Virus vocal

NerOmU120891 Messages postés 23 Statut Membre -  
Tigzy Messages postés 7983 Statut Contributeur sécurité -
bonjour j ai le meme probleme avec un virus vocal "vanessa la top model"
je ne connais pas grand chose en pc mais j ai compris qu il fallait vous montrer sa pour voir ou est le probleme merci d avance de pouvoir me situer ou se trouve le probleme

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 8:47:02, on 11/05/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Vista Drive Icon\DrvIcon.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\PROGRA~1\OfficeKB\OfficeKB.EXE
C:\PROGRA~1\OfficeKB\KPDrv4XP.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\Goto Software\Vaderetro_Mgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\regsvr32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Utilisateur\Bureau\HiJackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Fichiers communs\InstallShield\UpdateService\agent.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IEPlugin Class - {11222041-111B-46E3-BD29-EFB2449479B1} - C:\PROGRA~1\ArcSoft\MEDIAC~1.5FO\STREAM~1\ARCURL~1.DLL
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: revenuebuster browser enhancer - {734579EF-3563-F309-83EA-825621A478AC} - C:\WINDOWS\system32\rszkhileco.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Search Assistant - {F0626A63-410B-45E2-99A1-3F2475B2D695} - C:\Program Files\SGPSA\BHO.dll
O2 - BHO: lightspeedincome - {fbd13f47-f6d3-191c-ae6d-752544ce3468} - C:\WINDOWS\system32\8164c54c.dll
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: Veoh Video Compass - {52836EB0-631A-47B1-94A6-61F9D9112DAE} - C:\Program Files\Veoh Networks\Veoh Video Compass\SearchRecsPlugin.dll
O3 - Toolbar: Fast Browser Search Toolbar - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [DrvIcon] C:\Program Files\Vista Drive Icon\DrvIcon.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [OfficeKB] C:\PROGRA~1\OfficeKB\OfficeKB.EXE
O4 - HKLM\..\Run: [KPDrv4XP] C:\PROGRA~1\OfficeKB\KPDrv4XP.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SGPUpdater] C:\Program Files\Search Guard PlusU\sgpUpdaters.exe
O4 - HKLM\..\Run: [FBSearch] C:\Program Files\Search Guard Plus\SearchGuardPlus.exe
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [zseebrotbnpuqejw] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\rszkhileco.dll"
O4 - HKLM\..\Run: [VadeRetro Outlook] C:\Program Files\Goto Software\Vade Retro\VrMoRegister.exe -s
O4 - HKLM\..\Run: [VRManager] C:\Program Files\Fichiers communs\Goto Software\Vaderetro_Mgr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - https://www.systemrequirementslab.com/cyri
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com/activex/hardwaredetection_3_0_3_1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - C:\Program Files\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Ma-Config Service (maconfservice) - Unknown owner - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

23 réponses

  • 1
  • 2
Résumé de la discussion

Le sujet décrit une suspicion de malware sur un PC Windows XP lié à un prétendu virus vocal nommé Vanessa la top model et s’appuie sur le rapport HijackThis v2.0.4 pour localiser l’origine. Le log répertorie de nombreux processus et éléments de démarrage, avec des entrées BHO et des barres d’outils variées, et des services externes potentiels inconnus. Pour clarifier l’origine, l’analyse met en évidence des éléments comme PnkBstrA/B et des modules tiers associés à des outils tels que Veoh, Google Toolbar et RealPlayer, qui méritent d’être vérifiés. D’autres composants listés incluent des programmes Windows Live, des services NOD32 et des éléments réseau, suggérant une analyse approfondie des clés de démarrage et des extensions de navigateur.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. NerOmU120891 Messages postés 23 Statut Membre 1
     
    http://www.cijoint.fr/cjlink.php?file=cj201005/cij5QcAAEt.txt
    voila le rapport de combofix
    1
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Ok, plus la peine de faire le VT, Combofix l'a explosé ^^
      0
  2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Salut

    Désinstalle Spybot et Search Guard Plus

    Télécharger sur le bureau
    AD-Remover
    = Double-Clic AD-R pour l'installer
    = Double-Clic AD-Remover, raccourci qui vient de se créer sur le bureau
    = Faire Scanner
    = En fin de scan donner le rapport
    0
  3. NerOmU120891 Messages postés 23 Statut Membre 1
     
    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 07/05/10 à 16:50
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 13:11:56 le 11/05/2010 | Mode normal | Option: SCAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows XP(TM) Service Pack 2 - X86
    Nom du PC: ATHLONX2
    Utilisateur actuel: Utilisateur
    .
    ============== ÉLÉMENT(S) TROUVÉ(S) ==============
    .
    .
    C:\Documents and Settings\All Users\Application Data\Trymedia
    C:\Documents and Settings\Utilisateur\Application Data\EoRezo
    C:\Documents and Settings\Utilisateur\Application Data\ItsLabel
    C:\Program Files\EoRezo
    C:\Program Files\Fast Browser Search
    C:\Program Files\Search Guard Plus
    C:\Program Files\Search Guard PlusU
    C:\Program Files\SGPSA
    .
    HKCU\Software\EoRezo
    HKCU\Software\FBSearch
    HKCU\Software\ItsLabel
    HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0F1E41E8-AD33-41B1-BFC5-E4004720A089}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F0626A63-410B-45E2-99A1-3F2475B2D695}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0626A63-410B-45E2-99A1-3F2475B2D695}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
    HKCU\Software\PopCap
    HKCU\Software\SGPUpdater
    HKLM\Software\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
    HKLM\Software\Classes\CLSID\{57CADC46-58FF-4105-B733-5A9F3FC9783C}
    HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKLM\Software\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}
    HKLM\Software\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}
    HKLM\Software\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
    HKLM\Software\Classes\ComObject.DeskbarEnabler
    HKLM\Software\Classes\ComObject.DeskbarEnabler.1
    HKLM\Software\Classes\EoRezoBHO.EoBho
    HKLM\Software\Classes\EoRezoBHO.EoBho.1
    HKLM\Software\Classes\Interface\{144940B1-F191-11D0-A8E2-00A0C90F29FC}
    HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
    HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
    HKLM\Software\Classes\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}
    HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook
    HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook.1
    HKLM\Software\EoRezo
    HKLM\Software\ItsLabel
    HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{685A456A-E8B4-481d-8B30-C94B609B0CF7}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Search Guard Plus
    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Search Guard Plus Updater
    HKLM\Software\PopCap
    HKLM\Software\Trymedia Systems
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
    HKLM\Software\Microsoft\Internet Explorer\Toolbar|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run|FBSearch
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SGPUpdater
    .
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 3.5.6 (fr) *
    .
    C:\Documents and Settings\Utilisateur\..\yptxo8u8.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\Utilisateur\\Mes documents\\Mes images
    C:\Documents and Settings\Utilisateur\..\yptxo8u8.default\prefs.js - browser.search.defaultenginename: Fast Browser Search
    C:\Documents and Settings\Utilisateur\..\yptxo8u8.default\prefs.js - browser.search.defaulturl: hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q=
    C:\Documents and Settings\Utilisateur\..\yptxo8u8.default\prefs.js - browser.search.selectedEngine: Google
    C:\Documents and Settings\Utilisateur\..\yptxo8u8.default\prefs.js - browser.startup.homepage: hxxp://www.google.be/
    C:\Documents and Settings\Utilisateur\..\yptxo8u8.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.8.1.20
    C:\Documents and Settings\Utilisateur\..\yptxo8u8.default\prefs.js - keyword.URL: hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={5B8DBEC1-19FF-CE63-601D-D625A3C62F31}&q=
    C:\Documents and Settings\Invité\..\uonwydq2.default\prefs.js - browser.startup.homepage: hxxp://www.google.be/webhp?hl=fr|hxxp://www.google.be/firefox?client=firefox-a&rls=org.mozilla:fr:official
    C:\Documents and Settings\Invité\..\uonwydq2.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.8.1
    .
    TROUVÉ: C:\Documents and Settings\Utilisateur\..\yptxo8u8.default\prefs.js - user_pref("browser.search.defaultenginename", "Fast Browser Search");
    TROUVÉ: C:\Documents and Settings\Utilisateur\..\yptxo8u8.default\prefs.js - user_pref("browser.search.defaulturl", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q=");
    TROUVÉ: C:\Documents and Settings\Utilisateur\..\yptxo8u8.default\prefs.js - user_pref("browser.search.order.1", "Fast Browser Search");
    TROUVÉ: C:\Documents and Settings\Utilisateur\..\yptxo8u8.default\prefs.js - user_pref("keyword.URL", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={5B8DBEC1-19FF-CE63-601D-D625A3C62F31}&q=");
    .
    * Internet Explorer Version 8.0.6001.18702 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://www.google.com/ie
    Search Page: hxxp://www.google.com
    Show_ToolBar: yes
    Start Page: hxxp://www.google.be/
    Use Search Asst: no
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: hxxp://www.fastbrowsersearch.com/new-tab/?v=19&tid={0AF1C9C2-5583-4ce4-BDF0-ADD8BF6F5919}
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Ad-Remover\Backup: 1 Fichier(s)
    .
    C:\Ad-Report-SCAN[1].txt - 6945 Octet(s)
    .
    Fin à: 13:24:40, 11/05/2010
    .
    ============== E.O.F - SCAN[1] ==============

    voila
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Repasse le en Nettoyage.
      Tu avais bien désinstallé comme j'ai demandé avant?
      0
  4. NerOmU120891 Messages postés 23 Statut Membre 1
     
    oui j ai desinstaller 2 logiciels
    ok je passe au nettoyage et apres ce sera bon?
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      On verra après
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. NerOmU120891 Messages postés 23 Statut Membre 1
     
    bon j ai du redemarrer maintenant j attend et je te dis quoi :)
    merci de ton aide sa va vraiment faire plaisir de ne plus entendre cette vidéo a longueur de journée^^
    et je te dis quoi si sa a marché ;) bonne journée a toi tig ^^
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      C'est pas fini ^^

      Envoi le rapport , et ensuite

      * Télécharge ZHPDiag
      Capture

      * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
      * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
      * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
      * Heberge le rapport ici: cijoint et colle le lien dans la réponse
      0
  7. NerOmU120891 Messages postés 23 Statut Membre 1
     
    ha dsl je croyais ^^", pr envoyer le rapport je dois re scanner av ad-r? parce que apres le nettoyage aucun rapport c est afficher.. et la j installe le zhpdiag
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Ba fais le ZHp alors
      0
  8. NerOmU120891 Messages postés 23 Statut Membre 1
     
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijtfodrAb.txt
    0
  9. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Ba oui, c'est loin d'être fini puisque tu est sacrément infectée...

    ---\\ Recherche d'infection Master Boot Record (O80)
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
    Run by Utilisateur at 11/05/2010 14:13:34
    device: opened successfully
    user: MBR read successfully
    called modules: TUKERNEL.EXE CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x87318008]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\atapi -> 0x87318008
    Warning: possible MBR rootkit infection !

    user & kernel MBR OK
    Use "Recovery Console" command "fixmbr" to clear infection !
    Use "ZHPFix" command "MBRFix" to clear infection !


    ----------

    *Copier ceci:

    "C:\WINDOWS\system32\rszkhileco.dll"

    *Aller sur Virus Total
    * Cliquer sur "Choisir"
    *Coller dans "nom du fichier" et envoyer le fichier
    *Puis coller le rapport généré

    ----------

    Télécharger et enregistrer sur le bureau
    Combofix

    =Desactiver l'antivirus
    =Double-clic sur Combofix
    = Presser 1 si demandé
    = Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
    =Copier/coller le rapport dans la réponse
    Un rapport dans C:\Combofix.txt à mettre dans la réponse
    Réactiver l'antivirus
    0
  10. NerOmU120891 Messages postés 23 Statut Membre 1
     
    j ai fais comme tu ma dis sur virus total mais je ne sais pas ce qu est le rapport généré^^"
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Prend le lien dans la barre d'adresse.
      0
  11. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Ok, ya encore du boulot

    Telecharge:

    The avenger

    * dezippe le , Lance le , executer en tant qu'administrateur sous vista

    capture

    Dans le cadre , sous Input Script here , copie_colle ce qui est en gras ci dessous et clic execute:


    Files to delete:
    c:\windows\system32\558a54d0.exe
    c:\windows\system32\olhvxanhxpflq.exe
    c:\windows\popcinfo.dat
    c:\windows\system32\8164c54c.dll
    c:\program files\Veoh9E7B479EC4974E649F12391316B35342.videos
    c:\program files\SetupVeohVideoCompass-1.5.1.1040.exe


    * Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

    ---------

    *Téléchargez mbr.exe de Gmer sur le Bureau : mbr.exe
    *Désactivez vos protections et coupez la connexion.

    *cliquer sur le Menu démarrer --> Exécuter, et tapez la commande suivante :
    *Sous XP : "%userprofile%\Bureau\mbr" -f
    *Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f
    *Dans le mbr.log cette ligne apparaîtra : original MBR restored successfully !
    *Postez le rapport
    0
  12. NerOmU120891 Messages postés 23 Statut Membre 1
     
    jsuis sous xp il y a une différence?
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Non, la ligne c'est bien ça
      *Sous XP : "%userprofile%\Bureau\mbr" -f

      Tu as fait the avenger en premier?

      EDIT: désolé, non rien de particulier pour The avenger.
      0
  13. NerOmU120891 Messages postés 23 Statut Membre 1
     
    Logfile of The Avenger Version 2.0, (c) by Swandog46
    http://swandog46.geekstogo.com

    Platform: Windows XP

    *******************

    Script file opened successfully.
    Script file read successfully.

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Rootkit scan active.
    No rootkits found!

    Completed script processing.

    *******************

    Finished! Terminate.

    //////////////////////////////////////////
    Avenger Pre-Processor log
    //////////////////////////////////////////

    Platform: Windows XP (build 2600, Service Pack 2)
    Tue May 11 16:02:12 2010

    16:02:12: Error: Invalid script. A valid script must begin with a command directive.
    Aborting execution!

    //////////////////////////////////////////

    //////////////////////////////////////////
    Avenger Pre-Processor log
    //////////////////////////////////////////

    Platform: Windows XP (build 2600, Service Pack 2)
    Tue May 11 16:02:25 2010

    16:02:25: Error: Invalid script. A valid script must begin with a command directive.
    Aborting execution!

    //////////////////////////////////////////

    //////////////////////////////////////////
    Avenger Pre-Processor log
    //////////////////////////////////////////

    Platform: Windows XP (build 2600, Service Pack 2)
    Tue May 11 16:02:33 2010

    16:02:33: Error: Invalid script. A valid script must begin with a command directive.
    Aborting execution!

    //////////////////////////////////////////

    Logfile of The Avenger Version 2.0, (c) by Swandog46
    http://swandog46.geekstogo.com

    Platform: Windows XP

    *******************

    Script file opened successfully.
    Script file read successfully.

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Rootkit scan active.
    No rootkits found!

    File "c:\windows\system32\558a54d0.exe" deleted successfully.
    File "c:\windows\system32\olhvxanhxpflq.exe" deleted successfully.
    File "c:\windows\popcinfo.dat" deleted successfully.
    File "c:\windows\system32\8164c54c.dll" deleted successfully.
    File "c:\program files\Veoh9E7B479EC4974E649F12391316B35342.videos" deleted successfully.
    File "c:\program files\SetupVeohVideoCompass-1.5.1.1040.exe" deleted successfully.

    Completed script processing.

    *******************

    Finished! Terminate.
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      T'as du craquer dans le copier coller ^^
      Mais ça a marché quand même...

      Tu as fait le mbr? (2nde manip)
      0
  14. NerOmU120891 Messages postés 23 Statut Membre 1
     
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    0
  15. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    * Télécharge >> OTL << sur ton bureau.

    * Fait un double-clic sur l'icône d'OTL pour le lancer
    /!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

    * Assure toi d'avoir fermé toutes les applications en cours de fonctionnement.

    * Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Output" (en haut à droite) la case "minimal Output" soit cochée.

    * Copie et colle le contenu de cette citation dans la partie inférieure d'OTL "Custom scan/fixes"


    netsvcs
    %SYSTEMDRIVE%\*.exe
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles



    * Cliques sur l'icône "Run Scan" (en haut à gauche) .
    * Laisse le scan aller à son terme sans te servir du PC
    * A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
    * Copie et colle le ou les rapports dans ta réponse stp...
    * Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
    0
  16. NerOmU120891 Messages postés 23 Statut Membre 1
     
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijRCSASPa.txt
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijXYfnCJS.txt
    0
  17. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Bon on va galérer.

    Télécharger et dézipper sur le bureau TDSSKiller

    = Lancer TDSSKiller en faisant un double clique
    = Une fois le scan fini, un rapport s'ouvre
    = Copier coller le contenu dans la prochaine réponse
    = Le rapport se trouve également dans C:\TDSSKiller.XXXXXX_log.txt.( X correspondant a la version, la date et l'heure )

    --------

    Refait un Combofix.
    0
  18. NerOmU120891 Messages postés 23 Statut Membre 1
     
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijTHdSXwP.txt
    maintenant je refais combofix?
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Oui.
      0
  19. NerOmU120891 Messages postés 23 Statut Membre 1
     
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijRkfD2Ns.txt
    voila le log de combofix
    0
  20. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Télécharger sur le bureau
    Gmer
    = Clic sur ==> GMER Application: Gmer.zip
    = Clic-droit sur l'archive Gmer
    = Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
    = Double-clic sur Gmer qui vient de se créer
    = Une fenêtre s'ouvre, clic Scan
    Patienter jusqu'à la fin du scan
    = Clic Save
    = Choisir => bureau => nommer : rapport
    0
  21. NerOmU120891 Messages postés 23 Statut Membre 1
     
    gmer foire il me fais direct le scan et plante "envoyer le rapport d erreur" ou "ne pas envoyer" tu vois le genre de message^^"
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Est ce que Deamon tools est installé sur ton PC?
      0
    2. NerOmU120891 Messages postés 23 Statut Membre 1
       
      je ne pense pas
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Bon je vais demander de l'aide, elle est bizarre ton histoire...
      0
    4. NerOmU120891 Messages postés 23 Statut Membre 1
       
      haaa si je l ai désolé^^"
      0
    5. NerOmU120891 Messages postés 23 Statut Membre 1
       
      donc je fais quoi maintenant?^^"
      0
  • 1
  • 2