Recherche sur google redirigée search daily Fermé

Question

Bonjour, 

En fait, j'ai un petit porblème avec mon ordinateur. Je dois vous informer tout de suite que je ne suis oas du tout une experte en soin de l'ordinateur!

Bref, je me suis rendue compte que j'avais été infecté par le Virus, search daily, donc que lors de mes recherche sur google, j'étais automatiquement redirigée vers ce site. 

J'ai essayé de trouver la marche à suivre sur Internet, mais le tout me semble dépendant des ordinateurs de tous et chacun et quelque peu complexe!

Merci de votre aide!





Configuration: Windows XP / Firefox 3.6.8

gen-hackman · Answer

salut

si tu as un deuxieme pc , regarde ca , ca t'occupera le temps du scan lol

https://www.youtube.com/watch?v=YQgc-CXdKQQ

sauvegarde ton travail puis :

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

valet · Answer

Voci ce que j'ai eu!

ComboFix 10-09-17.04 -  2010-09-18  10:44:42.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.2.1036.18.1023.384 [GMT -4:00]
Lancé depuis: c:\documents and settings\Mes documents\Downloads\marie.exe.exe
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
 * Un antivirus résident est actif

.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\spool\prtprocs\w32x86\xQG55a.dll

Une copie infectée de c:\windows\system32\drivers\dmload.sys a été trouvée et désinfectée 
Copie restaurée à partir de - Kitty had a snack :p 
.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-08-18 au 2010-09-18  ))))))))))))))))))))))))))))))))))))
.

2010-09-17 22:27 . 2010-09-17 22:27	0	----a-w-	c:\windows
sreg.dat
2010-09-17 22:26 . 2010-09-17 22:26	--------	d-----w-	c:\documents and settings	urgeoja\Local Settings\Application Data\Mozilla
2010-09-15 16:31 . 2010-09-15 16:31	--------	d-----w-	C:\spoolerlogs
2010-09-08 19:08 . 2010-09-15 23:51	--------	d-----w-	C:\Valérie
2010-09-08 18:39 . 2010-09-16 02:12	--------	d-----w-	c:\documents and settings	urgeoja\Application Data\CmapTools
2010-09-08 18:39 . 2010-09-16 02:09	--------	d-----w-	c:\documents and settings	urgeoja\CmapToolsLogs
2010-09-08 18:36 . 2010-09-08 18:37	--------	d-----w-	c:\program files\IHMC CmapLite
2010-09-08 18:36 . 2010-09-08 18:37	--------	d--h--w-	c:\program files\Zero G Registry
2010-09-08 18:35 . 2010-09-08 18:35	--------	d--h--w-	c:\documents and settings	urgeoja\InstallAnywhere
2010-09-08 17:54 . 2007-11-28 05:18	44544	----a-w-	c:\windows\system32\msxml4a.dll
2010-09-08 17:54 . 2007-11-28 05:18	21776	----a-w-	c:\windows\system32\msxml2a.dll
2010-09-08 17:54 . 2010-09-08 17:54	--------	d-----w-	c:\windows\Samsung
2010-09-08 17:53 . 2007-11-27 12:55	22723	----a-w-	c:\windows\system32\ssp1ml3.dll
2010-09-08 17:53 . 2007-11-27 12:55	19968	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\ssp1mpc.dll
2010-09-08 17:53 . 2007-11-27 12:54	151552	----a-w-	c:\windows\system32\ssp1mci.exe
2010-09-08 17:53 . 2007-11-27 12:54	65536	----a-w-	c:\windows\system32\ssp1mci.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-15 19:22 . 2006-08-21 15:54	--------	d-----w-	c:\program files\Google
2010-09-08 17:47 . 2009-02-22 15:44	--------	d-----w-	c:\program files\Samsung
2010-01-31 20:38 . 2010-01-31 20:39	72911182	----a-w-	c:\program files\xlfit5.exe
2009-09-14 12:02 . 2009-09-14 12:03	19251120	----a-w-	c:\program files\InstallPrism5Demo.exe
2009-08-30 18:12 . 2009-08-30 18:12	196608	----a-w-	c:\program files\um019747710lcmcb6lqpckkrowu1eoouslml.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-08-21 282624]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-24 57344]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-08-21 282624]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2006-08-21 180269]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-02 131072]
"WatchDog"="c:\program files\InterVideo\DVD Check\DVDCheck.exe" [2006-03-31 184320]
"PTHOSTTR"="c:\program files\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2006-02-14 122880]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2005-10-12 139264]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"AGRSMMSG"="AGRSMMSG.exe" [2005-12-12 88203]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-31 761946]
"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 98304]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UdaterUI.exe" [2007-08-30 136512]
"Network Associates Error Reporting Service"="c:\program files\Fichiers communs\Network Associates\TalkBack	bmon.exe" [2003-10-07 147514]
"Acrobat Assistant 7.0"="c:\program files\Adobe\Distillr\Acrotray.exe" [2006-01-13 483328]
"PaperPort PTD"="c:\program files\Scansoft\PaperPort\pptd40nt.exe" [2002-07-08 45108]
"IndexSearch"="c:\program files\Scansoft\PaperPort\IndexSearch.exe" [2002-07-08 36864]
"SamsungSM PanelMgr"="c:\windows\SamsungSM\PanelMgr\SSMMgr.exe" [2008-07-31 536576]
"WHITNEY_S2P"="c:\program files\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe" [2006-03-27 229376]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2008-09-03 536576]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
DVD Check.lnk - c:\program files\InterVideo\DVD Check\DVDCheck.exe [2006-8-21 184320]
Lancement rapide d'Adobe Acrobat.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe [2006-10-10 25214]
SmartUI.lnk - c:\program files\Scansoft\PaperPort\SmartUI\SmartUI.exe [2003-2-6 1572864]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\IfxWlxEN]
2006-03-03 19:08	434176	----a-w-	c:\windows\system32\IfxWlxEN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2046442738-783573707-16515117-7148\Scripts\Logon\0\0]
"Script"=dgtic_ MonWebDepot.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2046442738-783573707-16515117-7148\Scripts\Logon\1\0]
"Script"=dgtic_BoutonSauvegarde.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2046442738-783573707-16515117-7148\Scripts\Logon\2\0]
"Script"=AllowOnBaseGedPopUp.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2046442738-783573707-16515117-7148\Scripts\Logon\2\1]
"Script"=transfertImpr.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2046442738-783573707-16515117-7148\Scripts\Logon\2\2]
"Script"=DisableIEUpdate.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2046442738-783573707-16515117-92574\Scripts\Logon\0\0]
"Script"=dgtic_ MonWebDepot.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2046442738-783573707-16515117-92574\Scripts\Logon\1\0]
"Script"=AllowOnBaseGedPopUp.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2046442738-783573707-16515117-92574\Scripts\Logon\1\1]
"Script"=transfertImpr.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2046442738-783573707-16515117-92574\Scripts\Logon\1\2]
"Script"=DisableIEUpdate.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=

R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [2006-08-29 59904]
R1 PersonalSecureDrive;PersonalSecureDrive;c:\windows\system32\drivers\psd.sys [2005-11-29 36768]
R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [2006-02-28 87808]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2005-10-21 36352]
S2 Intel(R) License Manager for FLEXlm;Intel(R) License Manager for FLEXlm;c:\program files\Fichiers communs\Intel\FLEXlm\lmgrd.intel.exe [2007-04-20 666096]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 NaiAvFilter101;NAI Anti Virus;\Device\NaiAvFilter101.sys --> \Device\NaiAvFilter101.sys [?]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;c:\program files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe [2005-09-23 2799808]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - ENTDRV51
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://umontreal.ca/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir en un fichier PDF existant - c:\program files\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
Trusted Zone: chumontreal.qc.ca\inotes
FF - ProfilePath - c:\documents and settings	urgeoja\Application Data\Mozilla\Firefox\Profiles\zpf6gipu.default\
FF - plugin: c:\program files\Java\jre1.5.0_08\bin\NPJPI150_08.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-18 10:49
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(912)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\IfxWlxEN.dll

- - - - - - - > 'lsass.exe'(968)
c:\windows\system32\EntApi.dll
.
Heure de fin: 2010-09-18  10:52:25
ComboFix-quarantined-files.txt  2010-09-18 14:52

Avant-CF: 24 215 908 352 octets libres
Après-CF: 24 562 700 288 octets libres

- - End Of File - - C4B7B72E609CF89621033E22869C381E

gen-hackman · Answer

supprime ca on fera un script ensuite :

c:\program files\xlfit5.exe
c:\program files\InstallPrism5Demo.exe
c:\program files\um019747710lcmcb6lqpckkrowu1eoouslml.exe

valet · Answer

Parfait, maintenant qu'est-ceque je dois faire?

gen-hackman · Answer

salut

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    *  * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

c:\windows\system32\ssp1mci.exe 



    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

valet · Answer

Merci bien de ton aide!

 il n'a pas trouver de virus!

gen-hackman · Answer

je peux avoir le lien de l analyse ? j'ai besoin de lire des informations autres que celle ci