Gros souci, impossibilité de télécharger...

Florence D. Messages postés 9 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour à tous,

Ça fait un petit moment que je consulte le forum et je profite de mon inscription pour remercier les admins de leurs conseils et infos. Combien de fois ça m'a sauvé la mise...
On trouve tout ici ! Ou presque...

Voici mon problème : depuis 2 jours, je ne peux plus me connecter à certains sites web que je consulte régulièrement, les pages web s'affichent partiellement, etc. Mais le gros problème, c'est surtout que je ne peux plus rien télécharger. Ni pièces jointes des mails que je reçoit, ni logiciels... ce qui ne m'aide pas pour faire face au problème !

Avast m'a averti que j'avais un trojan : Win32:Kates-BL [Trj]. J'ai plusieurs fois mis cette saleté en quarantaine et cliqué sur "supprimer", mais Avast ne semble pas être capable de l'éliminer. Il le détecte, le stocke, et c'est tout. Idem avec Spybot S&D qui ne fait rien de concluant.
Je ne sais pas comment l'éliminer... Et je désespère un peu, là. J'ai besoin de votre aide !

Merci par avance, et à bientôt.
Florence

Quelques infos sur ma config :
Système d'exploitation : Windows XP SP3 (Edition familiale)
Navigateur : Firefox 3.6.3
Antivirus : Avast!

15 réponses

  1.
    Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Oubli Spybot.
    Win32:Kates-BL [Trj] est détecté dans quel fichier ?

    Si tu peux transférer par clef USB depuis un autre PC et à faire sur le PC infecté :

    - Télécharge http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe ton bureau.
    - Double-clic sur HijackThis
    - Génère un rapport en suivant ces indications :
    - Exécute le et clique sur Do a scan and save log file.
    - Le rapport s'ouvre sur le Bloc-Note
    - Colle le rapport ici, pour cela :
    - Menu Edition / Selectionner Tout
    - Menu Edition / copier
    - Ici dans un nouveau message : clic droit / coller

    0
    1. Florence D. Messages postés 9 Statut Membre
       
      Merci pour ta rapidité Malekal ! Je suis passée par un autre PC et fait ce que tu m'as indiqué.

      Win32 est situé dans "Documents and Settings > Local Settings > Temp. C'est ce que m'indique Avast, qui nomme le fichier "faol.bak".

      Voici le rapport :

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 11:42:53, on 28/05/2010
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\system32\nvsvc32.exe
      C:\Program Files\CyberLink\Shared Files\RichVideo.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Inventel\Gateway\wlancfg.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\RTHDCPL.EXE
      C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\CyberLink\PCM4Everio\EverioService.exe
      C:\Program Files\Unlocker\UnlockerAssistant.exe
      C:\Program Files\Java\jre6\bin\jusched.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Java\jre6\bin\jucheck.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\Adobe\Photoshop CS\Photoshop.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.noos.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*https://fr.yahoo.com/?p=us
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
      O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
      O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
      O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
      O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
      O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [Install5G] D:\Install.exe plug_Cameo
      O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
      O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [EverioService] "C:\Program Files\CyberLink\PCM4Everio\EverioService.exe"
      O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2454359 14
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Nikon Monitor.lnk = C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
      O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
      O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
      O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O20 - AppInit_DLLs: winmm.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
      O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
      0
  2. g.chinal Messages postés 1151 Date d'inscription   Statut Membre Dernière intervention   76
     
    Hello !

    Commence par passer un coup de CCleaner
    Ensuite, Vire Avast et installe AntiVir !
    Passe un petit coup d'AntiVir, si lui non plus ne parvient pas à la supprimer, c'est bon t'as gagné tu peux re-mettre Avast ^^
    Télécharge donc HiJackThis en dernier recours, clique sur do a system scan and save a log file puis post le ici !

    Voilà voilà bon courage !
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Utiliser CCleaner dans ces cas là, c'est est encore plus inutile que utiliser Spybot.
    Et garde Avast!... Elle va pas aller se prendre la tête à installer Antivir sans connexion internet, donc faire une maj manuelle & co pour faire un scan et prier pour qu'il enlève un des trojans et probablement en laisser d'autres (surtout des rootkits).

    La roulette russe des scans avec des antimachins pour espérer supprimer des trucs détectés par l'autre, c'est vraiment pas efficace.
    0
  4. g.chinal Messages postés 1151 Date d'inscription   Statut Membre Dernière intervention   76
     
    Les trojans peuvent se loger dans les cookies d'où l'utilisation de CCleaner ...
    Spybot, pour info détecte spywares & trojans donc je ne vois rien d'inutile à tout ça ...
    @+
    0

  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Les trojans peuvent se loger dans les cookies d'où l'utilisation de CCleaner ...

    Les trojans se logent pas dans les cookies.
    Eventuellement t'as des tracking cookies issus des pubs (que certains antimachins tagguent en spywares)... sauf que... CCleaner il fait pas la différence entre un tracking cookies d'un cookies "sain", donc aux mieux tu supprimes tous les cookies et donc tu perds les cookies de sessions et compagnie.
    Et toute façon dans son cas, c'est pas un prb de cookies.
    Donc CCleaner sert à rien.

    Spybot, pour info détecte spywares & trojans donc je ne vois rien d'inutile à tout ça ...

    oui sur le papier c'est un antimachin qui est censé détecter...
    Dans la réalité, sur une infection, il va te détecter 20% et dans les 20% ce sera en grande partie des clefs du registre....
    Ensuite détecté c'est pas supprimé.... et spybot, c'est une brèle pour supprimer là où déjà la majorité des antivirus sont largués.
    Donc au final, il sert à rien.
    Spybot c'était bien en 2000.
    0
  7. g.chinal Messages postés 1151 Date d'inscription   Statut Membre Dernière intervention   76
     
    Okai donc repartis pour la bonne vieille méthode HiJackThis
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    oui et encore c'est pas suffiant.
    (pour revenir à Spybot, si tu regardes les posts, y a de grandes chances qu'il soit installé et certains vont te préciser qu'ils ont déjà fait un scan avec et le prb n'est pas résolu).

    Le seul scanneur antiqqchose qui tient la route en désinfection, c'est Malwarebyte.
    Dès que l'infection est un peu sophistiquées (rootkit par exemple), le scanneur avec un antimachin depuis le système d'exploitation infectée servira à rien.
    Après depuis un CD Live, c'est une autre histoire.
    0
  9. Florence D. Messages postés 9 Statut Membre
     
    Merci pour ta rapidité Malekal ! Je suis passée par un autre PC et fait ce que tu m'as indiqué.

    Win32 est situé dans "Documents and Settings > Local Settings > Temp. C'est ce que m'indique Avast, qui nomme le fichier "faol.bak".

    Voici le rapport :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:42:53, on 28/05/2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Inventel\Gateway\wlancfg.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\CyberLink\PCM4Everio\EverioService.exe
    C:\Program Files\Unlocker\UnlockerAssistant.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Java\jre6\bin\jucheck.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Adobe\Photoshop CS\Photoshop.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.noos.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*https://fr.yahoo.com/?p=us
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Install5G] D:\Install.exe plug_Cameo
    O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
    O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [EverioService] "C:\Program Files\CyberLink\PCM4Everio\EverioService.exe"
    O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2454359 14
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Nikon Monitor.lnk = C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O20 - AppInit_DLLs: winmm.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
    0
  10. g.chinal Messages postés 1151 Date d'inscription   Statut Membre Dernière intervention   76
     
    Une analyse par Live CD, ça va quand même un peu loin enfin ça reste une des meilleures solutions. Mais HiJackThis résout quand même 90% des problèmes !

    Sur ce, je te laisse gérer tout ça, t'as plutôt l'air de bien t'y connaitre ;) Con courage !
    0
  11. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Win32 est situé dans "Documents and Settings > Local Settings > Temp. C'est ce que m'indique Avast, qui nomme le fichier "faol.bak".

    OK ca doit être Trojan.Daonol (rien à voir avec les yaourghts :p)
    Normalement il fait des redirections lors des recherches Google (bon t'as plus internet) et je crois que les derniers volent les mots de passe surtout FTP.

    Normalement Combofix lui pète la tête.

    Désactive les logiciels de protection (Antivirus, Antispywares) puis :

    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

    Eventuellement, installe la console de récupération comme cela est conseillé

    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

    Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

    Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

    0
    1. Florence D. Messages postés 9 Statut Membre
       
      Merci merci merci... Voici le rapport :

      ComboFix 10-05-27.03 - Le Cabestan 28/05/2010 12:24:14.1.2 - x86
      Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.535 [GMT 2:00]
      Lancé depuis: c:\documents and settings\Le Cabestan\Bureau\ComboFix.exe
      AV: avast! antivirus 4.8.1335 [VPS 100526-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
      * Un nouveau point de restauration a été créé
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\Install.exe

      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-28 au 2010-05-28 ))))))))))))))))))))))))))))))))))))
      .

      2010-05-28 09:42 . 2010-05-28 09:42 -------- d-----w- c:\program files\Trend Micro
      2010-05-27 09:16 . 2010-05-28 08:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
      2010-05-27 09:16 . 2010-05-27 10:37 -------- d-----w- c:\program files\Spybot - Search & Destroy
      2010-05-27 09:15 . 2010-05-27 08:42 16409960 ----a-w- c:\program files\spybotsd162.exe
      2010-05-27 08:15 . 2010-05-27 08:15 503808 ----a-w- c:\documents and settings\Le Cabestan\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-33b30f4a-n\msvcp71.dll
      2010-05-27 08:15 . 2010-05-27 08:15 499712 ----a-w- c:\documents and settings\Le Cabestan\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-33b30f4a-n\jmc.dll
      2010-05-27 08:15 . 2010-05-27 08:15 348160 ----a-w- c:\documents and settings\Le Cabestan\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-33b30f4a-n\msvcr71.dll
      2010-05-06 09:53 . 2010-03-26 08:33 43008 ----a-w- c:\documents and settings\Le Cabestan\Application Data\Mozilla\Firefox\Profiles\bga88u4r.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
      2010-05-06 09:53 . 2010-03-26 08:33 1496064 ----a-w- c:\documents and settings\Le Cabestan\Application Data\Mozilla\Firefox\Profiles\bga88u4r.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
      2010-05-06 09:53 . 2010-03-26 08:33 339456 ----a-w- c:\documents and settings\Le Cabestan\Application Data\Mozilla\Firefox\Profiles\bga88u4r.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
      2010-05-06 09:53 . 2010-03-26 08:32 346112 ----a-w- c:\documents and settings\Le Cabestan\Application Data\Mozilla\Firefox\Profiles\bga88u4r.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2010-05-27 10:44 . 2008-04-09 15:25 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
      2010-05-27 10:43 . 2008-04-09 15:25 -------- d-----w- c:\program files\SpywareBlaster
      2010-05-04 15:56 . 2009-04-14 08:46 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLdw.DAT
      2010-05-04 15:52 . 2009-04-14 08:44 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLdu.DAT
      2010-04-01 17:45 . 2006-10-05 06:41 86274 ----a-w- c:\windows\system32\perfc00C.dat
      2010-04-01 17:45 . 2006-10-05 06:41 514630 ----a-w- c:\windows\system32\perfh00C.dat
      2010-03-09 11:10 . 2006-10-05 06:41 430080 ----a-w- c:\windows\system32\vbscript.dll
      2008-04-29 20:34 . 2008-04-29 20:34 15397 ----a-w- c:\program files\settings.dat
      2007-09-15 10:45 . 2007-09-15 10:45 278528 ----a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "fsc-reminder.exe"="c:\windows\reminder\fsc-reminder.exe" [2005-01-19 28672]
      "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
      "RTHDCPL"="RTHDCPL.EXE" [2006-08-23 16050688]
      "SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
      "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-20 7581696]
      "nwiz"="nwiz.exe" [2006-07-20 1519616]
      "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
      "SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
      "OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 75304]
      "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
      "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-06-29 286720]
      "EverioService"="c:\program files\CyberLink\PCM4Everio\EverioService.exe" [2007-11-01 151552]
      "UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
      "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

      c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
      Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-10-24 113664]
      Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
      Nikon Monitor.lnk - c:\program files\Fichiers communs\Nikon\Monitor\NkMonitor.exe [2008-6-5 479232]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
      "LoadAppInit_DLLs"=1 (0x1)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\CyberLink\\PCM4Everio\\PCM4Everio.exe"=
      "c:\\Program Files\\CyberLink\\PCM4Everio\\EverioService.exe"=
      "c:\\Program Files\\CyberLink\\PowerDirector Express\\PDX.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "58469:TCP"= 58469:TCP:Pando P2P TCP Listening Port
      "58469:UDP"= 58469:UDP:Pando P2P UDP Listening Port

      R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [27/06/2008 19:33 114768]
      R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [27/06/2008 19:33 20560]
      R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [02/11/2005 12:53 215552]
      .
      Contenu du dossier 'Tâches planifiées'

      2010-05-26 c:\windows\Tasks\AppleSoftwareUpdate.job
      - c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]
      .
      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://www.noos.fr/
      mStart Page = hxxp://fr.yahoo.com/fsc/
      uInternet Connection Wizard,ShellNext = hxxp://fr.yahoo.com/fsc/
      uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*https://fr.yahoo.com/?p=us
      IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
      IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
      IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
      IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
      IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
      FF - ProfilePath - c:\documents and settings\Le Cabestan\Application Data\Mozilla\Firefox\Profiles\bga88u4r.default\
      FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
      FF - component: c:\documents and settings\Le Cabestan\Application Data\Mozilla\Firefox\Profiles\bga88u4r.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
      FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

      ---- PARAMETRES FIREFOX ----
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      HKCU-Run-MsnMsgr - c:\program files\Windows Live\Messenger\MsnMsgr.Exe
      HKLM-Run-Muscbrigade - c:\musicbrigade\Musicbrigade.exe
      HKLM-Run-Install5G - D:\Install.exe



      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2010-05-28 12:30
      Windows 5.1.2600 Service Pack 3 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      --------------------- CLES DE REGISTRE BLOQUEES ---------------------

      [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h-€|ÿÿÿÿ¤*€|ù*9~*]
      "C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
      .
      Heure de fin: 2010-05-28 12:33:38
      ComboFix-quarantined-files.txt 2010-05-28 10:33

      Avant-CF: 270 497 824 768 octets libres
      Après-CF: 270 616 371 200 octets libres

      WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

      - - End Of File - - 5A08F7D7D800AFF679DC0204C2C4D719
      0
  12. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tjrs des alertes d'Avast! ?

    Tjrs un prb de connexion internet ?

    Tu es en cable chez noos ?
    Pas de Wifi ?

    Tu peux surfer ou ce sont juste les téléchargements qui sont impossible ?
    0
    1. Florence D. Messages postés 9 Statut Membre
       
      Ben c'est bizarre... J'ai fait un essai, je peux surfer, aucun souci, et je peux maintenant récupérer les pièces jointes de mes mails, c'est un bon point !

      Par contre, certains sites s'affichent toujours partiellement et je ne peux toujours pas télécharger de logiciels. Et Avast! m'a refait une alerte à l'instant pour Win32...

      Je ne suis pas chez noos. Je suis connectée en Wifi à une Live box pro.
      0
  13. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Et Avast! m'a refait une alerte à l'instant pour Win32...

    Quand tu as une alerte, il faut donner le nom du fichier.
    Sinon ça sert à rien.

    Par contre, certains sites s'affichent toujours partiellement et je ne peux toujours pas télécharger de logiciels.

    C'est à dire ? ça fait quoi quand tu veux télécharger, tu clics sur le lien et après... il se passe quoi ?
    0
    1. Florence D. Messages postés 9 Statut Membre
       
      Pardon, je n'ai pas précisé car l'emplacement est toujours le même : "Documents and Settings > Local Settings > Temp > "faol.bak".

      Quand je veux télécharger, je clique sur le lien; une fenêtre s'ouvre; je clique sur "enregistrer"; la fenêtre se ferme ; en bas à droite, Firefox me dit "Un téléchargement en cours (temps restant indéterminé)". Et ça s'arrête là. Le téléchargement ne s'achève jamais et le logiciel n'est pas téléchargé.

      Oui, précision : le fichier .exe du logiciel que je tente de télécharger apparaît quand même dans mon dossier de téléchargement, mais quand je veux l'éxécuter, on me dit que ce "n'est pas une application Win32 valide"...
      0
  14. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    OK pour le téléchargement, ça doit être Firefox qui déconne.
    CCleaner doit pouvoir aider en virant via analyse firefox et histo téléchargement)

    Sinon faut supprimer le fichier downloads.sqlite qui doit se trouver grosso modo par là :
    c:\documents and settings\Le Cabestan\Application Data\Mozilla\Firefox\Profiles\xxxxxx.default\downloads.sqlite

    Pour le malware :

    Télécharger SystemLook à partir d'un des liens ci dessous sur ton Bureau.
    Download Mirror:: http://jpshortstuff.247fixes.com/SystemLook.exe
    Download Mirror #2:: http://images.malwareremoval.com/jpshortstuff/SystemLook.exe

    * Double-click SystemLook.exe pour le lançer.
    * Clic droit|copier le contenu du cadre ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook:

    :reg
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\ /sub

    * Click le bouton Look pour commencer le scan.
    * Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche

    ~~

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Sous Custom Scans/Fixes, copie-colle ce qu'il y a dans le cadre ci-dessous :
    netsvcs
    %SYSTEMDRIVE%\*.exe
    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32 /s
    %systemroot%\*. /mp /s
    CREATERESTOREPOINT
    * Clique sur le bouton Quick Scan.
    * Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

    Madness Rox \o/
    0
    1. Florence D. Messages postés 9 Statut Membre
       
      Voilà, comme je m'en doutais, je ne peux plus accéder à commentçamarche via l'ordi infecté... Je me connecte donc avec l'autre. Quelle misère !!! Bref.
      ------------------------------------------------------
      Voici le rapport de SystemLook :

      SystemLook v1.0 by jpshortstuff (11.01.10)
      Log created at 15:02 on 28/05/2010 by Le Cabestan (Administrator - Elevation successful)

      ========== reg ==========

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\]
      "aux"="wdmaud.drv"
      "midi"="wdmaud.drv"
      "midi9"="C:\DOCUME~1\LECABE~1\LOCALS~1\Temp\faol.bak 2yAPFDOFNF"
      "midimapper"="midimap.dll"
      "mixer"="wdmaud.drv"
      "msacm.iac2"="C:\WINDOWS\system32\iac25_32.ax"
      "msacm.imaadpcm"="imaadp32.acm"
      "msacm.l3acm"="C:\WINDOWS\system32\l3codeca.acm"
      "msacm.msadpcm"="msadp32.acm"
      "msacm.msaudio1"="msaud32.acm"
      "msacm.msg711"="msg711.acm"
      "msacm.msg723"="msg723.acm"
      "msacm.msgsm610"="msgsm32.acm"
      "msacm.sl_anet"="sl_anet.acm"
      "msacm.trspch"="tssoft32.acm"
      "vidc.cvid"="iccvid.dll"
      "vidc.I420"="msh263.drv"
      "vidc.iv31"="ir32_32.dll"
      "vidc.iv32"="ir32_32.dll"
      "vidc.iv41"="ir41_32.ax"
      "vidc.iv50"="ir50_32.dll"
      "vidc.iyuv"="iyuv_32.dll"
      "vidc.M261"="msh261.drv"
      "vidc.M263"="msh263.drv"
      "vidc.mrle"="msrle32.dll"
      "vidc.msvc"="msvidc32.dll"
      "vidc.uyvy"="msyuv.dll"
      "vidc.yuy2"="msyuv.dll"
      "vidc.yvu9"="tsbyuv.dll"
      "vidc.yvyu"="msyuv.dll"
      "wave"="wdmaud.drv"
      "wavemapper"="msacm32.drv"

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\\Terminal Server]
      (No values found)

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\\Terminal Server\RDP]
      "EnableMP3Codec"= 0x0000000001 (1)
      "MaxBandwidth"= 0x00000056b9 (22201)
      "midimapper"="midimap.dll"
      "mixer"="rdpsnd.dll"
      "wave"="rdpsnd.dll"
      "wavemapper"="msacm32.drv"


      -=End Of File=-

      ---------------------------------------------------------------

      Voici le lien pour accéder aux deux rapports OTL.txt et Extras.txt :
      http://www.cijoint.fr/cjlink.php?file=cj201005/cijzz1Phze.doc

      Merci beaucoup, encore.
      0
  15. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Bon c'est bien Trojan.Danoal.

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\]
    "aux"="wdmaud.drv"
    "midi"="wdmaud.drv"
    "midi9"="C:\DOCUME~1\LECABE~1\LOCALS~1\Temp\faol.bak 2yAPFDOFNF"

    Fais ça :
    DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    file::
    C:\DOCUME~1\LECABE~1\LOCALS~1\Temp\faol.bak
    C:\DOCUME~1\LECABE~1\LOCALS~1\Temp\faol.bak 2yAPFDOFNF
    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]
    midi9=-

    Enregistre ce fichier sous le nom CFScript

    [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

    [*]Combofix se lance, laisse toi guider..

    [*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    [*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

    Regarde si tu as encore des alertes Avast!.

    Madness Rox \o/
    0
    1. Florence D. Messages postés 9 Statut Membre
       
      Waw ! Je peux me reconnecter ici, magnifique ! Je peux télécharger sans problèmes, je n'ai plus de message d'Avast. On peut dire que le problème est résolu.....

      D'après le rapport, le "yaourt" a été supprimé... ^_^

      Voici le rapport :

      ComboFix 10-05-27.03 - Le Cabestan 28/05/2010 16:12:02.2.2 - x86
      Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.645 [GMT 2:00]
      Lancé depuis: c:\documents and settings\Le Cabestan\Bureau\ComboFix.exe
      Commutateurs utilisés :: c:\documents and settings\Le Cabestan\Bureau\CFScript.txt
      AV: avast! antivirus 4.8.1335 [VPS 100526-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

      FILE ::
      "c:\docume~1\LECABE~1\LOCALS~1\Temp\faol.bak"
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\docume~1\LECABE~1\LOCALS~1\Temp\faol.bak

      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-28 au 2010-05-28 ))))))))))))))))))))))))))))))))))))
      .

      2010-05-28 09:42 . 2010-05-28 09:42 -------- d-----w- c:\program files\Trend Micro
      2010-05-27 09:16 . 2010-05-28 08:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
      2010-05-27 09:16 . 2010-05-27 10:37 -------- d-----w- c:\program files\Spybot - Search & Destroy
      2010-05-27 09:15 . 2010-05-27 08:42 16409960 ----a-w- c:\program files\spybotsd162.exe
      2010-05-06 09:53 . 2010-03-26 08:33 43008 ----a-w- c:\documents and settings\Le Cabestan\Application Data\Mozilla\Firefox\Profiles\bga88u4r.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
      2010-05-06 09:53 . 2010-03-26 08:33 1496064 ----a-w- c:\documents and settings\Le Cabestan\Application Data\Mozilla\Firefox\Profiles\bga88u4r.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
      2010-05-06 09:53 . 2010-03-26 08:33 339456 ----a-w- c:\documents and settings\Le Cabestan\Application Data\Mozilla\Firefox\Profiles\bga88u4r.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
      2010-05-06 09:53 . 2010-03-26 08:32 346112 ----a-w- c:\documents and settings\Le Cabestan\Application Data\Mozilla\Firefox\Profiles\bga88u4r.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2010-05-27 10:44 . 2008-04-09 15:25 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
      2010-05-27 10:43 . 2008-04-09 15:25 -------- d-----w- c:\program files\SpywareBlaster
      2010-05-04 15:56 . 2009-04-14 08:46 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLdw.DAT
      2010-05-04 15:52 . 2009-04-14 08:44 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLdu.DAT
      2010-04-01 17:45 . 2006-10-05 06:41 86274 ----a-w- c:\windows\system32\perfc00C.dat
      2010-04-01 17:45 . 2006-10-05 06:41 514630 ----a-w- c:\windows\system32\perfh00C.dat
      2010-03-09 11:10 . 2006-10-05 06:41 430080 ----a-w- c:\windows\system32\vbscript.dll
      2008-04-29 20:34 . 2008-04-29 20:34 15397 ----a-w- c:\program files\settings.dat
      2007-09-15 10:45 . 2007-09-15 10:45 278528 ----a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "fsc-reminder.exe"="c:\windows\reminder\fsc-reminder.exe" [2005-01-19 28672]
      "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
      "RTHDCPL"="RTHDCPL.EXE" [2006-08-23 16050688]
      "SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
      "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-20 7581696]
      "nwiz"="nwiz.exe" [2006-07-20 1519616]
      "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
      "SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
      "OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 75304]
      "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
      "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-06-29 286720]
      "EverioService"="c:\program files\CyberLink\PCM4Everio\EverioService.exe" [2007-11-01 151552]
      "UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
      "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

      c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
      Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-10-24 113664]
      Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
      Nikon Monitor.lnk - c:\program files\Fichiers communs\Nikon\Monitor\NkMonitor.exe [2008-6-5 479232]

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\CyberLink\\PCM4Everio\\PCM4Everio.exe"=
      "c:\\Program Files\\CyberLink\\PCM4Everio\\EverioService.exe"=
      "c:\\Program Files\\CyberLink\\PowerDirector Express\\PDX.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "58469:TCP"= 58469:TCP:Pando P2P TCP Listening Port
      "58469:UDP"= 58469:UDP:Pando P2P UDP Listening Port

      R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [27/06/2008 19:33 114768]
      R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [27/06/2008 19:33 20560]
      R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [02/11/2005 12:53 215552]
      .
      Contenu du dossier 'Tâches planifiées'

      2010-05-26 c:\windows\Tasks\AppleSoftwareUpdate.job
      - c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]
      .
      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://www.noos.fr/
      mStart Page = hxxp://fr.yahoo.com/fsc/
      uInternet Connection Wizard,ShellNext = hxxp://fr.yahoo.com/fsc/
      uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*https://fr.yahoo.com/?p=us
      IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
      IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
      IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
      IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
      IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
      FF - ProfilePath - c:\documents and settings\Le Cabestan\Application Data\Mozilla\Firefox\Profiles\bga88u4r.default\
      FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
      FF - component: c:\documents and settings\Le Cabestan\Application Data\Mozilla\Firefox\Profiles\bga88u4r.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
      FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

      ---- PARAMETRES FIREFOX ----
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
      .

      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2010-05-28 16:18
      Windows 5.1.2600 Service Pack 3 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      --------------------- CLES DE REGISTRE BLOQUEES ---------------------

      [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h-€|ÿÿÿÿ¤*€|ù*9~*]
      "C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'explorer.exe'(2980)
      c:\program files\ScanSoft\OmniPageSE4.0\OpHookSE4.dll
      c:\windows\system32\eappprxy.dll
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\program files\Alwil Software\Avast4\aswUpdSv.exe
      c:\program files\Alwil Software\Avast4\ashServ.exe
      c:\program files\Java\jre6\bin\jqs.exe
      c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      c:\windows\system32\nvsvc32.exe
      c:\program files\CyberLink\Shared Files\RichVideo.exe
      c:\windows\system32\wdfmgr.exe
      c:\program files\Inventel\Gateway\wlancfg.exe
      c:\program files\Alwil Software\Avast4\ashMaiSv.exe
      c:\program files\Alwil Software\Avast4\ashWebSv.exe
      c:\windows\RTHDCPL.EXE
      .
      **************************************************************************
      .
      Heure de fin: 2010-05-28 16:24:08 - La machine a redémarré
      ComboFix-quarantined-files.txt 2010-05-28 14:24
      ComboFix2.txt 2010-05-28 10:33

      Avant-CF: 270 703 308 800 octets libres
      Après-CF: 270 661 349 376 octets libres

      - - End Of File - - CD6E3ED9C93686645D5E27623487CD52


      Un GRAND MERCI à toi, Malekal, encore une fois. Mon problème est réglé. :D
      0
  16. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    lol je suis sûr que tu ne regarderas plus les yaourghts de la mm manière :D

    Un peu de boulot pour ce WE :D :

    Adobe Reader est pas à jour et contient des vulnérabilités qui peuvent mettre l'infection de ton PC.
    Lire explications : https://forum.malekal.com/viewtopic.php?t=13629&start=

    Maintiens tes progs à jour c'est important, utilise ce programme : https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    Absolument à faire.

    ~~

    Ta version d'Avast! est périmé, tu sembles avoir la version 4.
    La dernière est la version 5 et elle protège bcp plus !!

    ~~

    Un peu de lecture pour éviter les infections :
    - connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
    - sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    Si tu veux désinstaller Combofix :
    - Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d'espace entre le / et le uninstall)
    0
    1. Florence D. Messages postés 9 Statut Membre
       
      Merci pour tous ces précieux conseils. Je crois que je ne vais pas manger de yaourts de sitôt... :D

      Concernant Adobe Reader, j'ai installé une nouvelle version. Je chope la dernière version d'Avast aujourd'hui même. J'ai commencé à consulter les dossiers que tu as réalisés, sur ton site, concernant les mises à jour des logiciels. C'est très intéressant, je ne savais pas que les infections pouvaient s'infiltrer par là...

      Je vais aussi en profiter pour faire un coup de clean sur mon PC. Effacer les logiciels dont je ne me sers pas, etc.

      Enfin, bref, je vais faire le nécessaire. Encore MERCI à toi d'avoir pris le temps de résoudre mon problème, c'est énorme, je ne pensais pas m'en sortir. ^_^

      Bonne continuation !
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      :)

      Bon WE :)
      0