éliminer phishingFermé

Question

Bonjour, mon antivirus Avira antivir personnal m'a signalé ceci : Dans le fichier 'C:\System Volume Information\_restore{9571A615-13DA-4DB3-A491-F2F2F1FBCC55}\RP614\A0050173.exe' un virus ou un programme indésirable 'PHISH/Fraud.Takedawnload.A.11' [phishing] a été détecté. Action exécutée : Refuser l'accès Dois rechercher ce fichier et le supprimer ??? Configuration: Windows XP / Internet Explorer 7.0

moment de grace · Answer

bonjour

pas d'inquiétude, c'est dans la restauration système

fais ceci pour l'éliminer

Purger la restauration systeme XP

http://www.bibou0007.com/windows-xp-f101/purger-la-restauration-du-systeme-sous-windows-xp-t151.htm

chefpunky · Answer

Comme choix tu aurais dû cocher : supprimer...

val · Answer

je continue ici, après vérif, antivir m'en a mis en quarantaine : 

Le fichier 'C:\Documents and Settings\PC\Local Settings\Temporary Internet Files\Content.IE5\M1HOA2YS\N7X0ldI5u9FwiUFPrAIsrLG3hO4=[1].htm'
 contenait un virus ou un programme indésirable 'HTML/Revir.Gen' [virus].
Action(s) exécutée(s) :
Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4cdb5cb9.qua' !

Le fichier 'C:\Documents and Settings\PC\Local Settings	emp\jar_cache5469852735258217239.tmp'
 contenait un virus ou un programme indésirable 'JAVA/ClassLoader.Z' [virus].
Action(s) exécutée(s) :
Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4cf55ce3.qua' !

Le fichier 'C:\sauvegarde\Documents and Settings\Frédéric Misiek\Local Settings\Temp\Temporary Internet Files\Content.IE5\XCNPOHQR\instala-emule[1].exe'
 contenait un virus ou un programme indésirable 'PHISH/Fraud.Takedawnload.A.11' [phishing].
Action(s) exécutée(s) :
Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4cf65cf1.qua' !

Si c'est en quarantaine, j'ai quelque chose à faire ???

merci beaucoup pour votre aide

moment de grace · Answer

non à part vider la quarantaine

néanmoins on va vérifier le pc

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

val · Answer

Voilà, c'est fait : 
http://www.cijoint.fr/cjlink.php?file=cj201009/cijW7IGtvD.txt

merci

moment de grace · Answer

si il y a un problème n'as tu pas des détourments internet ? ..................... Attention, avant de commencer, lit attentivement la procédure, et imprime la Aide à l'utilisation https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Télécharge ComboFix de sUBs sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ ---> Double-clique sur ComboFix.exe Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter SURTOUT INSTALLES LA CONSOLE DE RECUPERATION (si il te propose de l'installer remets internet) ---> Mets-le en langue française F Tape sur la touche 1 (Yes) pour démarrer le scan. Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. Une fois le scan achevé, un rapport va s'afficher : Poste son contenu /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ Note : Le rapport se trouve également là : C:\ComboFix.txt

val · Answer

des détournements de quoi ? d'argent ??? non !!

quand je veux double clique sur l'icone combofix sur le bureau, je clique sur executer et rien ne se passe, je n'obtiens pas la fenêtre "préparation à l'éxécution"

moment de grace · Answer

non je parle de détournement des pages internet sur des sites non désirés

essaie en mode sans echec


https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

val · Answer

désolée, mais internet explorer ne peux pas ouvrir ce lien pour le mode sans echec 

sinon, pour les détournements internet, je n'ai rien remarqué de bizarre...

moment de grace · Answer

tu m'étonnes vraiment

---\ Détournement de DNS (DDNS) (O60)
O60 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.126,93.188.161.216
O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.126,93.188.161.216
O60 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.162.126,93.188.161.216
O60 - HKLM\System\CS3\Services\Tcpip\Parameters: DhcpNameServer = 93.188.162.126,93.188.161.216


Télécharge WareOut Removal Tool (par dj QUIOU & la team sécurité MH) ici :

 http://pc-system.fr/ 

Lance le fichier WareOut_Removal_Tool.bat et choisis l'option n°1
Patiente (une à deux minutes maximum) pendant que le programme sauvegarde le registre
Lis bien attentivement les instructions qui te seront données
A la fin de l'analyse, un rapport va s'ouvrir, poste le dans ta prochaine réponse.

val · Answer

Voilà ce que ça dit :

===== Rapport WareOut Removal Tool ===== 
 
version 3.6.2 
 
analyse effectuée le 07/09/2010 à 14:43:10,90 
 
Résultats de l'analyse : 
======================== 
 
~~~~ Recherche d'infections dans C:\ ~~~~ 
 
C:\autorun.inf trouvé! 
C:\autorun.inf suppression impossible 
 
 
~~~~ Recherche d'infections dans C:\Program Files\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\WINDOWS\system\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\WINDOWS\system32\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\WINDOWS\system32\drivers\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Documents and Settings\PC\Application Data\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Documents and Settings\PC\Bureau\ ~~~~ 
 
 
~~~~ Recherche de détournement de DNS ~~~~ 
 
 
 
~~~~ Recherche de Rootkits ~~~~ 
 
_______________________________________________________________________ 
 
catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-07 14:43:50
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden files ...

scan completed successfully
hidden files: 0

_______________________________________________________________________ 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    System	REG_SZ	

 
 
~~~~ Recherche d'infections dans C:\DOCUME~1\PC\LOCALS~1\Temp\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Documents and Settings\PC\Start Menu\Programs\ ~~~~ 
 
 
~~~~ Nettoyage du registre ~~~~ 
 
 
~~~~ Tentative de réparation des entrées suivantes: ~~~~ 
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] = "System" 
 
[HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service] 
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service] 
 
~~~~ Vérification: ~~~~ 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    System	REG_SZ	

 
 
_________________________________ 
 
développé par http://pc-system.fr 
_________________________________

moment de grace · Answer

toujours pas à jour pour cette infection récente

...............

télécharges Hijackthis
https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
Lancer HijackThis en double-cliquant sur l'icône du logiciel
Au menu principal, cliquer sur Do a system Scan only and Save a Logfile
Un rapport sera alors généré dans un fichier bloc-notes, il sera situé dans le dossier désinfection initialement créé pour l'installation.
Postes le ici

val · Answer

voilà :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:00:01, on 07/09/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Microsoft\Office Live\OfficeLiveSignIn.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote	bVuze.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote	bVuze.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote	bVuze.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [VoipBuster] "C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?16eee9e06bd84100b5bd3d131fd0a479
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?16eee9e06bd84100b5bd3d131fd0a479
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {50DC58D0-C870-4BE6-BC41-971ED2D5F022} (HookWlmEx Control) - http://www.super-messenger.fr/tab/HookWlmEx.exe
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://www.playerdl.com/3dvia/expo/3DVIA_player_installer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{60844D5A-D56C-402F-8705-5C108055E950}: NameServer = 93.188.162.126,93.188.161.216
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.126,93.188.161.216
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.126,93.188.161.216
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate1c9af3cbbb32c30) (gupdate1c9af3cbbb32c30) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

moment de grace · Answer

lances Hijackthis 
Au menu principal, choisir do a scan only, puis cocher la case devant les lignes suivantes à corriger et cliquer en bas sur Fix Checked 

O17 - HKLM\System\CCS\Services\Tcpip\..\{60844D5A-D56C-402F-8705-5C108055E950}: NameServer = 93.188.162.126,93.188.161.216
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.126,93.188.161.216
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.126,93.188.161.216 

ensuite

Clique sur démarrer/Exécuter et tape regedit et OK 
Presse : CTRL et F 
Tout cocher sauf Mot entier seulement 
Ecrire ou copier/coller : 93.188.162.126
Clique : Suivant 
Si trouvé ==> clic-droit et supprimer 
relancer la recherche jusqu'à l'annonce de FIN 
Après fais la même chose avec : 93.188.161.216

dis moi quand c'est fait

val · Answer

J'ai fait comme tu m'as dit mais pour les 2 fois je n'ai jamais eu "trouvé", le message était : "recherche dans le registre terminée" donc je n'ai jamais cliqué droit et supprimé !

moment de grace · Answer

retente de faire combofix stp

val · Answer

je double clique sur l'icone, je clique sur executer, mais ça ne fonctionne tjrs pas, 
est-ce normal qu'il m'apparaisse pas dans ma liste de programmes du panneau de config (dans ajout-suppr de prgm)

moment de grace · Answer

????????????

retélécharge le mais renomme le VAL.exe, avant de l'enregistrer sur le bureau

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

rappel: désactiver toutes les protections

val · Answer

enfin, désolée mais ça rame un peut en Chine !!!

ComboFix 10-09-06.04 - PC 07/09/2010  16:13:19.3.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.894.545 [GMT 2:00]
Lancé depuis: c:\documents and settings\PC\Bureau\val.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\scrrnfr.dll

Une copie infectée de c:\windows\system32\drivers\ftdisk.sys a été trouvée et désinfectée 
Copie restaurée à partir de - Kitty had a snack :p 
.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-08-07 au 2010-09-07  ))))))))))))))))))))))))))))))))))))
.

2010-09-07 12:41 . 2010-09-07 12:44	--------	d-----w-	C:\WORT
2010-09-07 09:40 . 2010-09-07 09:42	--------	d-----w-	c:\program files\ZHPDiag
2010-09-06 10:30 . 2010-09-06 10:30	--------	d-----w-	c:\documents and settings\LocalService\Local Settings\Application Data\Vuze_Remote
2010-09-06 10:30 . 2010-09-06 10:30	--------	d-----w-	c:\documents and settings\LocalService\Local Settings\Application Data\Apple
2010-09-05 09:02 . 2010-09-05 09:02	--------	d-----r-	c:\documents and settings\LocalService\Favoris
2010-08-25 13:34 . 2010-08-25 13:34	--------	d-----w-	c:\documents and settings\PC\Application Data\OpenOffice.org
2010-08-25 10:15 . 2010-08-25 10:15	--------	d-----w-	c:\program files\JRE
2010-08-25 10:15 . 2010-08-25 10:15	--------	d-----w-	c:\program files\OpenOffice.org 3
2010-08-25 10:14 . 2010-08-25 10:14	--------	d-----w-	c:\program files\Fichiers communs\Java
2010-08-23 10:30 . 2010-08-23 10:30	--------	d-----w-	c:\documents and settings\NetworkService\Local Settings\Application Data\Vuze_Remote
2010-08-21 23:59 . 2010-08-21 23:59	--------	d-----w-	c:\program files\Conduit
2010-08-21 23:59 . 2010-08-21 23:59	--------	d-----w-	c:\documents and settings\PC\Local Settings\Application Data\Conduit
2010-08-21 23:59 . 2010-08-23 05:35	--------	d-----w-	c:\documents and settings\PC\Local Settings\Application Data\Vuze_Remote
2010-08-21 23:59 . 2010-08-21 23:59	--------	d-----w-	c:\program files\Vuze_Remote
2010-08-16 12:11 . 2010-08-16 12:11	--------	d-----w-	c:\program files\iPod
2010-08-16 12:10 . 2010-08-16 12:13	--------	d-----w-	c:\program files\iTunes
2010-08-16 12:06 . 2010-08-16 12:06	--------	d-----w-	c:\program files\Bonjour
2010-08-14 05:01 . 2010-06-14 14:31	744448	-c----w-	c:\windows\system32\dllcache\helpsvc.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-07 12:59 . 2009-10-13 14:31	--------	d-----w-	c:\program files	rend micro
2010-09-06 10:14 . 2009-02-09 08:08	--------	d-----w-	c:\documents and settings\PC\Application Data\Azureus
2010-09-05 13:24 . 2009-10-13 13:28	--------	d-----w-	c:\program files\CCleaner
2010-08-25 14:38 . 2008-06-24 12:31	61424	----a-w-	c:\documents and settings\PC\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-08-25 13:39 . 2010-08-25 13:34	1	----a-w-	c:\documents and settings\PC\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-25 05:24 . 2009-02-28 08:25	--------	d-----w-	c:\documents and settings\PC\Application Data\U3
2010-08-22 00:01 . 2010-08-22 00:01	310208	----a-w-	c:\documents and settings\PC\Application Data\Azureus\plugins\mlab\ShaperProbeC.exe
2010-08-22 00:00 . 2009-02-09 08:07	--------	d-----w-	c:\program files\Vuze
2010-08-16 12:11 . 2009-01-26 11:52	--------	d-----w-	c:\program files\Fichiers communs\Apple
2010-08-16 11:40 . 2010-08-16 11:40	73000	----a-w-	c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.2.1.5\SetupAdmin.exe
2010-08-16 01:24 . 2004-08-05 12:00	81974	----a-w-	c:\windows\system32\perfc00C.dat
2010-08-16 01:24 . 2004-08-05 12:00	503988	----a-w-	c:\windows\system32\perfh00C.dat
2010-07-12 05:59 . 2009-10-17 06:25	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-07-11 09:00 . 2010-07-11 09:00	43344	---ha-w-	c:\windows\system32\mlfcache.dat
2010-06-30 12:32 . 2004-08-05 12:00	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-24 12:25 . 2004-08-05 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-05 12:00	1852032	----a-w-	c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-05 12:00	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-05 12:00	80384	----a-w-	c:\windows\system32\iccvid.dll
2010-06-14 11:10 . 2010-06-14 11:10	71992	----a-w-	c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\Safari 5.33.16.0\SetupAdmin.exe
2010-06-14 07:42 . 2004-08-05 12:00	1172480	----a-w-	c:\windows\system32\msxml3.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote	bVuze.dll" [2010-06-13 2734688]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
2010-06-13 17:10	2734688	----a-w-	c:\program files\Vuze_Remote	bVuze.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote	bVuze.dll" [2010-06-13 2734688]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{BA14329E-9550-4989-B3F2-9732E92D17CC}"= "c:\program files\Vuze_Remote	bVuze.dll" [2010-06-13 2734688]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"VoipBuster"="c:\program files\VoipBuster.com\VoipBuster\VoipBuster.exe" [2010-08-24 10652976]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2007-08-03 1826816]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-12-20 2656528]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-04-13 47392]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-09-27 13918208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-09-27 86016]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-07-21 141608]

c:\documents and settings\PC\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\WINDOWS\system32\usmt\migwiz.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\Vuze\Azureus.exe"=

R0 tffsport;M-Systems DiskOnChip 2000;c:\windows\system32\drivers	ffsport.sys [01/06/2009 16:39 149376]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [17/10/2009 10:21 108289]
S2 gupdate1c9af3cbbb32c30;Google Update Service (gupdate1c9af3cbbb32c30);c:\program files\Google\Update\GoogleUpdate.exe [28/03/2009 02:32 133104]
S3 kbeepm;kbeepm;\??\c:\docume~1\PC\LOCALS~1\Temp\kbeepm.sys --> c:\docume~1\PC\LOCALS~1\Temp\kbeepm.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2010-09-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-09-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-28 00:32]

2010-09-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-28 00:32]

2010-09-07 c:\windows\Tasks\User_Feed_Synchronization-{A60F82CD-AEB9-44B3-BFE1-2306014350BA}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://www.google.com/ie
mWindow Title = 
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Ouvrir dans un nouvel onglet d'arrière-plan - c:\program files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?16eee9e06bd84100b5bd3d131fd0a479
IE: Ouvrir dans un nouvel onglet de premier plan - c:\program files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?16eee9e06bd84100b5bd3d131fd0a479
DPF: {50DC58D0-C870-4BE6-BC41-971ED2D5F022} - hxxp://www.super-messenger.fr/tab/HookWlmEx.exe
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-07 16:24
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(8124)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32
vsvc32.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
c:\program files\logitech\quickcam\lu\lulnchr.exe
c:\program files\fichiers communs\logitech\lu\lulnchr.exe
c:\program files\fichiers communs\logitech\lu\LogitechUpdate.exe
c:\progra~1\MICROS~2\OFFICE11\OUTLOOK.EXE
.
**************************************************************************
.
Heure de fin: 2010-09-07  16:35:57 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-09-07 14:35

Avant-CF: 5 913 280 512 octets libres
Après-CF: 6 345 945 088 octets libres

- - End Of File - - 59BDFDB270779A53EC5418914F7EA0A4

moment de grace · Answer

quelle idée d'être en chine aussi !!


Une copie infectée de c:\windows\system32\drivers\ftdisk.sys a été trouvée et désinfectée 

je reste éberlué que tu n'ai rien remarqué !

.....................

1)

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::


Driver::

kbeepm




* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://img.photobucket.com/albums/v666/sUBs/CFScriptB-4.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

............................

2)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

val · Answer

ComboFix 10-09-06.04 - PC 07/09/2010  16:59:39.4.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.894.503 [GMT 2:00]
Lancé depuis: c:\documents and settings\PC\Bureau\val.exe
Commutateurs utilisés :: c:\documents and settings\PC\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_KBEEPM
-------\Service_kbeepm


(((((((((((((((((((((((((((((   Fichiers créés du 2010-08-07 au 2010-09-07  ))))))))))))))))))))))))))))))))))))
.

2010-09-07 13:59 . 2010-09-07 14:36	--------	d-----w-	C:\val
2010-09-07 12:41 . 2010-09-07 12:44	--------	d-----w-	C:\WORT
2010-09-07 09:40 . 2010-09-07 09:42	--------	d-----w-	c:\program files\ZHPDiag
2010-09-06 10:30 . 2010-09-06 10:30	--------	d-----w-	c:\documents and settings\LocalService\Local Settings\Application Data\Vuze_Remote
2010-09-06 10:30 . 2010-09-06 10:30	--------	d-----w-	c:\documents and settings\LocalService\Local Settings\Application Data\Apple
2010-09-05 09:02 . 2010-09-05 09:02	--------	d-----r-	c:\documents and settings\LocalService\Favoris
2010-08-25 13:34 . 2010-08-25 13:39	1	----a-w-	c:\documents and settings\PC\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-25 13:34 . 2010-08-25 13:34	--------	d-----w-	c:\documents and settings\PC\Application Data\OpenOffice.org
2010-08-25 10:15 . 2010-08-25 10:15	--------	d-----w-	c:\program files\JRE
2010-08-25 10:15 . 2010-08-25 10:15	--------	d-----w-	c:\program files\OpenOffice.org 3
2010-08-25 10:14 . 2010-08-25 10:14	--------	d-----w-	c:\program files\Fichiers communs\Java
2010-08-23 10:30 . 2010-08-23 10:30	--------	d-----w-	c:\documents and settings\NetworkService\Local Settings\Application Data\Vuze_Remote
2010-08-22 00:01 . 2010-08-22 00:01	310208	----a-w-	c:\documents and settings\PC\Application Data\Azureus\plugins\mlab\ShaperProbeC.exe
2010-08-21 23:59 . 2010-08-21 23:59	--------	d-----w-	c:\program files\Conduit
2010-08-21 23:59 . 2010-08-21 23:59	--------	d-----w-	c:\documents and settings\PC\Local Settings\Application Data\Conduit
2010-08-21 23:59 . 2010-08-23 05:35	--------	d-----w-	c:\documents and settings\PC\Local Settings\Application Data\Vuze_Remote
2010-08-21 23:59 . 2010-08-21 23:59	--------	d-----w-	c:\program files\Vuze_Remote
2010-08-16 12:11 . 2010-08-16 12:11	--------	d-----w-	c:\program files\iPod
2010-08-16 12:10 . 2010-08-16 12:13	--------	d-----w-	c:\program files\iTunes
2010-08-16 12:06 . 2010-08-16 12:06	--------	d-----w-	c:\program files\Bonjour
2010-08-16 11:40 . 2010-08-16 11:40	73000	----a-w-	c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.2.1.5\SetupAdmin.exe
2010-08-14 05:01 . 2010-06-14 14:31	744448	-c----w-	c:\windows\system32\dllcache\helpsvc.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-07 12:59 . 2009-10-13 14:31	--------	d-----w-	c:\program files	rend micro
2010-09-06 10:14 . 2009-02-09 08:08	--------	d-----w-	c:\documents and settings\PC\Application Data\Azureus
2010-09-05 13:24 . 2009-10-13 13:28	--------	d-----w-	c:\program files\CCleaner
2010-08-25 14:38 . 2008-06-24 12:31	61424	----a-w-	c:\documents and settings\PC\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-08-25 05:24 . 2009-02-28 08:25	--------	d-----w-	c:\documents and settings\PC\Application Data\U3
2010-08-22 00:00 . 2009-02-09 08:07	--------	d-----w-	c:\program files\Vuze
2010-08-16 12:11 . 2009-01-26 11:52	--------	d-----w-	c:\program files\Fichiers communs\Apple
2010-08-16 01:24 . 2004-08-05 12:00	81974	----a-w-	c:\windows\system32\perfc00C.dat
2010-08-16 01:24 . 2004-08-05 12:00	503988	----a-w-	c:\windows\system32\perfh00C.dat
2010-07-12 05:59 . 2009-10-17 06:25	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-07-11 09:00 . 2010-07-11 09:00	43344	---ha-w-	c:\windows\system32\mlfcache.dat
2010-06-30 12:32 . 2004-08-05 12:00	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-24 12:25 . 2004-08-05 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-05 12:00	1852032	----a-w-	c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-05 12:00	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-05 12:00	80384	----a-w-	c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2008-06-24 08:29	744448	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 11:10 . 2010-06-14 11:10	71992	----a-w-	c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\Safari 5.33.16.0\SetupAdmin.exe
2010-06-14 07:42 . 2004-08-05 12:00	1172480	----a-w-	c:\windows\system32\msxml3.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote	bVuze.dll" [2010-06-13 2734688]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
2010-06-13 17:10	2734688	----a-w-	c:\program files\Vuze_Remote	bVuze.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote	bVuze.dll" [2010-06-13 2734688]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{BA14329E-9550-4989-B3F2-9732E92D17CC}"= "c:\program files\Vuze_Remote	bVuze.dll" [2010-06-13 2734688]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"VoipBuster"="c:\program files\VoipBuster.com\VoipBuster\VoipBuster.exe" [2010-08-24 10652976]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2007-08-03 1826816]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-12-20 2656528]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-04-13 47392]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-09-27 13918208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-09-27 86016]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-07-21 141608]

c:\documents and settings\PC\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\WINDOWS\system32\usmt\migwiz.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\Vuze\Azureus.exe"=

R0 tffsport;M-Systems DiskOnChip 2000;c:\windows\system32\drivers	ffsport.sys [01/06/2009 16:39 149376]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [17/10/2009 10:21 108289]
S2 gupdate1c9af3cbbb32c30;Google Update Service (gupdate1c9af3cbbb32c30);c:\program files\Google\Update\GoogleUpdate.exe [28/03/2009 02:32 133104]
.
Contenu du dossier 'Tâches planifiées'

2010-09-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-09-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-28 00:32]

2010-09-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-28 00:32]

2010-09-07 c:\windows\Tasks\User_Feed_Synchronization-{A60F82CD-AEB9-44B3-BFE1-2306014350BA}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://www.google.com/ie
mWindow Title = 
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Ouvrir dans un nouvel onglet d'arrière-plan - c:\program files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?16eee9e06bd84100b5bd3d131fd0a479
IE: Ouvrir dans un nouvel onglet de premier plan - c:\program files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?16eee9e06bd84100b5bd3d131fd0a479
DPF: {50DC58D0-C870-4BE6-BC41-971ED2D5F022} - hxxp://www.super-messenger.fr/tab/HookWlmEx.exe
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-07 17:11
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(7484)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32
vsvc32.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\RUNDLL32.EXE
c:\program files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\logitech\quickcam\lu\lulnchr.exe
c:\program files\fichiers communs\logitech\lu\lulnchr.exe
c:\program files\fichiers communs\logitech\lu\LogitechUpdate.exe
.
**************************************************************************
.
Heure de fin: 2010-09-07  17:16:47 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-09-07 15:16
ComboFix2.txt  2010-09-07 14:35

Avant-CF: 6 345 793 536 octets libres
Après-CF: 6 239 145 984 octets libres

- - End Of File - - 0E2E47D52907199BE8864241C8F23730

val · Answer

ça fait  minutes que malwarebytes est en route, j'ai l'impression que ce sera encore un peu long, alors je vais laisser tourner et je t'envoie le rapport dès que possible, parce que là il ne me reste plus que 6h à dormir (il est minuit ici) et je pars en déplacement professionnel  3 jours, donc je terminerais le travail vendredi soir 
merci pour ton aide

val · Answer

voilà pour malwarebytes, 
par contre, mon antivir était actif (je sais pas si il fallait) et il m'a dit qu'un cheval de troie était détecté : 
Dans le fichier 'C:\System Volume Information\_restore{9571A615-13DA-4DB3-A491-F2F2F1FBCC55}\RP616\A0050324.sys'
un virus ou un programme indésirable 'TR/Rootkit.Gen3' [trojan] a été détecté.
Action exécutée : Déplacer le fichier en quarantaine
je serais de rerour vendredi
merci


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4562

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08/09/2010 01:07:32
mbam-log-2010-09-08 (01-07-32).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 215212
Temps écoulé: 7 heure(s), 22 minute(s), 18 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

moment de grace · Answer

Dans le fichier 'C:\System Volume Information\_restore{9571A615-13DA-4DB3-A491-F2F2F1FBCC55}\RP616\A0050324.sys' 

pas grave si tu ne restaure pas ton pc pour l'instant

Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


si soucis avec ci joint. fr 

=> utiliser https://www.cjoint.com/
=>  utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html

éliminer phishing

24 réponses

Discussions similaires

Newsletters