pb Generic malware, favadd Fermé

Question

Bonjour, 



Configuration: Windows XP / Firefox 3.6.8
salut à tous, depuis qqtemps mon pc tourne vraiment au ralenti pour tout. j'ai fait des scan avec différents antivirus et Malwarebytes, mais rien. Panda me trouve trois pb Generic malware, favadd et IE Defender. (j'ai oublié de faire une copie du raport de panda, zut) je ne comprends pas pourquoi les antivirus n'ont rien repérer alors qu'ils étaient à jour. je n'ai pas utilisé deux antivirus en même temps. est ce que qq'un peut m'aider, sachant que je ne vais pas être devant mon pc toute la journée, vacances obligent. je colle un rapport hijackthis au passage. merci d'avance pour votre aide. 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:44:42, on 12/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\YTSingleInstance.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /SYNC
O4 - HKLM\..\Run: [PHIME2002A] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /IMEName
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UserFaultCheck] C:\WINDOWS\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O9 - Extra button: Ãâ·Ñ¾«²ÊÊÓÆµ³¬Á÷³©ÔÚÏß¹Û¿' - {022C4009-5283-4365-97BF-144054B40E2E} - http://itv.mop.com (file missing)
O9 - Extra 'Tools' menuitem: ²¥°ÔµçÊÓ - {022C4009-5283-4365-97BF-144054B40E2E} - http://itv.mop.com (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader4.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} - http://iptv.zgzcw.com/pCastCtl_1.0.0.89_20080808.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - Unknown owner - C:\WINDOWS\System32\FTRTSVC.exe (file missing)
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe

moment de grace · Answer

bonjour

rien de visible sur ce rapport

peux tu poster celui de Malwarebytes même s'il n'a rien trouvé 

et faire ceci

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


si soucis avec ci joint. fr 

=> utiliser https://www.cjoint.com/
=>  utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html

Leclude · Answer

c rapide comme réponse,  mais comme je le dis dans mon message je vais devoir partir. je n'ai pas le temps de faire un scan Malware, voilà déjà l'autre lien. dommage pour moi, je ne reviens qu'n e fin d'aprèm' peut être à tout l'heure.

http://www.cijoint.fr/cjlink.php?file=cj201008/cijxtyhfAd.txt

moment de grace · Answer

je n'ai pas le temps de faire un scan Malware

je ne te l'ai pas demandé, en revanche le dernier rapport oui

.....................

rien de tres visible sur le ZHP

1)

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 


C:\WINDOWS\System32\feblmkje.exe


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

.......................

2)

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

? Télécharge List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

ou

http://www.archive-host.com

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em"


une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport C:\List'em.txt

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Même opération pour le rapport more.txt qui se trouve sur ton bureau


si soucis avec ci joint. fr 

=> utiliser https://www.cjoint.com/
=>  utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html

Leclude · Answer

me voilà de retour, je pense que tu n'es plus là, peut être demain. j'ai fait tout ça que tu m'as demandé bien comme i faut!
https://www.cjoint.com/?imvXrslB48
https://www.cjoint.com/?imvZKfsXGx

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4391

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11/08/2010 19:07:05
mbam-log-2010-08-11 (19-07-05).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 133853
Temps écoulé: 24 minute(s), 28 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

moment de grace · Answer

je pense que tu n'es plus là, peut être demain. j'ai fait tout ça que tu m'as demandé bien comme i faut! 

raté, je suis là

raté bis, il me manque le scan virus total
https://forums.commentcamarche.net/forum/affich-18809132-pb-generic-malware-favadd#3  le 1)

(sourire)

donc Virus total

et

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis l'option CLEAN
ton PC va redemarrer, 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta reponse

Leclude · Answer

je ne sais pas si tu vas t'en sortir,merci de  t'occuper d'une truffe en informatique comme moi.




Antivirus  	Version  	Last Update  	Result
AhnLab-V3 	2010.08.12.00 	2010.08.11 	-
AntiVir 	8.2.4.34 	2010.08.12 	-
Antiy-AVL 	2.0.3.7 	2010.08.11 	-
Authentium 	5.2.0.5 	2010.08.12 	-
Avast 	4.8.1351.0 	2010.08.12 	-
Avast5 	5.0.332.0 	2010.08.12 	-
AVG 	9.0.0.851 	2010.08.12 	-
BitDefender 	7.2 	2010.08.12 	-
CAT-QuickHeal 	11.00 	2010.08.12 	-
ClamAV 	0.96.0.3-git 	2010.08.12 	-
Comodo 	5715 	2010.08.12 	-
DrWeb 	5.0.2.03300 	2010.08.12 	-
Emsisoft 	5.0.0.37 	2010.08.12 	-
eSafe 	7.0.17.0 	2010.08.12 	-
eTrust-Vet 	36.1.7785 	2010.08.12 	-
F-Prot 	4.6.1.107 	2010.08.12 	-
F-Secure 	9.0.15370.0 	2010.08.12 	-
Fortinet 	4.1.143.0 	2010.08.12 	-
GData 	21 	2010.08.12 	-
Ikarus 	T3.1.1.88.0 	2010.08.12 	-
Jiangmin 	13.0.900 	2010.08.12 	-
Kaspersky 	7.0.0.125 	2010.08.12 	-
McAfee 	5.400.0.1158 	2010.08.12 	-
McAfee-GW-Edition 	2010.1 	2010.08.12 	-
Microsoft 	1.6004 	2010.08.12 	-
NOD32 	5361 	2010.08.12 	-
Norman 	6.05.11 	2010.08.12 	-
nProtect 	2010-08-12.03 	2010.08.12 	-
Panda 	10.0.2.7 	2010.08.12 	-
PCTools 	7.0.3.5 	2010.08.12 	-
Prevx 	3.0 	2010.08.12 	Medium Risk Malware
Rising 	22.60.03.04 	2010.08.12 	-
Sophos 	4.56.0 	2010.08.12 	-
Sunbelt 	6724 	2010.08.12 	-
SUPERAntiSpyware 	4.40.0.1006 	2010.08.12 	-
Symantec 	20101.1.1.7 	2010.08.12 	-
TheHacker 	6.5.2.1.344 	2010.08.12 	-
TrendMicro 	9.120.0.1004 	2010.08.12 	-
TrendMicro-HouseCall 	9.120.0.1004 	2010.08.12 	-
VBA32 	3.12.14.0 	2010.08.11 	-
ViRobot 	2010.8.9.3978 	2010.08.12 	-
VirusBuster 	5.0.27.0 	2010.08.12 	-
Additional information
Show all
MD5   : 826b165dfdc241143717dfaef03aea8f
SHA1  : 99c96d0cbf07d24c40f960c88610fd7ae64428c2
SHA256: ef81239ee5736cbe4930c2fcf7dd2b42cb4214ad6ecacd4c0c7760bdb56316a6
ssdeep: 384:ySwHp2dZApt1qz5hfReSCxY6pcYiw5vyy1MxWM6W4nELKt8Cy/jp:y0iZVpcsKy1M5ZU8Cy
/jp
File size : 33832 bytes
First seen: 2008-06-26 18:50:41
Last seen : 2010-08-12 20:28:25
Magic: PE32 executable for MS Windows (native) Intel 80386 32-bit
TrID:
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft Malware Protection
description..: Boot Time Removal Tool
original name: removeNative.exe
internal name: BootTimeRemoval
file version.: 1.1.0111.0
comments.....: n/a
signers......: Microsoft Corporation
Microsoft Code Signing PCA
Microsoft Root Authority
signing date.: 9:15 PM 5/21/2008
verified.....: -
PEiD: -
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x5B39
timedatestamp....: 0x483473FA (Wed May 21 19:11:54 2008)
machinetype......: 0x14C (Intel I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x50DA, 0x5200, 6.08, b62a27b31ff6c85d478ba3252b370db8
.data, 0x7000, 0x35C, 0x200, 0.57, 30b4e9caedfc5cc61ae43b4b10fb9ef7
.rsrc, 0x8000, 0x3C0, 0x400, 3.07, 718782eb2d32dc40bff7f3f12e927fe8
.reloc, 0x9000, 0x292, 0x400, 3.78, 23251461e59726ca2731a319e8a47999
Prevx Info:
http://info.prevx.com/aboutprogramtext.asp?PX5=C267504B283B6285843B0077A8178F0094226FB2
CWSandbox:
http://research.sunbelt-software.com/...
Symantec reputation:Suspicious.Insight
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.2.7 ¤¤¤¤¤¤¤¤¤¤ 
 
User : la famille (Administrateurs) 
Update on 12/08/2010 by g3n-h@ckm@n ::::: 00.40
Start at: 22:41:08 | 12/08/2010

AMD Sempron(tm)   3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AVG Anti-Virus Free 9.0 [ Enabled | Updated ]

C:\ -> Disque fixe local | 143,03 Go (100,9 Go free) [HDD] | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\WINDOWS\System32\smss.exe ----32 Ko
C:\WINDOWS\system32\csrss.exe ----308 Ko
C:\WINDOWS\system32\winlogon.exe ----440 Ko
C:\WINDOWS\system32\services.exe ----572 Ko
C:\WINDOWS\system32\lsass.exe ----836 Ko
C:\WINDOWS\system32\svchost.exe ----580 Ko
C:\WINDOWS\system32\svchost.exe ----932 Ko
C:\WINDOWS\System32\svchost.exe ----3216 Ko
C:\WINDOWS\system32\svchost.exe ----200 Ko
C:\WINDOWS\system32\svchost.exe ----916 Ko
C:\Program Files\AVG\AVG9\avgchsvx.exe ----196 Ko
C:\Program Files\AVG\AVG9\avgrsx.exe ----492 Ko
C:\Program Files\AVG\AVG9\avgcsrvx.exe ----296 Ko
C:\WINDOWS\Explorer.EXE ----200 Ko
C:\WINDOWS\system32\spoolsv.exe ----624 Ko
C:\WINDOWS\system32\cmd.exe ----200 Ko
C:\WINDOWS\system32\svchost.exe ----200 Ko
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe ----380 Ko
C:\Program Files\AVG\AVG9\avgwdsvc.exe ----2140 Ko
C:\Program Files\Bonjour\mDNSResponder.exe ----200 Ko
C:\WINDOWS\system32\svchost.exe ----200 Ko
C:\Program Files\Java\jre6\bin\jqs.exe ----1380 Ko
C:\WINDOWS\System32\svchost.exe ----200 Ko
C:\WINDOWS\System32\svchost.exe ----200 Ko
C:\WINDOWS\system32\slserv.exe ----200 Ko
C:\Program Files\AVG\AVG9\avgnsx.exe ----200 Ko
C:\WINDOWS\system32\svchost.exe ----420 Ko
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe ----200 Ko
C:\WINDOWS\system32\wuauclt.exe ----107244 Ko
C:\Program Files\List_Kill'em\ERUNT.EXE ----1384 Ko
C:\Program Files\List_Kill'em\pv.exe ----2056 Ko
 
¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\WINDOWS\000001_.tmp 
Quarantined & Deleted !! : C:\WINDOWS\002683_.tmp 
Quarantined & Deleted !! : C:\WINDOWS\aucfg.ini 
 
Quarantined & Deleted !! : C:\WINDOWS\system32\AbaleZip.dll 
Quarantined & Deleted !! : C:\WINDOWS\System32\avs.dll 
Quarantined & Deleted !! : C:\WINDOWS\System32\mmfinfo.dll 
Quarantined & Deleted !! : C:\WINDOWS\system32\MSWINSCK.OCX 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET113.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET114.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET116.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET122.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET132.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET133.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET134.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET135.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET13B.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET13C.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET13D.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET141.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET143.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET145.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET14A.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET14D.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1A6.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET1B2.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET9D.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SETA9.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32	mp.reg 
Quarantined & Deleted !! : C:\Documents and Settings\la famille\Application Data\pcouffin.inf 
Quarantined & Deleted !! : C:\Documents and Settings\la famille\Application Data\pcouffin.log 
 
=======
Hosts :
=======

127.0.0.1       localhost   

========
Registry
========

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}  
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"  
Deleted : HKCR\CLSID\{248dd896-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\CLSID\{248dd897-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\Interface\{248dd892-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\Interface\{248dd893-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\TypeLib\{248dd890-bb45-11cf-9abc-0080c7e7b78d}  

=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.msn.com/fr-fr/?ocid=iehp
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	=         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	=         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.google.com/?gws_rd=ssl
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
FirstRunDisabled	=      	1 (0x1) 
AntiVirusDisableNotify	=      	0 (0x0) 
FirewallDisableNotify	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
AntiVirusOverride	=      	1 (0x1) 
FirewallOverride	=      	1 (0x1) 
 
========
Services
=========

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Ip6Fw : Start = 2   
 SharedAccess : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

============
Disk Cleaned
anti-ver blaster : OK 
Prefetch cleaned 
================ 

FEATURE_BROWSER_EMULATION | svchost : 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys PCIIDEX.SYS 
kernel: MBR read successfully
user & kernel MBR OK 
 
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

moment de grace · Answer

je ne sais pas si tu vas t'en sortir,merci de t'occuper d'une truffe en informatique comme moi. 

(sourire)

toujours des ralentissements ?

si oui, fais ceci

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 


? Télécharge : Gmer (by Przemyslaw Gmerek) 

http://www.gmer.net/



? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre. 

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Leclude · Answer

mon pc rame déjà bcp moins à l'allumage. j'ai pris le temps de le redémarrer pour voir. je vasi voir si ta dernière solution améliore encore les choses et te donne des nouvelles.

Leclude · Answer

j'espère que tu ne désespères pas derrière ton écran et que tu vas être indulgent   qu'en penses tu?

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-08-13 15:35:19
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\LAFAMI~1\LOCALS~1\Temp\pxldrpog.sys


---- System - GMER 1.0.15 ----

SSDT            F7CF925E                                                                 ZwCreateKey
SSDT            F7CF9254                                                                 ZwCreateThread
SSDT            F7CF9263                                                                 ZwDeleteKey
SSDT            F7CF926D                                                                 ZwDeleteValueKey
SSDT            F7CF9272                                                                 ZwLoadKey
SSDT            F7CF9240                                                                 ZwOpenProcess
SSDT            F7CF9245                                                                 ZwOpenThread
SSDT            F7CF927C                                                                 ZwReplaceKey
SSDT            F7CF9277                                                                 ZwRestoreKey
SSDT            F7CF9268                                                                 ZwSetValueKey
SSDT            F7CF924F                                                                 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

init            C:\WINDOWS\system32\drivers\ALCXSENS.SYS                                 entry point in "init" section [0xF6D9C900]

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Mozilla Firefox\firefox.exe[4092] ntdll.dll!LdrLoadDll  7C9263C3 5 Bytes  JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Fastfat \Fat                                                 EFFCED20

AttachedDevice  \FileSystem\Fastfat \Fat                                                 fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 -


et en prime un  un activescan rapide


;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-08-13 15:58:15
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
AntiVir Desktop                              9.0.1.32                      Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00120464  adware/favadd                      Adware              No        0         Yes            No           hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{10954c80-4f0f-11d3-b17c-00c0dfe39736}
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================


---

moment de grace · Answer

une clé pourrie

je demande une confirmation de script pour la sauter

pendant teste un peu le pc voir si ca va bien

moment de grace · Answer

ok

relances killem puisque tu l'as

option Tools puis option remove key 


un bloc note devrait s'ouvrir

colle ce texte en gras

"hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{10954c80-4f0f-11d3-b17c-00c0dfe39736}"

enregistres le bloc note

laisses faire

un rapport devrait apparaitre

colle son contenu dans ta prochaine réponse

Leclude · Answer

salut, malgre tous tes efforts rien à faire la situation  ne change pas. mo pc met toujour 10minutes montre en main pour s'allumer. je vais passer le week-end sans l'allumer, aller me promener et reprendre les affaires lundi, pus détendu.
salut!

moment de grace · Answer

as tu fait ceci ?

https://forums.commentcamarche.net/forum/affich-18809132-pb-generic-malware-favadd#12

de plus

Attention, avant de commencer, lit attentivement la procédure, et imprime la 

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs  sur ton Bureau : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 

---> Double-clique sur ComboFix.exe 
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 
(si il te propose de l'installer remets provisoirement internet)

---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

Pb Generic malware, favadd

13 réponses

Discussions similaires