Sujet Précédent Sujet Suivant

Probleme GOMEO et Trojan SHeur3.ASUW

Résolu/Fermé
PBG - Modifié par PBG le 13/08/2010 à 15:05
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 - 17 sept. 2011 à 22:24
Bonjour,

J'ai une page GOMEO qui s'ouvre a intervalle régulier sur Modzilla. J'ai passé mon PC avec AVG et j'ai trouvé le Tojan SHeur3.ASUW qui semble-t-il a été installé a peu près au même moment que l'apparition des pages intempestives... J'en conclu qu'ils sont liés, mais AVG semble ne pas régler le problème définitivement.

Voici le rapport Hijackthis, merci pour votre aide!! 

Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 10:54:15, on 13/08/2010 
Platform: Windows XP SP3 (WinNT 5.01.2600) 
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) 
Boot mode: Normal 

Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\System32\svchost.exe 
C:\WINDOWS\system32\svchost.exe 
C:\Program Files\AVG\AVG9\avgchsvx.exe 
C:\Program Files\AVG\AVG9\avgrsx.exe 
C:\Program Files\AVG\AVG9\avgcsrvx.exe 
C:\WINDOWS\system32\spoolsv.exe 
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 
C:\Program Files\AVG\AVG9\avgwdsvc.exe 
C:\Program Files\Bonjour\mDNSResponder.exe 
C:\WINDOWS\system32\dgdersvc.exe 
C:\WINDOWS\system32\FsUsbExService.Exe 
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe 
C:\WINDOWS\System32\nvsvc32.exe 
C:\WINDOWS\System32\snmp.exe 
C:\WINDOWS\System32\svchost.exe 
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe 
C:\Program Files\AVG\AVG9\avgnsx.exe 
C:\WINDOWS\Explorer.EXE 
C:\WINDOWS\SOUNDMAN.EXE 
C:\Program Files\Winamp\Winampa.exe 
C:\WINDOWS\system32\RUNDLL32.EXE 
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe 
C:\PROGRA~1\AVG\AVG9\avgtray.exe 
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe 
C:\WINDOWS\system32\devldr32.exe 
C:\Program Files\AVG\AVG9\avgui.exe 
C:\Program Files\AVG\AVG9\avgscanx.exe 
C:\Program Files\AVG\AVG9\avgcsrvx.exe 
d:\save\Julien\Téléchargements\HiJackThis.exe 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll 
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll 
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll 
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll 
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE 
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe" 
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe 
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup 
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install 
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit 
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe 
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" 
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe 
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe" 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') 
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe 
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe 
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE 
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll 
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll 
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe 
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe 
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windows update/v6/V5Controls/en/x86/client/wuweb_site.cab?1148502481390
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll 
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll 
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe 
O23 - Service: AVG WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe 
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe 
O23 - Service: Device Error Recovery Service (dgdersvc) - Devguru Co., Ltd. - C:\WINDOWS\system32\dgdersvc.exe 
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe 
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe 
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe 
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe 
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe 
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe 
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe 

-- 
End of file - 6744 bytes


A voir également:

27 réponses

  • 1
  • 2
Réponse 1 / 27
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
16 août 2010 à 23:15
Regarde ici si tu y trouves ton bonheur .
2
Réponse 2 / 27
PBG
Modifié par PBG le 17/08/2010 à 00:45
Je crois que ca y est enfin!
Voici le fichier ZHP:
https://woofiles.com

Nouveau symptome: Detection de 2 nouveaux trojan Generic10.LEH trouvé dans des fichier Wlq.exe dans mon profil principal (toujours caché dans l'explorateur Windows...)

AVG les a détecté seulement aujourd'hui malgré 2 scans complets journalier depuis 3 jours... J'ai l'impression d'avoir une porte ouverte vers l'enfer!

J'espère que le partage du fichier ZHP va fonctionner, j'ai vraiment besoin d'aide!

Merci d'avance!
1
Réponse 3 / 27
PBG
Modifié par PBG le 17/08/2010 à 01:04
Et ca continu!! nouveau scan, nouveau Trojan Agent_r.Tu trouvé dans c:\program Files\Mozilla Firefox seulement 40 min après le dernier scan complet...
Je vais tous me les faire!

Selon vous qu'est ce qui peux générer autant d'infections? J'imagine que ca s'infecte au fur et a mesure, et que c'est pour ca qu'AVG n'est pas capable de tout détecter en une seule fois... Cela signifie-t-il qu'un accès est ouvert, mais comment le détecter et le fermer??
1
Réponse 4 / 27
rouille
27 août 2010 à 15:19
moi sinon j'ai fait :

Démarré / Programmes / Accessoires / Outils Système / Restauration du systéme

vous faites suivant et ok

et voila ça se remet bien en redémarrant le pc

voici une solution assez simple a ce probleme.

moi je l'ai fait des que j'ai vu l'arnaque de GOMEO

voila ++
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 27
seville
16 oct. 2010 à 16:19
pour éradiquer définitivement gomeo sur la machine, il faut et il suffit d'aller dans la base de registre, dans la section HEY_LOCAL_MACHINE\SOFTWARE\CLASSES
et de flinguer le dossier Valeur de registre .fsharproj\PersistentHandler,(default)

Il y a deux clés de registre dans ce dossier, elles disparaitront avec le dossier.

C'est tout pour aujourd'hui.
1
Miaou
20 févr. 2011 à 12:58
Tu n'aurais pas les valeurs des clefs ?
Merci...
0
Réponse 6 / 27
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
13 août 2010 à 15:06
Hello,

A la place de Hijackthis ,peux tu faire ceci pour diagnostiquer ta machine :

Télécharge ZhpDiag de Nicolas Coolman .

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

Une fois installé le programme s'ouvre automatiquement .

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

Rend toi sur ce site : http://www.cijoint.fr/index.php

Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

Un lien va etre créer ,poste ce lien dans ta prochaine réponse.


0
Réponse 7 / 27
PBG
Modifié par PBG le 13/08/2010 à 16:41
J'ai le diag de ZHPDiag mais le server cijoint.fr est un peu encombré semble-t-il... Je ferai le post du rapport dès que le server sera de nouveau dispo.
Autre symptômes:
-Disparition de mon profil dans c:\Document and Settings\ même si il reste accessible lorsque je tape le nom du répertoire dans la barre d'adresse.
-Nouvelle fenêtre intempestive: Mozilla cherche a se connecter a un site soit disant de sécurité réseau...
0
Réponse 8 / 27
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
13 août 2010 à 20:01
Sinon essaie d'heberger le rapport sur Cijoint.com
0
Réponse 9 / 27
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
17 août 2010 à 09:46
Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
0
stef30300
10 nov. 2010 à 18:47
ComboFix 10-11-09.03 - Administrateur 10/11/2010 18:10:33.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2045.1526 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\srsvc.dll . . . est infecté!!

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-10-10 au 2010-11-10 ))))))))))))))))))))))))))))))))))))
.

2010-11-10 00:33 . 2010-11-10 00:33 -------- d-----w- c:\documents and settings\NetworkService\Application Data\Avira
2010-11-09 21:11 . 2010-11-09 21:11 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\ConduitEngine
2010-11-09 21:11 . 2010-11-09 21:11 -------- d-----w- c:\program files\ConduitEngine
2010-11-09 21:11 . 2010-11-09 21:11 0 ----a-w- c:\windows\system32\ConduitEngine.tmp
2010-11-08 21:09 . 2010-11-08 21:09 -------- d-----w- c:\documents and settings\NetworkService\Application Data\Notepad++
2010-11-08 18:52 . 2010-11-08 18:52 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Avira
2010-11-08 18:44 . 2010-08-17 12:39 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-08 18:44 . 2010-08-17 12:39 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-11-08 18:44 . 2010-06-17 14:28 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-11-08 18:44 . 2010-06-17 14:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-11-08 18:44 . 2010-11-08 18:44 -------- d-----w- c:\program files\Avira
2010-11-08 18:44 . 2010-11-08 18:44 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2010-10-30 23:33 . 2010-10-30 23:37 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Paint.NET
2010-10-22 23:12 . 2010-11-08 18:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-09 20:37 . 2008-08-15 17:39 98304 -c--a-w- c:\windows\DUMP8627.tmp
2008-12-01 00:07 . 2008-12-01 00:07 339 -c--a-w- c:\program files\ed2k.reg
2008-11-21 18:45 . 2009-01-24 06:46 3170424 -c--a-w- c:\program files\undelete_plus_setup.exe
2008-11-21 04:10 . 2008-11-21 04:09 6113439 -c--a-w- c:\program files\pci_filerecovery.exe
2007-09-18 19:25 . 2007-09-18 19:25 233472 -c--a-w- c:\program files\Recover4all-Professional.exe
2003-09-04 03:28 . 2009-01-09 16:59 35205311 -c--a-w- c:\program files\soundforge70.exe
.

------- Sigcheck -------

[-] 2008-05-24 . 68F06FE0021B01E670AF37B8C5964FDF . 361344 . . [5.1.2600.5512] . . c:\windows\system32\drivers\tcpip.sys

[-] 2008-05-24 . 1C835EE23A89AD04B75C4A7D7F463E9D . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe


[-] 2008-05-24 . F9FC4055EFEC3DEA100E07587255AD2A . 663552 . . [5.82] . . c:\windows\system32\comctl32.dll
[7] 2008-04-14 . AEF3D788DBF40C7C4D204EA45EB0C505 . 921088 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
[7] 2008-04-14 . F92E6BEA9349D49341383F8403B4DFE5 . 1054208 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll

[-] 2008-05-10 . B22EC9AE82E19818077E286FF1B82B72 . 3593216 . . [7.00.6000.20772] . . c:\windows\system32\mshtml.dll

[-] 2008-05-24 . 881377CC96BAF0E037A481FD5AC8772F . 2287104 . . [5.1.2600.5512] . . c:\windows\system32\ntoskrnl.exe

[-] 2008-05-24 . 26F18B04421E291B898CB8E3E5890234 . 594944 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll

[-] 2008-05-10 . 5A0093F59B505C008ED0CEE615563C72 . 827392 . . [7.00.6000.20772] . . c:\windows\system32\wininet.dll

[-] 2008-05-24 . E06FA4AD565FB4C83C30DDE766FFAF1B . 1411584 . . [6.00.2900.5512] . . c:\windows\explorer.exe



[-] 2008-05-10 . B5E4933692D4E826976F2A2FF6859474 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

[-] 2008-05-24 . 0D17D896B613F169F7041E020E09D21C . 25600 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe


[-] 2008-05-24 . 3BBF338DB2D43E8E5B2E9FC4A89A982C . 2165760 . . [5.1.2600.5512] . . c:\windows\system32\ntkrnlpa.exe

c:\windows\System32\wuauclt.exe ... manque !!
c:\windows\System32\srsvc.dll ... manque !!
c:\windows\System32\wscntfy.exe ... manque !!
c:\windows\System32\regsvc.dll ... manque !!
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{9b339f6e-ddcd-401b-8764-230adbd01761}"= "c:\program files\Messenger_Plus_Live\tbMes2.dll" [2010-10-18 3908192]
"{59994074-c06d-4a75-9768-49e5a8c21264}"= "c:\program files\Messenger_Plus_Live_France\tbMes0.dll" [2010-09-23 2735200]

[HKEY_CLASSES_ROOT\clsid\{9b339f6e-ddcd-401b-8764-230adbd01761}]

[HKEY_CLASSES_ROOT\clsid\{59994074-c06d-4a75-9768-49e5a8c21264}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 08:32 279944 -c--a-w- c:\program files\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-10-18 10:26 3908192 ----a-w- c:\program files\ConduitEngine\ConduitEngine.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59994074-c06d-4a75-9768-49e5a8c21264}]
2010-09-23 16:42 2735200 ----a-w- c:\program files\Messenger_Plus_Live_France\tbMes0.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9b339f6e-ddcd-401b-8764-230adbd01761}]
2010-10-18 10:26 3908192 ----a-w- c:\program files\Messenger_Plus_Live\tbMes2.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]
"{9b339f6e-ddcd-401b-8764-230adbd01761}"= "c:\program files\Messenger_Plus_Live\tbMes2.dll" [2010-10-18 3908192]
"{59994074-c06d-4a75-9768-49e5a8c21264}"= "c:\program files\Messenger_Plus_Live_France\tbMes0.dll" [2010-09-23 2735200]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CLASSES_ROOT\clsid\{9b339f6e-ddcd-401b-8764-230adbd01761}]

[HKEY_CLASSES_ROOT\clsid\{59994074-c06d-4a75-9768-49e5a8c21264}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{9B339F6E-DDCD-401B-8764-230ADBD01761}"= "c:\program files\Messenger_Plus_Live\tbMes2.dll" [2010-10-18 3908192]
"{59994074-C06D-4A75-9768-49E5A8C21264}"= "c:\program files\Messenger_Plus_Live_France\tbMes0.dll" [2010-09-23 2735200]

[HKEY_CLASSES_ROOT\clsid\{9b339f6e-ddcd-401b-8764-230adbd01761}]

[HKEY_CLASSES_ROOT\clsid\{59994074-c06d-4a75-9768-49e5a8c21264}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LClock"="c:\program files\LClock\lclock.exe" [2004-09-19 65536]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-22 39408]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2009-12-12 289584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Taskix"="c:\program files\Taskix\Taskix32.exe" [2007-01-25 65536]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-07-12 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-07-12 162584]
"RTHDCPL"="RTHDCPL.EXE" [2007-06-13 16377344]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"nwiz"="nwiz.exe" [2008-05-16 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2008-06-10 1406024]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-07-12 138008]
"Vistadrv"="c:\program files\VistaDriveStatus\vsdrv.exe" [2006-07-30 121089]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispSettingPage"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"HideRunAsVerb"= 1 (0x1)
"NoNetConnectDisconnect"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" -autorun
"uTorrent"="c:\program files\uTorrent\utorrent.exe"
"WinRoll"="c:\program files\WinRoll\winroll.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"MyWebSearch Plugin"=rundll32 c:\progra~1\MYWEBS~1\bar\3.bin\M3PLUGIN.DLL,UPF
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
"VisualTaskTips"="c:\program files\VisualTaskTips\VisualTaskTips.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\uTorrent\\utorrent.exe"=
"d:\\Program Files\\adsltv.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [17/11/2008 20:35 717296]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [08/11/2010 19:44 135336]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [23/10/2010 00:12 136176]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [21/04/2009 14:36 216232]
S3 Mssm80f;Mssm80f; [x]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - HELPSVC

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'

2010-11-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-22 23:12]

2010-11-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-22 23:12]

2010-11-10 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-12 14:04]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2567681
mStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = local
uInternet Settings,ProxyServer = http=127.0.0.1:50370
ucustomizesearch = hxxp://www.google.com/ie
usearchassistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
TCP: {AF525E81-BCBB-4A86-BFFC-0340F0E12B8B} = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\1x4punfy.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2567681&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?hl=fr
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2567681&q=
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 50370
FF - prefs.js: network.proxy.socks - localhost
FF - prefs.js: network.proxy.socks_port - 9050
FF - prefs.js: network.proxy.ssl - localhost
FF - prefs.js: network.proxy.ssl_port - 9666
FF - prefs.js: network.proxy.type - 1
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\1x4punfy.default\extensions\{59994074-c06d-4a75-9768-49e5a8c21264}\components\FFExternalAlert.dll
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\1x4punfy.default\extensions\{59994074-c06d-4a75-9768-49e5a8c21264}\components\RadioWMPCore.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- PARAMETRES FIREFOX ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
pref(dom.disable_open_during_load, true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
------- Associations de fichier -------
.
.reg=
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-10 18:12
Windows 5.1.2600 Service Pack 3, v.5512 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\SETUPAPI.dll

- - - - - - - > 'lsass.exe'(804)
c:\windows\system32\setupapi.dll
c:\windows\system32\scecli.dll

- - - - - - - > 'explorer.exe'(3120)
c:\windows\system32\nview.dll
c:\windows\system32\NVWRSFR.DLL
c:\windows\system32\COMRes.dll
c:\program files\Windows Media Player\wmpband.dll
c:\windows\system32\msi.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\eappprxy.dll
c:\program files\LClock\LC.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
Heure de fin: 2010-11-10 18:13:22
ComboFix-quarantined-files.txt 2010-11-10 17:13
ComboFix2.txt 2010-11-10 16:58

Avant-CF: 10 494 406 656 octets libres
Après-CF: 10 466 086 912 octets libres

- - End Of File - - 90F26ED3496B7FAC6D71EC77D2F97433
0
stef30300
10 nov. 2010 à 18:49
voici le rapport de combofix . que doit je faire apres ca? merci d'avance
0
Réponse 10 / 27
PBG
18 août 2010 à 14:03
Salut,

Bon ca n'avance pas trop en ce moment. J'ai essayé de lancer Comboxfix mais j'ai un problème vis a vis de AVG... Combofix détecte qu'AVG est lancé et que ca comporte des risques pour la suite de l'opération. J'ai beau chercher dans tous les paramètres disponible sous AVG, je n'ai pas trouvé de fonction pour désactiver la protection en temps réel.

J'ai essayé de tuer les taches et leurs arborescences, en vain. Même en mode sans échec et en désactivant la commande de démarrage dans msconfig...

Quelqu'un connait-il un solution pour désactiver AVG free?

2 nouvelles:
Bonne nouvelle: avant hier Malwarebytes avait supprimé 2 trojans de mon pc, et n'a rien détecté depuis... AVG pareil.
Mauvaise nouvelle: des fenêtres intempestives continuent de s'ouvrir et d'infecter mon pc qu'AVG arrive à contrer avec le Résident Shield. J'ai solutionné temporairement le problème en blacklistant les sites infectieux dans le fichier hosts, mais j'aimerai éradiquer le problème a la source...

Merci pour votre aide.
0
CCMclaude Messages postés 25534 Date d'inscription mardi 20 mai 2008 Statut Contributeur Dernière intervention 11 mai 2014 741
18 août 2010 à 14:28
Salut,
Pour AVG 9
Ouvre-le,
Clique sur Composants
Décoche la case Bouclier résident actif en dessous à gauche pour désactiver le bouclier résident
Applique
Enregistre et quitte AVG 9.

Bonne suite avec jfk !! !
0
PBG
18 août 2010 à 15:45
MERCI CCMclaude!
0
Réponse 11 / 27
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
18 août 2010 à 17:09
Merci CCM claude -;)

J'attend donc le rapport de Combofix .
0
Réponse 12 / 27
nawdrey
22 août 2010 à 16:28
Coucou,

J'ai le mm problème, jsuis un peu paumée, j'ai fait un scan Find kill, qui me met ce message à un moment " le programme QGRDP a du fermer", j'ai fait un scan CCleaner, Spybotsd, Malwarebytes et rien a faire, rien a changer, je sais plus vraiment quoi faire :s.
0
CCMclaude Messages postés 25534 Date d'inscription mardi 20 mai 2008 Statut Contributeur Dernière intervention 11 mai 2014 741
22 août 2010 à 17:21
Salut nawdrey, 

je sais plus vraiment quoi faire
Écris, dans ce forum-ci, un nouveau topic bien à toi plutôt que de te greffer sur celui-ci ! Ce sera plus clair et plus efficace.


Liens utiles :
1. https://www.commentcamarche.net/infos/25857-charte-de-commentcamarche-net-conseils-d-ecriture/
2. https://www.commentcamarche.net/informatique/windows/149-faire-des-captures-d-ecran-avec-windows-10/

Cdlt.
0
rouliepretresse
25 août 2010 à 10:27
moi j'ai utilisé malwarebytes et sa a bien fonctionné...essaye, on sait jamais.en plus il est gratuit!!!
0
Réponse 13 / 27
PBG
25 août 2010 à 14:54
Salut a tous!

Me revoilà après une grosse semaine de vacances.

Pour répondre a Rouliepretresse, perso ca n'a pas fonctionné avec Malwarebytes, même si grâce a lui j'ai pu détecter d'autres Trojan et les éradiquer. Au final, ni Malwarebytes ni AVG, ni Spybot ne détectaient de trojan, mais pourtant j'avais toujours cette fenêtre qui s'ouvrait de façon aléatoire.

Pour finir j'ai réussi a désactiver mon Resident Agent AVG et j'ai lancé Combofix. Le problème c'est qu'au redémarrage de l'ordi, j'ai eu un sacré paquet de message d'erreur du type "dll introuvable" ou "rundll a générer une erreur", etc...
Du coup j'ai remonter un ghost que j'avais fait l'année dernière et je suis reparti de zéro. En tout cas, maintenant je suis sur que le problème a disparu!

Je laisse le topic ouvert au cas où certains souhaiterai continuer la discussion sur ce sujet.

a+
0
Réponse 14 / 27
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
25 août 2010 à 20:06
Je le marque tout de meme en "résolu" ...

@+
0
Réponse 15 / 27
nawdrey
29 août 2010 à 12:49
Coucou,

Ca a l'air d'avoir marché ^^, merci beaucoup ;)
0
Réponse 16 / 27
CelticGlazik Messages postés 83 Date d'inscription dimanche 6 septembre 2009 Statut Membre Dernière intervention 22 octobre 2023 49
1 sept. 2010 à 11:57
Sinon un Nettoyage via AD-R fonctionne très bien. Plus de Gomeo et ses fichus troJan sur mon ordi !
0
Réponse 17 / 27
EmVIc75
15 sept. 2010 à 10:16
Pardon de me greffet au sujet mais c'est quoi AD-R ? J'ai aussi le même problème avec ces Gomeo...
0
Réponse 18 / 27
CelticGlazik Messages postés 83 Date d'inscription dimanche 6 septembre 2009 Statut Membre Dernière intervention 22 octobre 2023 49
15 sept. 2010 à 14:14
Enchanté !

En fait, j'avais parlé trop vite. AD-R est un logiciel de nettoyage et celui-ci m'avait trouvé quelques problèmes sur mon PC. Après l'avoir utilisé, le problème Goméo avait disparu....pendant 2 jours. Il était revenu de plus belle.
J'ai procédé d'une autre façon et je n'ai plus aucun problème. Je t'explique comment :

Avec KaperSky (pourtant réputé pour être un des meilleurs anti-virus), j'avais poussé des analyses complètes sans que celui-ci ne détecte quoi que ce soit. Douteux, je me suis alors tourné vers un anti-Malware dont j'avais toujours entendu parler en bien : Malwarebytes. Je te confirme, ce logiciel est tout simplement énorme (et gratis). Il m'a détecté pas moins de 47 Trojans sur mon ordi alors que mon anti-virus lui-même n'avait rien détecté !!!!! A savoir que ces foutus Trojans étaient cachés dans des fichiers officiels.

Avec Malwarebytes, j'ai donc procédé au nettoyage des fichiers infectés. Il se peut qu'il ne puisse pas nettoyer certains fichiers. Pas de panique. Avant de redémarrer ton PC, il te mettra automatiquement ces fichiers dans un Dossier "Log". Au re-démarrage, tu n'auras plus qu'à trouver ce Dossier et à supprimer manuellement tout ce qu'il y aura dans ce dossier.

Depuis, je n'ai plus aucun soucis !!! Par la suite, j'ai viré KaperSky (alors que je venais de payer une licence) pour retourner chez Avira.


PS : Je suis sur la bêta de Firefox 4.

Le lien de Malwarebytes : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
0
Réponse 19 / 27
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
15 sept. 2010 à 20:55
EmVic75: creer ton propre sujet ,merci .
0
Réponse 20 / 27
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
16 oct. 2010 à 17:32 
C'est tout pour aujourd'hui.


merci Monsieur le professeur ^^
0

Discussions similaires

Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses