrcFast.Gen

Voici le rapport du 2ème scan d'Antivir

Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 18 avril 2010 15:25

La recherche porte sur 2011046 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : NOM-FB9B15D2723

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 09:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 08:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 09:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 08:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 05:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 20:47:53
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 20:48:22
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 20:48:36
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 20:48:50
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 20:49:18
VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 20:49:38
VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 20:49:45
VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 20:49:46
VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 20:49:46
VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 20:49:46
VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 20:49:46
VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 20:49:46
VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 20:49:46
VBASE014.VDF : 7.10.6.91 2048 Bytes 15/04/2010 20:49:46
VBASE015.VDF : 7.10.6.92 2048 Bytes 15/04/2010 20:49:46
VBASE016.VDF : 7.10.6.93 2048 Bytes 15/04/2010 20:49:47
VBASE017.VDF : 7.10.6.94 2048 Bytes 15/04/2010 20:49:47
VBASE018.VDF : 7.10.6.95 2048 Bytes 15/04/2010 20:49:47
VBASE019.VDF : 7.10.6.96 2048 Bytes 15/04/2010 20:49:47
VBASE020.VDF : 7.10.6.97 2048 Bytes 15/04/2010 20:49:47
VBASE021.VDF : 7.10.6.98 2048 Bytes 15/04/2010 20:49:47
VBASE022.VDF : 7.10.6.99 2048 Bytes 15/04/2010 20:49:47
VBASE023.VDF : 7.10.6.100 2048 Bytes 15/04/2010 20:49:47
VBASE024.VDF : 7.10.6.101 2048 Bytes 15/04/2010 20:49:48
VBASE025.VDF : 7.10.6.102 2048 Bytes 15/04/2010 20:49:48
VBASE026.VDF : 7.10.6.103 2048 Bytes 15/04/2010 20:49:48
VBASE027.VDF : 7.10.6.104 2048 Bytes 15/04/2010 20:49:48
VBASE028.VDF : 7.10.6.105 2048 Bytes 15/04/2010 20:49:48
VBASE029.VDF : 7.10.6.106 2048 Bytes 15/04/2010 20:49:49
VBASE030.VDF : 7.10.6.107 2048 Bytes 15/04/2010 20:49:49
VBASE031.VDF : 7.10.6.115 78848 Bytes 16/04/2010 20:49:50
Version du moteur : 8.2.1.220
AEVDF.DLL : 8.1.1.3 106868 Bytes 17/04/2010 20:50:06
AESCRIPT.DLL : 8.1.3.26 1286521 Bytes 17/04/2010 20:50:05
AESCN.DLL : 8.1.5.0 127347 Bytes 17/04/2010 20:50:03
AESBX.DLL : 8.1.2.1 254323 Bytes 17/04/2010 20:50:07
AERDL.DLL : 8.1.4.6 541043 Bytes 17/04/2010 20:50:02
AEPACK.DLL : 8.2.1.1 426358 Bytes 17/04/2010 20:50:01
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17/04/2010 20:50:00
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 17/04/2010 20:49:59
AEHELP.DLL : 8.1.11.3 242039 Bytes 17/04/2010 20:49:53
AEGEN.DLL : 8.1.3.7 373106 Bytes 17/04/2010 20:49:52
AEEMU.DLL : 8.1.1.0 393587 Bytes 08/11/2009 05:38:26
AECORE.DLL : 8.1.13.1 188790 Bytes 17/04/2010 20:49:51
AEBB.DLL : 8.1.0.3 53618 Bytes 08/11/2009 05:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 06:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 13:13:31
AVREP.DLL : 8.0.0.7 159784 Bytes 17/04/2010 20:50:08
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 13:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 13:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 08:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 06:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 13:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 11:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 14:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : dimanche 18 avril 2010 15:25

La recherche d'objets cachés commence.
'90127' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WindowsSearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'dllhost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsnfier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WindowsSearch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QuickDCF.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'apdproxy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mcrdsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'UStorSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IAANTMon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehSched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehrecvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'arservice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'42' processus ont été contrôlés avec '42' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD3
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD4
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '61' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <HP_PAVILION>
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP271\A0079892.dll
[RESULTAT] Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/AdSpy.Gen
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP271\A0080054.exe
[RESULTAT] Contient le modèle de détection de l'application APPL/KillApp.A
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP271\A0080055.exe
[RESULTAT] Contient le modèle de détection de l'application APPL/KillApplicat.A
Recherche débutant dans 'D:\' <HP_RECOVERY>

Début de la désinfection :
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP271\A0079892.dll
[RESULTAT] Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/AdSpy.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bfb3568.qua' !
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP271\A0080054.exe
[RESULTAT] Contient le modèle de détection de l'application APPL/KillApp.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bfb3569.qua' !
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP271\A0080055.exe
[RESULTAT] Contient le modèle de détection de l'application APPL/KillApplicat.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a6d4d52.qua' !

Fin de la recherche : dimanche 18 avril 2010 18:37
Temps nécessaire: 3:02:19 Heure(s)

La recherche a été effectuée intégralement

9756 Les répertoires ont été contrôlés
561301 Des fichiers ont été contrôlés
3 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
3 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
561297 Fichiers non infectés
15589 Les archives ont été contrôlées
1 Avertissements
4 Consignes
90127 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés



Voici le rapport de HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:05:24, on 18/04/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\arservice.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Documents and Settings\HP_Administrateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\Program Files\OpenOffice.org 2.1\program\soffice.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\OpenOffice.org 2.1\program\soffice.BIN
C:\Program Files\Windows Desktop Search\WindowsSearchIndexer.exe
c:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
C:\Program Files\Avira\AntiVir Desktop\avscan.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\HP_Administrateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{12BADBEC-87E9-4084-85C8-A746FBE9D6AE}: NameServer = 85.255.114.10,85.255.112.219
O17 - HKLM\System\CCS\Services\Tcpip\..\{1AB21A3D-6DAE-4247-B31E-26DE6887937F}: NameServer = 85.255.114.10,85.255.112.219
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CEDAE29-FA41-4AE6-BD3D-D3CBBA6A701C}: NameServer = 85.255.114.10,85.255.112.219
O17 - HKLM\System\CCS\Services\Tcpip\..\{51D4666D-0595-43B7-BBC8-4A1F42CEDDEF}: NameServer = 85.255.114.10,85.255.112.219
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DA1E899-A0D5-43E2-B0E3-ACC7B10E76A4}: NameServer = 85.255.114.10,85.255.112.219
O17 - HKLM\System\CCS\Services\Tcpip\..\{D811E083-6BB9-4817-BF7B-207C0260BFC5}: NameServer = 85.255.114.10,85.255.112.219
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.10 85.255.112.219
O17 - HKLM\System\CS1\Services\Tcpip\..\{12BADBEC-87E9-4084-85C8-A746FBE9D6AE}: NameServer = 85.255.114.10,85.255.112.219
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.10 85.255.112.219
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

--
End of file - 9433 bytes


Vous vous doutez bien qu'avec tout cela mon PC est bien lent
Merci pour votre aide

</pre>

24 réponses

  • 1
  • 2
  1. karlitodu41 Messages postés 484 Date d'inscription   Statut Membre Dernière intervention   144
     
    salut
    essaye avec g square free
    et essaye avast anti virus ou microsoft security essential
    0
  2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    effectivement infecté

    surtout un détournement dns

    Télécharge WareOut Removal Tool (par dj QUIOU & la team sécurité MH) ici :

    http://pc-system.fr/

    Lance le fichier WareOut_Removal_Tool.bat et choisis l'option n°1
    Patiente (une à deux minutes maximum) pendant que le programme sauvegarde le registre
    Lis bien attentivement les instructions qui te seront données
    A la fin de l'analyse, un rapport va s'ouvrir, poste le dans ta prochaine réponse.
    0
  3. Moira2111 Messages postés 16 Statut Membre
     
    Voici le rapport

    ==== Rapport WareOut Removal Tool =====

    version 3.6.2

    analyse effectuée le 19/04/2010 à 3:11:14,51

    Résultats de l'analyse :
    ========================

    ~~~~ Recherche d'infections dans C:\ ~~~~

    ~~~~ Recherche d'infections dans C:\Program Files\ ~~~~

    ~~~~ Recherche d'infections dans C:\WINDOWS\system\ ~~~~

    ~~~~ Recherche d'infections dans C:\WINDOWS\system32\ ~~~~

    ~~~~ Recherche d'infections dans C:\WINDOWS\system32\drivers\ ~~~~

    ~~~~ Recherche d'infections dans C:\Documents and Settings\HP_Administrateur\Application Data\ ~~~~

    ~~~~ Recherche d'infections dans C:\Documents and Settings\HP_Administrateur\Bureau\ ~~~~

    ~~~~ Recherche de détournement de DNS ~~~~

    ~~~~ Recherche de Rootkits ~~~~

    _______________________________________________________________________

    catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-04-19 03:11:43
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    _______________________________________________________________________

    ! REG.EXE VERSION 3.0

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    System REG_SZ

    ~~~~ Recherche d'infections dans C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\ ~~~~

    ~~~~ Recherche d'infections dans C:\Documents and Settings\HP_Administrateur\Start Menu\Programs\ ~~~~

    ~~~~ Nettoyage du registre ~~~~

    ~~~~ Tentative de réparation des entrées suivantes: ~~~~

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] = "System"

    [HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service]
    [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service]

    ~~~~ Vérification: ~~~~

    ! REG.EXE VERSION 3.0

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    System REG_SZ

    _________________________________

    développé par http://pc-system.fr

    Bonne nuit
    0
  4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    on fait autrement

    je sens qu'un rootkit va nous ballader

    1)

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    (outil de diagnostic)

    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    ...................................

    2)

    Désactivez les protections résidente "anti-virus et anti-spyware" le temps d'installer smitfraudfix et de faire l'analyse.

    Télechargez Smitfraudfix.exe
    http://siri.urz.free.fr/Fix/SmitfraudFix.php

    Regardez le tuto:
    http://www.malekal.com/tutorial_SmitFraudfix.php

    Exécutez le en choisissant l'option 5 recherche et supression détournement DNS

    l'outil va générer un rapport

    Copie/colle le rapport sur un forum .

    note: Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus, etc...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Site officiel: http://siri.urz.free.fr/Fix/SmitfraudFix.php

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Moira2111 Messages postés 16 Statut Membre
     
    Bonjour,

    Voici le résultat de l'analyse de ZHPDiag ( de Nicolas coolman
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijH5Wr1rA.txt</code>
    

    J'ai été u peu longue, mais j'ai installé le pare feu Comodo. J'ai fais une analyse avec :
    - le parefeu Comodo
    - Antivir
    - Malwarebytes
    - et spybot
    Autant dire que j'ai eu quasiment une nuit blanche.

    En allant sur le tuto de
    www.malekal.com/tutorial_SmitFraudfix.php
    j'ai vu que Smitfraudfix.exe était devenu obsolète. Mais au cas ou je ferai une analyse ce soir que je posterai sur le forum.
    En attendant voici le résutat de du dernier scan complet de Malwarebytes.

    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 4005

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 8.0.6001.18702

    18/04/2010 23:55:31
    mbam-log-2010-04-18 (23-55-31).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 251924
    Temps écoulé: 2 heure(s), 44 minute(s), 29 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\AppID\seekmotoolbar.seekmotoolband (Adware.Seekmo) -> No action taken.
    HKEY_CLASSES_ROOT\AppID\seekmotoolbar.seekmotoolband.1 (Adware.Seekmo) -> No action taken.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Je n'ose pas donné la 1èere analyse que j'ai faite tellenment il y avait de spyware, trojans, etc, mais au cas ou je mets le lien du rapport d'analyse
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijc2xlk2F.txt</code>
    

    En tout cas merci de ta patience Moment de grace
    </pre>
    0
  7. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    en désinfection, il faut procéder par ordre et surtout se mettre d'accord sur la marche à suivre...sinon on se perd
    D'autant que MBAM peux effacer les traces qui me guideraient

    No action taken => à supprimer

    Je n'ose pas donné la 1ère analyse

    peux tu la poster ici , c'est justement celle ci qui m'interresse

    Smitfraudfix.exe était devenu obsolète

    c'est vrai, mais sur un détournement dns il reste encore compétitif
    0
  8. Moira2111 Messages postés 16 Statut Membre
     
    D'accord.

    J'essayerai de faire l'analyse avec SmirtFraudFix ce soir. J'ai du passer par un audi pour les téléchargement.

    J'avais fais l'analyse avec MBAM avant mon 1er poste. Voici le résultat de la 1ère analyse

    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 4002

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 7.0.5730.11

    18/04/2010 00:47:32
    mbam-log-2010-04-18 (00-47-32).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 46943
    Temps écoulé: 2 heure(s), 22 minute(s), 56 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 49
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\AppID\{4a40e8fc-c7e4-4f57-9fa4-85dd77402897} (Adware.Seekmo) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{53e0b6e8-a51d-448b-b692-40b67b285543} (Adware.180Solutions) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{1e0004ec-5df0-48c7-a8f0-fbb0488a3d94} (Adware.Hotbar) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{1f158a1e-a687-4a11-9679-b3ac64b86a1c} (Adware.Seekmo) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{914a8f99-38e4-47ec-b875-2b0653516030} (Adware.Seekmo) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{e313f5dc-cfe7-4568-84a4-c76653547571} (Adware.Seekmo) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{07aa283a-43d7-4cbe-a064-32a21112d94d} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{54a3f8b7-228e-4ed8-895b-de832b2c3959} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{5b2e150d-4c8a-40e4-8c36-dd9c02771c67} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{627d894a-8a77-416e-b522-432eaf2c818e} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{7138f250-5b72-48dd-adfb-9a83b429dd9e} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{8971cb48-9fca-445a-be77-e8e8a4cc9df7} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{93b0fa7b-50f6-41b4-ac7e-612a72ce8c3c} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{b0cb585f-3271-4e42-88d9-ae5c9330d554} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{b88e4484-3ff6-4ea9-815b-a54fe20d4387} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{bf1bf02c-5a86-4ecf-adac-472c54c4d21e} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{bfc08cff-c737-4433-bd5a-0ee7efcfee54} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{d2221ccb-f2bb-4858-aad4-57c754153603} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{ea0b6a1a-6a59-4a58-9c41-9966504898a5} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Typelib\{995e885e-3ff5-4f66-a107-8bfb3a0f8f12} (Adware.Seekmo) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Typelib\{fbb40fdf-b715-4342-ab82-244ecc66e979} (Adware.Seekmo) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Typelib\{08755390-f46d-4d09-968c-3430166b3189} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Typelib\{087c4054-0a2b-4f35-b0db-bed3e21650f4} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Typelib\{0923208c-e259-4ed5-a778-cb607da350ad} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Typelib\{229d2451-a617-4b30-b5e8-8138694240cb} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Typelib\{9720de03-5820-4059-b4a4-639d5e52bd09} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Typelib\{c23fa5a4-1fea-419f-8b14-f7465df062bc} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Typelib\{ccc6e232-aa4c-4813-a019-9c14b27776b6} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Installer\Features\9ee2330ae5f4470cac801baac83818c9 (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Installer\Products\568267acfc5644dab06f058006ddbae3 (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{93b0fa7b-50f6-41b4-ac7e-612a72ce8c3c} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{53e0b6e8-a51d-448b-b692-40b67b285543} (Adware.180Solutions) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4b18dd50-c996-44fc-ac52-0fecff82ed58} (Adware.Hotbar) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{90b5a95a-afd5-4d11-b9bd-a69d53d22226} (Adware.Hotbar) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1f158a1e-a687-4a11-9679-b3ac64b86a1c} (Adware.Seekmo) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07aa283a-43d7-4cbe-a064-32a21112d94d} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5929cd6e-2062-44a4-b2c5-2c7e78fbab38} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2d2bee6e-3c9a-4d58-b9ec-458edb28d0f6} (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{914a8f99-38e4-47ec-b875-2b0653516030} (Adware.Seekmo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{eddbb5ee-bb64-4bfc-9dbe-e7c85941335b} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{90b5a95a-afd5-4d11-b9bd-a69d53d22226} (Adware.Hotbar) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1f158a1e-a687-4a11-9679-b3ac64b86a1c} (Adware.Seekmo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{914a8f99-38e4-47ec-b875-2b0653516030} (Adware.Seekmo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{e313f5dc-cfe7-4568-84a4-c76653547571} (Adware.Seekmo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{54a3f8b7-228e-4ed8-895b-de832b2c3959} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8109fd3d-d891-4f80-8339-50a4913ace6f} (Adware.Zango) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07aa283a-43d7-4cbe-a064-32a21112d94d} (Adware.Zango) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Program Files\Seekmo\bin\10.0.406.0\Wallpaper.dll (Adware.Zango) -> Quarantined and deleted successfully.
    C:\Program Files\Seekmo\bin\10.0.406.0\HostOL.dll (Adware.Zango) -> Quarantined and deleted successfully.
    C:\Program Files\Seekmo\bin\10.0.406.0\InstIE.dll (Adware.Zango) -> Quarantined and deleted successfully.
    C:\Program Files\Seekmo\bin\10.0.406.0\SeekmoSADF.exe (Adware.Seekmo) -> Quarantined and deleted successfully.
    0
  9. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    vu mais ca J'ai du passer par un audi pour les téléchargement.

    j'ai pas compris
    0
  10. Moira2111 Messages postés 16 Statut Membre
     
    J'ai écris en vitesse ce matin et j'ai donc fait une faute de frappe "audi = "ordi". Ce matin je n'arrivais pas a me connecter a internet, j'ai donc du passer par un autre ordinateur. Je ne savais pas si c'était lié ou non a mon problème d'infection.

    J'ai eu exactement le problème annoncer dans le tuto sur Malekal, a savoir :
    "Pour ceux qui auraient l'infection Virus Alert! (voir la page : VAC et Virus Alert!), si vous lancez SmitFraudfix un message disant que la ligne de commande a été désactivée par l'administrateur devrait apparaître empéchant le programmde de fonctionner.
    Vous devez au préalable lancer le fichier Policies.exe contenu dans le dossier SmitFraudfix avant de tenter de faire fonctionner le programme."


    Je ne sais pas si cela aide. Quoi qu'il en soit j'ai voici l'analyse de SmitFraudFix.

    SmitFraudFix v2.424

    Rapport fait à 19:34:51,31, 20/04/2010
    Executé à partir de C:\Documents and Settings\HP_Administrateur\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\Program Files\COMODO\COMODO livePCsupport\CLPSLS.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\WINDOWS\arservice.exe
    C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\UStorSrv.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\FinePixViewer\QuickDCF.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\Windows Desktop Search\WindowsSearch.exe
    C:\Documents and Settings\HP_Administrateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
    C:\Program Files\OpenOffice.org 2.1\program\soffice.exe
    C:\Program Files\Windows Desktop Search\WindowsSearchIndexer.exe
    C:\Program Files\OpenOffice.org 2.1\program\soffice.BIN
    c:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Program Files\Windows Live\Contacts\wlcomm.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Documents and Settings\HP_Administrateur\Bureau\SmitfraudFix\Policies.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Administrateur

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Administrateur\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HP_ADM~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    Agent.OMZ.Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=" C:\\WINDOWS\\system32\\guard32.dll"
    "LoadAppInit_DLLs"=dword:00000001

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""
    0
  11. Moira2111 Messages postés 16 Statut Membre
     
    J'ai sélectionner redémarrer le pc en mode sans échec avec prise en charge réseau , apparait:

    Coisissez le système d'exploitation à démarrer:
    Windows Media Center Edition
    Console de récupération Microsoft Windows XP


    En choisissant console de récupération Microsoft Windows XP
    J'obtiens :
    Console de récupération Microsoft Windows XP (TM)

    La console de récupération fournit une réparation du système et des fonctionnalités de récupération.

    Entrer "exit" pour quitter l'invite de commandes et redémarrer le système.
    1: D:\I386
    2: D:\MiniNT
    3: D:\WINDOWS

    Sur quellle installation de windows XP voulez vous ouvrir une sessionAppuyer sur ENTREE pour annuler>?


    Je ne sais pas ce que je dois choisir, même en visitant le Tuto:
    http://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php</code>
    

    A aucun moment je n'ai l'option 5 recherche et suppression détournement DNS

    Je suis un peu perdue.
    0
  12. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    à priori c'est l'autre Windows Media Center Edition
    0
  13. Moira2111 Messages postés 16 Statut Membre
     
    En choisissant Windows Media Center Edition
    Apparait le panneau de Windows, Windows vous prévient alors que vous êtes en Mode sans échec., mais je n'ai toujours pas l'option 5 recherche et suppression détournement DNS
    .

    Est-ce que je dois aller dans le panneau de configuration? ou il y a t-il une autre manière de procèder sous windows XP?

    Merci;
    0
  14. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    on fait autrement

    redemarres en normal

    relances hijackthis

    Au menu principal, choisir do a scan only, puis cocher la case devant les lignes suivantes à corriger et cliquer en bas sur Fix Checked

    O17 - HKLM\System\CCS\Services\Tcpip\..\{12BADBEC-87E9-4084-85C8-A746FBE9D6AE}: NameServer = 85.255.114.10,85.255.112.219
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1AB21A3D-6DAE-4247-B31E-26DE6887937F}: NameServer = 85.255.114.10,85.255.112.219
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1CEDAE29-FA41-4AE6-BD3D-D3CBBA6A701C}: NameServer = 85.255.114.10,85.255.112.219
    O17 - HKLM\System\CCS\Services\Tcpip\..\{51D4666D-0595-43B7-BBC8-4A1F42CEDDEF}: NameServer = 85.255.114.10,85.255.112.219
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8DA1E899-A0D5-43E2-B0E3-ACC7B10E76A4}: NameServer = 85.255.114.10,85.255.112.219
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D811E083-6BB9-4817-BF7B-207C0260BFC5}: NameServer = 85.255.114.10,85.255.112.219
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.10 85.255.112.219
    O17 - HKLM\System\CS1\Services\Tcpip\..\{12BADBEC-87E9-4084-85C8-A746FBE9D6AE}: NameServer = 85.255.114.10,85.255.112.219
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.10 85.255.112.219


    .........

    ensuite

    Clique sur démarrer/Exécuter et tape regedit et OK
    Presse : CTRL et F
    Tout cocher sauf Mot entier seulement
    Ecrire ou copier/coller : 85.255.114.10
    Clique : Suivant
    Si trouvé ==> clic-droit et supprimer
    relancer la recherche jusqu'à l'annonce de FIN
    Après fais la même chose avec : 85.255.112.219
    0
  15. Moira2111 Messages postés 16 Statut Membre
     
    J'ai un autre problème, maintenant mon PC est allumer mais une fois le démarrage lancer il s'éteint tout seul,.
    J'ai essayé en mode sans échec, mode sans échec réseau, en déconnectant internet rien n'y fait mon pc s'éteint à chaque fois.
    0
  16. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    1)

    la manip dns est elle réalisée ?

    .............

    2)

    as tu fais ou remarqué des choses pendants ces trois jours qui séparent les deux derniers posts

    ..............

    3)

    essaies ceci

    Télécharge rkill

    Enregistre-le sur ton Bureau
    Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
    Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
    change de lien de téléchargement en utilisant le suivant à partir d'ici:
    https://download.bleepingcomputer.com/grinler/rkill.exe
    https://download.bleepingcomputer.com/grinler/rkill.exe

    Rkill COM: Rkill COM:
    https://download.bleepingcomputer.com/grinler/rkill.com
    https://download.bleepingcomputer.com/grinler/rkill.com

    Rkill SCR: Rkill RCS:
    https://download.bleepingcomputer.com/grinler/rkill.scr
    https://download.bleepingcomputer.com/grinler/rkill.scr

    Rkill PIF: Rkill PIF:
    http://download.bleepingcomputer.com/grinler/rkill.pif
    http://download.bleepingcomputer.com/grinler/rkill.pif

    une fois qu'il aura terminé

    Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

    Télécharge et installe List&Kill'em et enregistre le sur ton bureau

    http://sd-1.archive-host.com/...

    double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

    coche la case "creer une icone sur le bureau"

    une fois terminée , clic sur "terminer" et le programme se lancer seul

    choisis la langue puis choisis l'option SEARCH

    laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

    un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

    Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    tu peux supprimer le rapport catchme.log de ton bureau maintenant.

    0
  17. Moira2111 Messages postés 16 Statut Membre
     
    2)

    as tu fais ou remarqué des choses pendants ces trois jours qui séparent les deux derniers posts


    Non depuis je n'ai pas eu le temps de m'occuper de mon PC. Je n'ai pas pu réaliser la manip DNS, et aujourd'hui, je ne vais pas pouvoir puisque mon PC s'éteint dès le démarrage. Je n'ai pas même pas le temps de voir les icônes du bureau.
    0
  18. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    tu vas tenté de restaurer ton pc à une date récente où le pc tenait le coup

    redemarrer le pc comme pour le mode sans echec mais
    Au démarrage du PC a la place de MSE, choisir Invite de commandes en mode sans échec et voir pour une restauration avec cette commande :
    %windir%\system32\restore\rstrui.exe
    0
  19. Moira2111 Messages postés 16 Statut Membre
     
    J'ai parfois pas le temps de faire une manipulation, dès que je rentre mon code administrateur pour ouvrir ma session, le PC s'éteint.
    Quand je rentre dans le mode Invite de commandes en mode sans échec , je dois rentrer mon mot de passe et c'est juste après que tout s'éteint.

    J'ai essayé d'utiliser la commande Dernière bonne configuration connue, mais rien n'y fait.
    0
  20. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    si on ne peux plus faire de manip, ca se complique

    reste cette solution là pour essayer de reprendre la main si c'est bien la faute à un virus ...!

    https://www.malekal.com/tutoriels-logiciels/
    0
  • 1
  • 2