Mon ordinateur est infecte

ghaicha Messages postés 64 Statut Membre -  
 gen-hackman -
Bonjour

j'ai besoin d'aide svp, mon ordi est infecté par un ROOTCKIT
Voici le rapport hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 08:54:56, on 04/05/2010
Platform: Unknown Windows (WinNT 6.00.1905 SP1)
MSIE: Internet Explorer v7.00 (7.00.6001.18444)

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Windows\vsnpstd.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Athan\Athan.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\rkfree\rkfree.exe
C:\Program Files\Common Files\PC Tools\sMonitor\SSDMonitor.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\DivX\DivX Update\DivXUpdate.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\Registry Mechanic\regmech.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Windows\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Users\aissa\AppData\Local\Temp\Rar$EX00.613\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://myhomewebs.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://myhomewebs.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://myhomewebs.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://myhomewebs.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://myhomewebs.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://myhomewebs.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: mywebsites.pro-FR Toolbar - {33727f97-486d-4d19-97c3-23f432ef93fc} - C:\Program Files\mywebsites.pro-FR\tbmywe.dll
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: mywebsites.pro-FR Toolbar - {33727f97-486d-4d19-97c3-23f432ef93fc} - C:\Program Files\mywebsites.pro-FR\tbmywe.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll (file missing)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: mywebsites.pro-FR Toolbar - {33727f97-486d-4d19-97c3-23f432ef93fc} - C:\Program Files\mywebsites.pro-FR\tbmywe.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [snpstd] C:\Windows\vsnpstd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Athan] C:\Program Files\Athan\Athan.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [rkfree] "C:\Program Files\rkfree\rkfree.exe" /b
O4 - HKLM\..\Run: [SSDMonitor] C:\Program Files\Common Files\PC Tools\sMonitor\SSDMonitor.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [RegistryMechanic] C:\Program Files\Registry Mechanic\RMTray.exe /H
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} (JuniperSetupClientControl Class) - https://juniper.net/dana-cached/sc/JuniperSetupClient.cab
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Juniper Network Connect Service (dsNcService) - Juniper Networks - C:\Program Files\Juniper Networks\Common Files\dsNcService.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Desktop Manager 5.9.911.3589 (GoogleDesktopManager-110309-193829) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Service Google Update (gupdate1c9ff19e58a130b) (gupdate1c9ff19e58a130b) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe" /svc (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PC Tools Startup and Shutdown Monitor service (PCToolsSSDMonitorSvc) - PC Tools - C:\Program Files\Common Files\PC Tools\sMonitor\StartManSvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

26 réponses

  • 1
  • 2
Résumé de la discussion

Le souci principal est une infection présumée par un rootkit, étayée par un rapport HijackThis détaillant des redirections de page d'accueil et des barres d’outils indésirables. Parmi les éléments, figurent des modifications des pages de recherche et d'accueil vers myhomewebs.com, des BHO et des barres d’outils tiers, ainsi que des scripts et services non identifiables. Des signes supplémentaires apparaissent avec des entrées Run au démarrage, des paramètres Proxy et des DLL inappropriées dans AppInit_DLLs, et des fichiers ou services manquants signalés par le log. En cas de persistance, il convient d’effectuer une désinfection avec des outils à jour, vérifier les éléments de démarrage et les paramètres réseau, puis envisager une restauration système ou une réinstallation ciblée.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    salut :

    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

    ▶ Télécharge List_Kill'em et enregistre le sur ton bureau

    double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    ♦ Executer Shortcut
    ♦ Executer List_Kill'em

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    choisis l'option Search

    ▶ laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

    ▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
    1
    1. ghaicha Messages postés 64 Statut Membre
       
      merci pour ton aide gen-hackman,

      l'outil est entrain de travailler, je posterai le résultat dans quelques minutes je crois
      0
    2. ghaicha Messages postés 64 Statut Membre
       
      gean hackman j'arrive pas à poster le scan sur le forum
      qu'est ce que je fais?
      0
    3. ghaicha Messages postés 64 Statut Membre
       
      ÇA FAIT UNE HEURE QUE J4ESSAYE ET J'ARRIVE PAS
      0
  2. gen-hackman
     
    oui ca devrait etre fini dans 5 mn
    0
  3. gen-hackman
     
    poste-le sur http://www.cijoint.fr/ puis donne le lien obtenu en echange
    0
    1. ghaicha Messages postés 64 Statut Membre
       
      je viens de le poster sur ci-joint.fr
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. gen-hackman
     
    heu je peux avoir le lien pour le consulter ?
    0
    1. ghaicha Messages postés 64 Statut Membre
       
      Voici le lien et merci de ta patience

      http://www.cijoint.fr/cjlink.php?file=cj201005/cijH1VESrF.pdf
      0
  6. gen-hackman
     
    ▶ Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
    mais cette fois-ci :

    ▶ choisis l'Option Clean

    ton PC va redemarrer,

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    ▶ colle le contenu dans ta reponse
    0
    1. ghaicha Messages postés 64 Statut Membre
       
      Kill'em by g3n-h@ckm@n 1.7.3.0

      User : aissa (Administrateurs)
      Update on 04/05/2010 by g3n-h@ckm@n ::::: 04.50
      Start at: 20:25:21 | 04/05/2010

      Intel(R) Pentium(R) Dual CPU E2180 @ 2.00GHz
      Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
      Internet Explorer 7.0.6001.18000
      Windows Firewall Status : Enabled

      C:\ -> Disque fixe local | 286,09 Go (198,21 Go free) [HDD] | NTFS
      D:\ -> Disque CD-ROM


      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

      C:\Windows\System32\smss.exe
      C:\Windows\system32\csrss.exe
      C:\Windows\system32\wininit.exe
      C:\Windows\system32\csrss.exe
      C:\Windows\system32\winlogon.exe
      C:\Windows\system32\services.exe
      C:\Windows\system32\lsass.exe
      C:\Windows\system32\lsm.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\nvvsvc.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\System32\svchost.exe
      C:\Windows\System32\svchost.exe
      C:\Windows\System32\svchost.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\SLsvc.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\rundll32.exe
      C:\Windows\system32\Dwm.exe
      C:\Windows\Explorer.EXE
      C:\Windows\system32\runonce.exe
      C:\Windows\system32\cmd.exe
      C:\Windows\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Windows\System32\spoolsv.exe
      C:\Windows\system32\taskeng.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\taskeng.exe
      C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\Program Files\Juniper Networks\Common Files\dsNcService.exe
      C:\Windows\system32\FsUsbExService.Exe
      C:\Program Files\Google\Update\GoogleUpdate.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\System32\svchost.exe
      C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
      C:\Windows\System32\svchost.exe
      C:\Program Files\Common Files\PC Tools\sMonitor\StartManSvc.exe
      C:\Windows\system32\IoctlSvc.exe
      C:\Windows\System32\svchost.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\System32\svchost.exe
      C:\Windows\system32\SearchIndexer.exe
      C:\Program Files\Windows Calendar\wincal.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Windows\system32\wbem\wmiprvse.exe
      C:\Program Files\List_Kill'em\ERUNT.EXE
      C:\Program Files\List_Kill'em\pv.exe

      ¤¤¤¤¤¤¤¤¤¤ Files/folders :


      Quarantined & Deleted !! : C:\Windows\Temp\367b51e8911e473f5640b6b5.tmp
      Quarantined & Deleted !! : C:\Windows\Temp\37cac0bfebefd1c4c164d7f.tmp
      Quarantined & Deleted !! : C:\Windows\Temp\3e84c5f44ceebb6775259bde.tmp
      Quarantined & Deleted !! : C:\Windows\Temp\59499dc789edb410eff44cc.tmp
      Quarantined & Deleted !! : C:\Windows\Temp\6b2f76af59eef7ebd131e772.tmp
      Quarantined & Deleted !! : C:\Windows\Temp\775cbaa91ad245649e187dc8.tmp
      Quarantined & Deleted !! : C:\Windows\Temp\8f9245569cd9312aac579c6b.tmp
      Quarantined & Deleted !! : C:\Windows\Temp\9c711b0d3eb762d3620fcb24.tmp
      Quarantined & Deleted !! : C:\Windows\Temp\a3835330d2be8354b8b2c538.tmp
      Quarantined & Deleted !! : C:\Windows\Temp\b427d8a677399b3ef5f6a9a3.tmp
      Quarantined & Deleted !! : C:\Windows\Temp\c63cb3df6b47e22a2346c4ac.tmp
      Quarantined & Deleted !! : C:\Windows\Temp\c84fe13c17a50919392821f6.tmp
      Quarantined & Deleted !! : C:\Windows\Temp\ddde54d8bf98f376b8da992e.tmp
      Quarantined & Deleted !! : C:\Users\aissa\AppData\Local\GDIPFONTCACHEV1.DAT

      =======
      Hosts :
      =======

      127.0.0.1 localhost

      ========
      Registry
      ========

      =================
      Internet Explorer
      =================

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
      Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
      Local Page REG_SZ C:\WINDOWS\system32\blank.htm
      Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
      Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
      Start Page REG_SZ https://www.google.com/?gws_rd=ssl
      Local Page REG_SZ C:\WINDOWS\system32\blank.htm
      Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

      ===============
      Security Center
      ===============

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
      cval REG_DWORD 1 (0x1)
      UacDisableNotify REG_DWORD 1 (0x1)
      InternetSettingsDisableNotify REG_DWORD 1 (0x1)
      AutoUpdateDisableNotify REG_DWORD 1 (0x1)
      FirewallDisableNotify REG_DWORD 0 (0x0)
      FirstRunDisabled REG_DWORD 1 (0x1)
      AntiVirusDisableNotify REG_DWORD 0 (0x0)
      UpdatesDisableNotify REG_DWORD 0 (0x0)
      AntiVirusOverride REG_DWORD 1 (0x1)
      FirewallOverride REG_DWORD 1 (0x1)

      ========
      Services
      =========

      Ndisuio : Start = 3
      EapHost : Start = 2
      Wlansvc : Start = 2
      SharedAccess : Start = 2
      windefend : Start = 2
      wuauserv : Start = 2
      wscsvc : Start = 2

      ============
      Disk Cleaned
      anti-ver blaster : OK
      Prefetch cleaned
      ================



      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
      0
    2. ghaicha Messages postés 64 Statut Membre
       
      c'est le rapport que j'ai obtenu
      0
  7. gen-hackman
     
    tu l'as passé 2 fois ?
    0
    1. ghaicha Messages postés 64 Statut Membre
       
      oui
      0
  8. gen-hackman
     
    ▶ Télécharge : Gmer (by Przemyslaw Gmerek)

    ▶ Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

    ▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

    Ensuite

    ▶ sur les lignes rouge:

    ▶ Services:cliques droit delete service
    ▶ Process:cliques droit kill process
    ▶ Adl ,file:cliques droit delete files
    0
    1. ghaicha Messages postés 64 Statut Membre
       
      j'ai posté le rapport GMER sur ci-joint, le lien est:
      http://www.cijoint.fr/cjlink.php?file=cj201005/cijFfhQq6Q.txt
      0
    2. ghaicha Messages postés 64 Statut Membre
       
      J'ai fais le scan 2 fois aussi, pas exprès
      0
  9. gen-hackman
     
    bonjour

    bizarre chez moi il a tout viré et tout indiqué sur rapport....

    refais gMer voir
    0
    1. ghaicha Messages postés 64 Statut Membre
       
      j'ai refais gmer mon ordinateur beug
      0
    2. ghaicha Messages postés 64 Statut Membre
       
      sinon je viens de télécharger combofix et voici le rapport si tu peux regarder, merci
      0
    3. ghaicha Messages postés 64 Statut Membre
       
      ComboFix 10-05-04.06 - aissa 05/05/2010 14:08:48.3.2 - x86
      Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.2815.1736 [GMT 2:00]
      Lancé depuis: c:\users\aissa\Downloads\ComboFix.exe
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\$recycle.bin\S-1-5-21-149746169-325228829-2604569920-1000
      c:\$recycle.bin\S-1-5-21-2595506030-2279488623-1466756031-500
      c:\programdata\Microsoft\Network\Downloader\qmgr0.dat
      c:\programdata\Microsoft\Network\Downloader\qmgr1.dat

      ----- BITS: Il y a peut-être des sites infectés -----

      hxxp://ads1.msads.net
      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-05 au 2010-05-05 ))))))))))))))))))))))))))))))))))))
      .

      2010-05-05 12:16 . 2010-05-05 12:16 -------- d-----w- c:\users\Default\AppData\Local\temp
      2010-05-05 11:21 . 2010-05-05 11:21 75168 ----a-w- c:\users\aissa\AppData\Local\GDIPFONTCACHEV1.DAT
      2010-05-04 07:23 . 2010-05-04 17:47 -------- d-----w- C:\Kill'em
      2010-05-04 07:23 . 2010-05-05 11:11 -------- d-----w- c:\program files\List_Kill'em
      2010-05-03 20:44 . 2010-05-03 20:44 103004 ---ha-w- c:\windows\system32\mlfcache.dat
      2010-04-23 20:30 . 2010-05-02 18:33 -------- d-----w- c:\programdata\Norton
      2010-04-23 20:30 . 2010-04-23 20:30 -------- d-----w- c:\programdata\NortonInstaller
      2010-04-17 08:39 . 2010-04-17 08:39 -------- d-----w- c:\program files\Conduit
      2010-04-17 08:39 . 2010-04-17 08:39 -------- d-----w- c:\program files\mywebsites.pro-FR
      2010-04-14 05:10 . 2010-02-23 11:32 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
      2010-04-14 05:10 . 2010-02-23 11:32 78848 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
      2010-04-14 05:10 . 2010-02-23 11:32 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
      2010-04-14 05:08 . 2010-02-18 14:49 3598216 ----a-w- c:\windows\system32\ntkrnlpa.exe
      2010-04-14 05:08 . 2010-02-18 14:49 3545992 ----a-w- c:\windows\system32\ntoskrnl.exe
      2010-04-14 05:08 . 2010-03-04 18:54 430080 ----a-w- c:\windows\system32\vbscript.dll
      2010-04-14 05:07 . 2010-02-18 14:49 898952 ----a-w- c:\windows\system32\drivers\tcpip.sys
      2010-04-14 05:07 . 2010-02-18 14:11 190464 ----a-w- c:\windows\system32\iphlpsvc.dll
      2010-04-14 05:07 . 2010-02-18 11:52 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys
      2010-04-14 05:06 . 2009-12-23 12:43 171520 ----a-w- c:\windows\system32\wintrust.dll
      2010-04-14 05:06 . 2010-01-15 00:04 98304 ----a-w- c:\windows\system32\cabview.dll
      2010-04-09 19:08 . 2010-04-09 19:08 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2010-05-05 12:01 . 2008-04-18 06:48 669328 ----a-w- c:\windows\system32\perfh00C.dat
      2010-05-05 12:01 . 2008-04-18 06:48 123350 ----a-w- c:\windows\system32\perfc00C.dat
      2010-05-05 12:01 . 2009-02-07 16:26 -------- d-----w- c:\users\aissa\AppData\Roaming\OpenOffice.org2
      2010-05-04 10:28 . 2009-02-07 16:28 1 ----a-w- c:\users\aissa\AppData\Roaming\OpenOffice.org2\user\uno_packages\cache\stamp.sys
      2010-05-04 06:16 . 2008-11-22 21:03 15502 ----a-w- c:\users\aissa\AppData\Roaming\wklnhst.dat
      2010-05-02 18:34 . 2009-07-31 18:42 -------- d-----w- c:\program files\Samsung
      2010-05-02 18:32 . 2008-04-17 21:21 -------- d-----w- c:\programdata\Symantec
      2010-05-02 16:00 . 2008-04-17 21:21 -------- d-----w- c:\program files\Common Files\Symantec Shared
      2010-05-01 15:10 . 2010-01-07 16:55 -------- d-----w- c:\users\aissa\AppData\Roaming\Winamp
      2010-04-29 06:14 . 2010-03-23 13:54 443912 ----a-w- c:\users\aissa\AppData\Roaming\Real\Update\setup3.10\setup.exe
      2010-04-23 17:30 . 2010-04-23 17:29 -------- d-----w- c:\programdata\DivX
      2010-03-24 21:45 . 2009-03-17 21:28 -------- d-----w- c:\users\aissa\AppData\Roaming\NBPROF
      2010-03-21 06:26 . 2008-04-17 21:30 -------- d-----w- c:\program files\Picasa2
      2010-03-11 11:11 . 2009-02-02 18:07 -------- d-----w- c:\users\aissa\AppData\Roaming\Image Zone Express
      2010-03-09 16:57 . 2009-03-23 20:22 -------- d-----w- c:\programdata\HP Product Assistant
      2010-03-09 16:36 . 2008-04-17 21:11 -------- d-----w- c:\program files\Common Files\InstallShield
      2010-03-09 16:36 . 2008-04-17 21:11 -------- d--h--w- c:\program files\InstallShield Installation Information
      2010-03-09 16:28 . 2010-03-31 07:00 833024 ----a-w- c:\windows\system32\wininet.dll
      2010-03-09 16:25 . 2010-03-31 07:00 78336 ----a-w- c:\windows\system32\ieencode.dll
      2010-03-09 14:01 . 2010-03-31 07:00 26624 ----a-w- c:\windows\system32\ieUnatt.exe
      2010-03-07 09:35 . 2010-01-11 15:57 588472 ----a-w- c:\windows\system32\ezsvc7x.dll
      2010-02-26 13:53 . 2009-12-24 08:48 439816 ----a-w- c:\users\aissa\AppData\Roaming\Real\Update\setup3.09\setup.exe
      2010-02-24 08:16 . 2009-10-03 02:21 181632 ------w- c:\windows\system32\MpSigStub.exe
      2010-02-20 23:39 . 2010-03-11 07:29 24064 ----a-w- c:\windows\system32\nshhttp.dll
      2010-02-20 23:37 . 2010-03-11 07:29 31232 ----a-w- c:\windows\system32\httpapi.dll
      2010-02-20 21:18 . 2010-03-11 07:29 411136 ----a-w- c:\windows\system32\drivers\http.sys
      2010-02-19 23:47 . 2010-02-19 23:47 3604480 ----a-w- c:\windows\system32\GPhotos.scr
      2010-02-12 10:48 . 2010-03-29 08:49 293376 ----a-w- c:\windows\system32\browserchoice.exe
      2008-02-06 21:05 . 2008-09-19 12:52 324976 ----a-w- c:\program files\mozilla firefox\components\coFFPlgn.dll
      2009-11-20 13:41 . 2009-11-20 13:41 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
      2008-04-18 06:52 . 2008-04-18 06:52 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
      "{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\program files\Winamp Toolbar\winamptb.dll" [2009-05-06 1262888]
      "{33727f97-486d-4d19-97c3-23f432ef93fc}"= "c:\program files\mywebsites.pro-FR\tbmywe.dll" [2009-11-09 2331672]

      [HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
      [HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
      [HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
      [HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

      [HKEY_CLASSES_ROOT\clsid\{33727f97-486d-4d19-97c3-23f432ef93fc}]

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{33727f97-486d-4d19-97c3-23f432ef93fc}]
      2009-11-09 16:38 2331672 ----a-w- c:\program files\mywebsites.pro-FR\tbmywe.dll

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
      "{33727f97-486d-4d19-97c3-23f432ef93fc}"= "c:\program files\mywebsites.pro-FR\tbmywe.dll" [2009-11-09 2331672]

      [HKEY_CLASSES_ROOT\clsid\{33727f97-486d-4d19-97c3-23f432ef93fc}]

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
      "{33727F97-486D-4D19-97C3-23F432EF93FC}"= "c:\program files\mywebsites.pro-FR\tbmywe.dll" [2009-11-09 2331672]

      [HKEY_CLASSES_ROOT\clsid\{33727f97-486d-4d19-97c3-23f432ef93fc}]

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "WindowsWelcomeCenter"="oobefldr.dll" [2008-01-21 2153472]
      "RegistryMechanic"="c:\program files\Registry Mechanic\RMTray.exe" [2009-11-25 292824]
      "AutoStartNPSAgent"="c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe" [2009-04-02 102400]
      "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "RtHDVCpl"="RtHDVCpl.exe" [2008-01-29 4911104]
      "Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-11-20 30192]
      "toolbar_eula_launcher"="c:\program files\Packard Bell\GOOGLE_EULA\EULALauncher.exe" [2007-02-20 28672]
      "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-04-03 13535776]
      "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-04-03 92704]
      "Athan"="c:\program files\Athan\Athan.exe" [2009-07-29 1138688]
      "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
      "WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-12-21 39424]
      "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-06-09 148888]
      "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
      "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
      "TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-07-07 198160]
      "Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
      "SSDMonitor"="c:\program files\Common Files\PC Tools\sMonitor\SSDMonitor.exe" [2009-11-25 104408]
      "PCSuiteTrayApplication"="c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 271360]
      "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
      "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-01-22 141608]
      "DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-04-12 1135912]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

      c:\users\aissa\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Startup\
      OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "FilterAdministratorToken"= 1 (0x1)
      "EnableUIADesktopToggle"= 0 (0x0)
      "HideFastUserSwitching"= 0 (0x0)

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
      "AppInit_DLLs"=c:\progra~1\Google\GOOGLE~3\GoogleDesktopNetwork3.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "aux"=wdmaud.drv

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
      @="Service"

      [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
      path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
      backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
      backupExtension=.CommonStartup

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]
      2008-01-21 02:25 125952 ----a-w- c:\windows\ehome\ehtray.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "AntiVirusOverride"=dword:00000001
      "FirewallOverride"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
      "DisableMonitoring"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
      "DisableMonitoring"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
      "DisableMonitoring"=dword:00000001

      R2 gupdate1c9ff19e58a130b;Service Google Update (gupdate1c9ff19e58a130b);c:\program files\Google\Update\GoogleUpdate.exe [2009-07-07 133104]
      R3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2009-11-20 30192]
      S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-06-19 28544]
      S1 aswSP;avast! Self Protection; [x]
      S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-11-24 20560]
      S2 aswMonFlt;aswMonFlt;c:\windows\system32\DRIVERS\aswMonFlt.sys [2009-11-24 53328]
      S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
      S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-03-31 233472]
      S2 PCToolsSSDMonitorSvc;PC Tools Startup and Shutdown Monitor service;c:\program files\Common Files\PC Tools\sMonitor\StartManSvc.exe [2009-11-25 583640]
      S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-03-31 36608]


      --- Autres Services/Pilotes en mémoire ---

      *NewlyCreated* - FSUSBEXDISK
      *Deregistered* - uqkoyrs

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
      LPDService REG_MULTI_SZ LPDSVC
      HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
      hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
      ezSharedSvc
      .
      Contenu du dossier 'Tâches planifiées'

      2010-05-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2009-07-07 15:44]

      2010-05-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2009-07-07 15:44]

      2008-09-19 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
      - c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 09:20]
      .
      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://www.google.com/
      mWindow Title =
      uInternet Settings,ProxyOverride = *.local
      uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
      IE: &Winamp Search - c:\programdata\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
      IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
      IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
      IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
      IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
      FF - ProfilePath - c:\users\aissa\AppData\Roaming\Mozilla\Firefox\Profiles\m46xiyxc.default\
      FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
      FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
      FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
      FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
      FF - plugin: c:\program files\Picasa2\npPicasa3.dll
      FF - plugin: c:\users\aissa\AppData\Local\Yahoo!\BrowserPlus\2.6.0\Plugins\npybrowserplus_2.6.0.dll
      FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

      ---- PARAMETRES FIREFOX ----
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
      c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
      c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      HKCU-Run-IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
      HKLM-Run-NPSStartup - (no file)
      MSConfigStartUp-PC Suite Tray - c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe
      AddRemove-Ask Toolbar_is1 - c:\program files\AskBarDis\unins000.exe
      AddRemove-Athan - c:\windows\iun6002.exe
      AddRemove-HijackThis - c:\users\aissa\AppData\Local\Temp\Rar$EX02.768\HijackThis.exe



      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2010-05-05 14:16
      Windows 6.0.6001 Service Pack 1 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************

      [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\uqkoyrs]

      .
      Heure de fin: 2010-05-05 14:19:37
      ComboFix-quarantined-files.txt 2010-05-05 12:19
      ComboFix2.txt 2009-02-22 21:35
      ComboFix3.txt 2009-02-22 18:45

      Avant-CF: 215 593 132 032 octets libres
      Après-CF: 219 771 752 448 octets libres

      Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
      - - End Of File - - C578C10747C32DFEC21AE25511C478D2
      0
  10. gen-hackman
     
    qui t'a demandé de telecharger Combofix ????????

    c'est un outil des plus puissants ,très dangeureux qu'il faut savoir bien utiliser !!!

    et si ta machine avait planté comme c'est deja arrivé avec cet MAL UTILISE on aurait fait comment ???

    je ne prendrai pas la responsabilité d'une telle erreur d'initiative si ton pc ne demarre plus !

    desactive toutes tes protections et refais gMer !
    0
    1. ghaicha Messages postés 64 Statut Membre
       
      qu'est ce que tu veux dire par toutes les protections j'ai juste avast
      tu veux que je désinstalle combofix
      0
    2. gen-hackman
       
      desactive le resident de Avast
      0
    3. ghaicha Messages postés 64 Statut Membre
       
      c'est fait
      0
  11. gen-hackman
     
    ok j'attends le rapport gMer

    ne surfe pas sur internet pendant son utilisation merci
    0
    1. ghaicha Messages postés 64 Statut Membre
       
      voici mon rapport j'emmene ma petite au cours de musique je serai de retour à 18h merci encore
      0
    2. ghaicha Messages postés 64 Statut Membre
       
      voici le lien sur ci-joint
      http://www.cijoint.fr/cjlink.php?file=cj201005/cijQCsqsLh.txt
      0
  12. gen-hackman
     
    ok c'est bon

    desactive toutes tes protection , c'est un outil puissant !

    telecharge ici : https://www.androidworld.fr/

    lance-le par double clic

    un premier bloc notes s'ouvre , copie-colle ceci :

    C:\WINDOWS\system32\drivers\uqkoyrs.sys

    ensuite onglet fichier , clic sur enregistrer , puis ferme le bloc-notes

    l'outil va travailler , un deuxieme bloc-notes va s'ouvrir

    copie-colle ceci dedans :

    HKLM\SYSTEM\CurrentControlSet\Services\uqkoyrs
    HKLM\SYSTEM\ControlSet002\Services\uqkoyrs
    HKLM\SYSTEM\ControlSet003\Services\uqkoyrs
    HKLM\SYSTEM\ControlSet004\Services\uqkoyrs


    ensuite onglet fichier , clic sur enregistrer , puis ferme le bloc-notes

    l'outil va travailler , un troisieme bloc notes va s'ouvrir avec des infos à l'interieur ,communique-les dans ta reponse
    ?G3?-?@¢??@?(TM)©®?
    0
    1. ghaicha Messages postés 64 Statut Membre
       
      la réponse pour le premier bloc note est
      an error 0x0000001 occured during the delection of file: C:\WINDOWS\system32\drivers\uqkoyrs.sys accés refusé
      0
  13. gen-hackman
     
    ok passe au deuxieme quand meme
    0
    1. ghaicha Messages postés 64 Statut Membre
       
      voici les informations du 3eme bloc note:
      File deleted !! : C:\WINDOWS\system32\drivers\uqkoyrs.sys
      0
  14. gen-hackman
     
    c'est clair qu il est coriace celui-là

    refais gmer ?
    0
    1. ghaicha Messages postés 64 Statut Membre
       
      c'est parti pour le gmer
      0
    2. ghaicha Messages postés 64 Statut Membre
       
      gmer a cesse de fonctionné, c'est la réponse que j'ai eu après plusieurs tentatives;
      le chargement commence normalement et s'arrête après un moment et j'ai le message cité ci-dessus.
      0
  15. gen-hackman
     
    ok je viens de me rootkiter pour comprendre son fonctionnement dans le registre et je peux te dire que c'est balaise mais j'ai reussi donc ca devrait marcher pour toi
    il a fallu que je rajoute des composants au prog qui , il est vrai etait plutot leger comparé à maintenant....200 Ko de plus lol

    lien du nouveau :

    https://www.androidworld.fr/

    il a fallu que je fasse du renommage de fichier en temps reel dans la programmation sinon le rootkit le bloquait :

    une fois telechargé , refais ceci :

    https://forums.commentcamarche.net/forum/affich-17611337-mon-ordinateur-est-infecte#35

    tu vas voir sur ton bureau des icones changer de forme et de nom c'est normal il vont disparaitre à la fin
    0
    1. ghaicha Messages postés 64 Statut Membre
       
      même démarche même réponse, il est plus que coriace celui la
      0
    2. ghaicha Messages postés 64 Statut Membre
       
      rien ne se passe pour moi, j'ai refait encore une fois de plus
      0
    3. ghaicha Messages postés 64 Statut Membre
       
      j'ai refait un GMER, je te poste le lien sur ci-joint
      je ne sais pas si ca va t'aider pour pouvoir m'aider merci jean hackman
      http://www.cijoint.fr/cjlink.php?file=cj201005/cijCfttGhO.txt
      0
  16. gen-hackman
     
    bon je voulais pas relancer Combofix mais on y est obligé....


    __________________________________________________________
    =>/!\Le script qui suit a été écrit spécialement pour cet ordinateur/!\ <=
    =>il est fort déconseillé de le transposer sur un autre ordinateur !<=====|
    ---------------------------------------------------------------


    Toujours avec toutes les protections désactivées, fais ceci :

    ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------
    KillAll::

    Rootkit::
    C:\Windows\System32\Drivers\uqkoyrs.sys

    Driver::
    uqkoyrs

    Registry::
    [-HKLM\SYSTEM\CurrentControlSet\Services\uqkoyrs]
    [-HKLM\SYSTEM\ControlSet002\Services\uqkoyrs]
    [-HKLM\SYSTEM\ControlSet003\Services\uqkoyrs]
    [-HKLM\SYSTEM\ControlSet004\Services\uqkoyrs]

    ------------------------------------------------------------------

    ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
    ▶ Quitte le Bloc Notes

    ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

    ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

    0
    1. ghaicha Messages postés 64 Statut Membre
       
      voici le lien sur ci-joint du rapport de combofix:
      http://www.cijoint.fr/cjlink.php?file=cj201005/cijgv1ERn4.txt
      0
  17. gen-hackman
     
    bon on a eu le service mais pas le fichier.....

    je pense qu'il doit etre rattaché à autre chose qui le protege...qui le blinde

    supprime tous les petits progs que je t'ai fait telecharger

    on retente avec autre chose de beaucoup plus puissant :

    telecharge :

    https://www.androidworld.fr/

    (oui je sais le nom est identique mais le prog est 3 fois plus costaud)

    un seul document texte s'ouvrira , tu marqueras juste ca dedans :

    uqkoyrs

    onglet fichier , enregistrer , fermer , le tool va bosser

    ne touche à rien , attends le rapport final qui s'ouvrira a la fin

    enregistre-le sur ton bureau sous un autre nom , et reviens poster la reponse
    0
    1. ghaicha Messages postés 64 Statut Membre
       
      le tool n'a pas beaucoup bossé, regarde le rapport:
      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
      ¤¤¤¤¤¤¤¤¤¤ Rootkit ¤¤¤¤¤¤¤¤¤¤
      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

      ¤¤¤¤¤ Services :

      ¤ Service stopped !! : uqkoyrs
      ¤ Service Deleted !! : uqkoyrs

      ¤¤¤¤¤ Files :

      ¤ File deleted !! : C:\Windows\System32\Drivers\uqkoyrs.sys

      ¤¤¤¤¤ Keys | Root


      ¤¤¤¤¤ Keys | Services
      0
    2. ghaicha Messages postés 64 Statut Membre
       
      je te souhaite une bonne soirée et une bonne nuit à demain, car je tombe de sommeil
      0
  18. gen-hackman
     
    ok normalement le fichier est parti
    0
    1. gen-hackman
       
      j'en attendais pas plus :)
      0
    2. ghaicha Messages postés 64 Statut Membre
       
      Bonjour,

      tu veux dire que le fichier est vraiment parti?
      C'est super, tu es génial, milleeeeeeeeeeeeeeeeeeeeeeees merci.
      SARAH
      0
  19. gen-hackman
     
    redemarre ton pc et refais gmer pour certitude
    0
    1. ghaicha Messages postés 64 Statut Membre
       
      voici le lien du rapport de gmer après avoir redémarrer mon ordi comme tu me l'as conseillé:
      http://www.cijoint.fr/cjlink.php?file=cj201005/cij4MBkk2e.txt
      0
  • 1
  • 2