AIECAFAITMAL
-
5 nov. 2010 à 16:04
Malekal_morte-
Messages postés180304Date d'inscriptionmercredi 17 mai 2006StatutModérateur, Contributeur sécuritéDernière intervention15 décembre 2020
-
7 nov. 2010 à 23:12
Bonjour, ET AU SECOURS
Je crois que mon pc a un rogue, c'est la cata.
Je me bats avec cette 'chose' depuis 2 jours. Il y a plein de fenetre qui s'ouvre me proposant de telecharger un antivirus car soi disant mon oridinateur a des millions de virus + ouverture d'ecplorer sur des pages pas tres catho...
j'etais en utilisateur et non administateur quand je l'ai chopé.
Mon antivirus (virusscan) le voit mais ne peut pas le supprimer. Il le situe dans
C:\ DOCUMENTS AND SETTINGS\NOM UTILISATEUR\LOCAL SETTINGS \ APPLICATION DATA sous le nom de 'SYSSVC.EXE' (detecté en tant que 'Generic.dx!una').
> quand je vais dans ce repertoire je ne le vois pas, même en cache.
Au debut rien ne marche (tout les antimalwares mais aussi Hijack et autres ZHPDiag) mais apres mettre depatouiller entre ma session utilisateur et administrateur EN MODE sans echec pour cette dernier, j'ai reussi a faire tourner MalwareBytes (avec misea jour, les fichiers trouvés ont deja été eliminés de la quarataine mais je dois toujours avoir les fichiers log quelque part).
Cependant rien n'y a fait, au redemarrage ce foutu truc revenait encore.
Apres avoir fait tourner Rogue killer, miracle la chose a été bloqué et les fausses fenetres ne s'ouvrait plus. Voici ici les (successifs) rapports de RogueKiller (j'ai appuyé sur 1 (scan) puis 2(suppression)):
Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
Mode: Remove -- Time : 05/11/2010 09:55:39
Bad processes:
Deregistred:
Finished
Puis apres quoi j'ai lancer un scan avec ZHPDiag qui m'a trouvé des trucs, voici le rapport:
Rapport de ZHPDiag v1.27.09 par Nicolas Coolman, Update du 04/11/2010
Run by NOM PRENOMadmin at 05/11/2010 10:27:10
Web site : http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Contact : nicolascoolman@yahoo.fr
---\\ Web Browser
MSIE: Internet Explorer v6.0.2900.5512
MFIE: Mozilla Firefox (3.6)
---\\ System Information
Windows XP Professional Service Pack 3 (Build 2600)
Processor: x86 Family 6 Model 15 Stepping 10, GenuineIntel
Operating System: 32 Bits
Boot mode: Normal (Normal boot)
Total RAM: 2038 MB (60% free)
System drive C: has 18 GB (15%) free of 112 GB
---\\ Logged in mode
Computer Name: NOM ORDI
User Name: NOM PRENOMadmin
All Users Names: SUPPORT_388945a0, NOM PRENOMadmin, NOM PRENOM, iscinfo, HelpAssistant, ASPNET,
Unselected Option: O1,O45,O61,O62,O65,O82
Logged in as Administrator
---\\ DOS/Devices
C:\ Hard drive, Flash drive, Thumb drive (Free 18 Go of 112 Go)
D:\ CD-ROM drive (Not Inserted)
---\\ Security Center & Tools Informations
[HKLM\SOFTWARE\Microsoft\Security Center] AntiSpywareOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center] UacDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiSpywareOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UacDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] NoActiveDesktopChanges: OK
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: OK
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoFolderOptions: OK
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: OK
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: OK
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] NoDispScrSavPage: OK
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] CheckedValue: OK
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Start_ShowSearch: OK
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] CheckedValue: OK
---\\ Internet Explorer URLSearchHook (R3)
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (.Microsoft Corporation - Bibliothèque d'objets et de contrôles de do.) (No version) -- %SystemRoot%\system32\shdocvw.dll
R3 - URLSearchHook: Softonic France FF Toolbar - {6d6b212b-2245-4898-8b16-9a11b81ff9e1} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 2, 0) -- C:\Program Files\Softonic_France_FF\tbSoft.dll
---\\ Browser Helper Objects de navigateur (O2)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} . (.Adobe Systems Incorporated - Adobe Acrobat IE Helper Version 7.0 for Act.) -- C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} . (.RealPlayer - RealPlayer Download and Record Plugin for I.) -- C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} . (.Sonic Solutions - Drive Letter Access Component.) -- C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Softonic France FF Toolbar - {6d6b212b-2245-4898-8b16-9a11b81ff9e1} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France_FF\tbSoft.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} . (.Microsoft Corporation - Search Helper for Internet Explorer.) -- C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} . (.McAfee, Inc. - VSCore Script Scanner.) -- C:\Program Files\McAfee\VirusScan Enterprise\Scriptcl.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} . (.Microsoft Corporation - WindowsLiveLogin.dll.) -- C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask.com Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} . (.Microsoft Corporation - Windows Live Toolbar Core.) -- C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} . (.Sun Microsystems, Inc. - Java(TM) Quick Starter binary.) -- C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
---\\ Internet Explorer Toolbars (O3)
O3 - Toolbar: Ask.com Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Softonic France FF Toolbar - {6d6b212b-2245-4898-8b16-9a11b81ff9e1} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France_FF\tbSoft.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} . (.Microsoft Corporation - Windows Live Toolbar Core.) -- C:\Program Files\Windows Live\Toolbar\wltcore.dll
---\\ Applications démarrées par registre & par dossier (O4)
O4 - HKLM\..\Run: [ShStatEXE] . (.McAfee, Inc. - VirusScan tray icon.) -- C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] . (.McAfee, Inc. - Common User Interface.) -- C:\Program Files\McAfee\Common Framework\UdaterUI.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] . (.SigmaTel, Inc. - Sigmatel Audio system tray application.) -- C:\Windows\stsystra.exe
O4 - HKLM\..\Run: [IntelZeroConfig] . (.Intel Corporation - ZeroCfgSvc MFC Application.) -- C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] . (.Intel Corporation - Intel Framework MFC Application.) -- C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
O4 - HKLM\..\Run: [Apoint] . (.Alps Electric Co., Ltd. - Alps Pointing-device Driver.) -- C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [IgfxTray] . (.Intel Corporation - igfxTray Module.) -- C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] . (.Intel Corporation - hkcmd Module.) -- C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] . (.Intel Corporation - persistence Module.) -- C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
O4 - HKLM\..\Run: [ISUSPM Startup] . (.InstallShield Software Corporation - InstallShield Update Service Update Manager.) -- C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe
O4 - HKLM\..\Run: [ISUSScheduler] . (.InstallShield Software Corporation - InstallShield Update Service Scheduler.) -- C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] . (.Adobe Systems Incorporated - Adobe CS4 Service Manager.) -- C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe
O4 - HKLM\..\Run: [UserFaultCheck] C:\WINDOWS\system32\dumprep 0 -u (.not file.)
O4 - HKLM\..\Run: [DLA] . (.Sonic Solutions - Drive Letter Access Component.) -- C:\WINDOWS\System32\DLA\DLACTRLW.exe
O4 - HKLM\..\Run: [SNPSTD2] . (.Pas de propriétaire - CameraMonitor MFC Application.) -- C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [PD0630 STISvc] . (.Creative Technology Ltd. - Installation Plug-In.) -- C:\Windows\System32\P0630Pin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jusched.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] . (.Malwarebytes Corporation - Malwarebytes' Anti-Malware.) -- C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] . (.Malwarebytes Corporation - Malwarebytes' Anti-Malware.) -- C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\MsnMsgr.exe
O4 - HKCU\..\Run: [Creative WebCam Tray] . (.Creative Technology Ltd - Creative Camera Launcher Application.) -- C:\Program Files\Creative\Shared Files\CamTray.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] . (.Sony Ericsson Mobile Communications AB - Sony Ericsson PC Suite.) -- C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] . (.Adobe Systems, Inc. - Adobe Flash Player Helper 10.0 r45.) -- C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O4 - HKUS\S-1-5-21-1417001333-1580818891-839522115-1004-1417001333-1580818891-839522115-1003\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-1417001333-1580818891-839522115-1004-1417001333-1580818891-839522115-1003\..\Run: [MsnMsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\MsnMsgr.exe
O4 - HKUS\S-1-5-21-1417001333-1580818891-839522115-1004-1417001333-1580818891-839522115-1003\..\Run: [Creative WebCam Tray] . (.Creative Technology Ltd - Creative Camera Launcher Application.) -- C:\Program Files\Creative\Shared Files\CamTray.exe
O4 - HKUS\S-1-5-21-1417001333-1580818891-839522115-1004-1417001333-1580818891-839522115-1003\..\Run: [Sony Ericsson PC Suite] . (.Sony Ericsson Mobile Communications AB - Sony Ericsson PC Suite.) -- C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
O4 - HKUS\S-1-5-21-1417001333-1580818891-839522115-1004-1417001333-1580818891-839522115-1003\..\RunOnce: [FlashPlayerUpdate] . (.Adobe Systems, Inc. - Adobe Flash Player Helper 10.0 r45.) -- C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk . (.Adobe Systems Incorporated.) -- C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: C:\Documents And Settings\NOM PRENOMadmin\Menu Démarrer\Programmes\Démarrage\Outil de détection de support Picture Motion Browser.lnk . (.Sony Corporation.) -- C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
---\\ Autres liens utilisateurs (O4)
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Adobe Bridge CS4.lnk . (.Adobe Systems, Inc..) -- C:\Program Files\Adobe\Adobe Bridge CS4\Bridge.exe
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Adobe Device Central CS4.lnk . (.Adobe Systems.) -- C:\Program Files\Adobe\Adobe Device Central CS4\DeviceCentral.exe
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Adobe Drive CS4.lnk . (.Adobe Systems Incorporated.) -- C:\Program Files\Fichiers communs\Adobe\Adobe Drive CS4\ConnectUI\Adobe Drive CS4.exe
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Adobe ExtendScript Toolkit 2.lnk . (.Adobe Systems, Incorporated.) -- C:\Program Files\Adobe\Adobe Utilities\ExtendScript Toolkit 2\ExtendScript Toolkit 2.exe
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Adobe ExtendScript Toolkit CS4.lnk . (.Adobe Systems Incorporated.) -- C:\Program Files\Adobe\Adobe Utilities\ExtendScript Toolkit CS4\ExtendScript Toolkit.exe
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Adobe Extension Manager CS4.lnk . (.Adobe Systems Incorporated.) -- C:\Program Files\Adobe\Adobe Extension Manager CS4\Adobe Extension Manager CS4.exe
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Adobe Illustrator CS4.lnk . (.Adobe Systems Inc..) -- C:\Program Files\Adobe\Adobe Illustrator CS4\Support Files\Contents\Windows\Illustrator.exe
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Adobe Reader 7.0.lnk . (.Pas de propriétaire.) -- C:\WINDOWS\Installer\{AC76BA86-7AD7-1036-7B44-A70900000002}\SC_Reader_PM.ico
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Apple Software Update.lnk . (.Pas de propriétaire.) -- C:\WINDOWS\Installer\{02DFF6B1-1654-411C-8D7B-FD6052EF016F}\AppleSoftwareUpdateIco.exe
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\MSN.lnk . (.Microsoft Corporation.) -- C:\Program Files\MSN\MSNCoreFiles\Install\msnsusii.exe
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Serif DrawPlus X2.lnk . (.Pas de propriétaire.) -- C:\WINDOWS\Installer\{4D9DD45B-E79A-4F04-898E-B2C3769AB729}\DrawPlus.ico
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Windows Messenger.lnk . (.Microsoft Corporation.) -- C:\Program Files\Messenger\msmsgs.exe
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Windows Movie Maker.lnk . (.Microsoft Corporation.) -- C:\Program Files\Movie Maker\moviemk.exe
O4 - Global Startup: C:\Documents And Settings\NOM PRENOMadmin\Menu Démarrer\Programmes\Assistance à distance.lnk . (.Microsoft Corporation.) -- C:\WINDOWS\system32\rcimlby.exe
O4 - Global Startup: C:\Documents And Settings\NOM PRENOMadmin\Menu Démarrer\Programmes\Internet Explorer.lnk . (.Microsoft Corporation.) -- C:\Program Files\Internet Explorer\iexplore.exe
O4 - Global Startup: C:\Documents And Settings\NOM PRENOMadmin\Menu Démarrer\Programmes\Lecteur Windows Media.lnk . (.Microsoft Corporation.) -- C:\Program Files\Windows Media Player\wmplayer.exe
O4 - Global Startup: C:\Documents And Settings\NOM PRENOMadmin\Menu Démarrer\Programmes\Outlook Express.lnk . (.Microsoft Corporation.) -- C:\Program Files\Outlook Express\msimn.exe
---\\ Boutons situés sur la barre d'outils principale d'Internet Explorer (O9)
O9 - Extra button: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} . (.Microsoft Corporation - Windows Live Writer Blog This Extension.) -- C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} . (.Pas de propriétaire - Pas de description.) -- C:\PROGRA~1\MICROS~2\OFFICE11\REFBARH.ICO
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} . (.not file.) - (.not file.)
O9 - Extra button: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} . (.Microsoft Corporation - Windows Messenger.) -- C:\Program Files\Messenger\msmsgs.exe
---\\ Winsock hijacker (Layered Service Provider) (O10)
O10 - WLSP:\000000000001\Winsock LSP File . (.Microsoft Corporation - Fournisseur de service Sockets 2.0 de Microsoft Windows.) -- C:\WINDOWS\system32\mswsock.dll
O10 - WLSP:\000000000002\Winsock LSP File . (.Microsoft Corporation - LDAP RnR Provider DLL.) -- C:\WINDOWS\system32\winrnr.dll
O10 - WLSP:\000000000003\Winsock LSP File . (.Microsoft Corporation - Fournisseur de service Sockets 2.0 de Microsoft Windows.) -- C:\WINDOWS\system32\mswsock.dll
---\\ Objets ActiveX (Downloaded Program Files)(O16)
O16 - DPF: Microsoft XML Parser for Java (Microsoft XML Parser for Java) - (.not file.) - file:\\C:\WINDOWS\Java\classes\xmldso.cab
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://download.microsoft.com/download/C/B/F/CBF23A2C-3E55-4664-BC5C-762780D79BA0/OGAControl.cab O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc4.cab
---\\ Composants installés (ActiveSetup Installed Components) (O40)
O40 - ASIC: Personnalisation du navigateur - >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS . (.Pas de propriétaire - Pas de description.) -- Rundll32 IEDKCS32.dll
O40 - ASIC: NetMeeting 3.01 - {44BBA842-CC51-11CF-AAFA-00AA00B6015B} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\INF\msnetmtg.inf
O40 - ASIC: Windows Messenger 4.7 - {5945c046-1e7d-11d1-bc44-00c04fd912be} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\INF\msmsgs.inf
O40 - ASIC: Microsoft Windows Media Player - {6BF52A52-394A-11d3-B153-00C04F79FAA6} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\INF\wmp.inf
O40 - ASIC: Macromedia Flash Player 8 - {D27CDB6E-AE6D-11cf-96B8-444553540000} . (.Macromedia, Inc. - Macromedia Flash Player 8.0 r24.) -- C:\WINDOWS\system32\Macromed\Flash\Flash8b.ocx
Malekal_morte-
Messages postés180304Date d'inscriptionmercredi 17 mai 2006StatutModérateur, Contributeur sécuritéDernière intervention15 décembre 202024 663 5 nov. 2010 à 20:27
Salut,
Sauvegarde tes documents importants.
Désactive les logiciels de protection (Antivirus, Antispywares) puis :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/ et donne le lien ici :)
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Oups message trop long, en fait c'est pas tres poli de poster un truc comme ca genre 'Debrouiller les gars'.
Donc je vais d'abord attendre que quelque me dise s'il veut bien m'aider.
Pour finir à la fin du rapport ZHPDiag il semble bien qu'il reste des truc infectés.
Je vous transmettrai cela si vous me le demandez.
JE ne sais plus quoi fait j'ai un boulot super important a rendre dans une semaine.
Bon, on dirait que les helpers sont occupés, ou alors j'ai peut etre posé une question bete avec une solution evidente, dans ce cas n'hesitez pas à me le dire. J'ai peur que mon post disparaisse dans les méandres du Forum. Au cas où, je mets quand meme le dernier rapport complet de ZHPDiag dans le lien ci-dessous.
Encore un fois MalwareBytes et inefficace et ne détecte rien alors que le probleme de Rogue réapparait à chaque fois que je relance l'ordi.
Svp aidez-moi, je suis à l'entranger et je dois presenté un rapport dans peu de temps avant mon retour en France. Avec ce virus cela me parait compromis, d'autant plus que je ne peux pas reformater car je n'ai pas les disques de reinstallation sur moi.
Par avance merci beaucoup
Vous n’avez pas trouvé la réponse que vous recherchez ?
ps: même si le rogue semble être 'Antivirus Action', la restauration a une date anterieure ne marche pas. Windows refuse de la faire et me dit que la restauration a échoué/impossible (pourtant je les vois dans l'outil de restauration).
Bref c'est la merde la !
merci infiniment de t'interesser à mon cas.
Bon alors ce ne fur pas de la tarte.
J'ai du passer en Session Administrateur (de base, ie sans echec) pour desactiver McAfee (j'ESPERE l'avoir fait correctement mais pas sur). A noter que en Admin le probleme n'est pas visible, et McCafee avait 145 virus en quarantaine tous listes sous le meme nom 'Generic.dx' et qui date du debut de l'infection (ie 2 jours)
J'ai telechargé Combofix avec telechargement de la console de récuperation.
Apres une permiere tentative qui a échoué au bour de 5' (gros ecran bleu avec message 'Un pb a été detecté et windows a été arreté pour prevenir tout dommage à l'ordi....".
AIECAFAITMAL
Messages postés4Date d'inscriptionvendredi 5 novembre 2010StatutMembreDernière intervention 6 novembre 2010 6 nov. 2010 à 06:10
Une derniere precision,
en mode Administrateur le rogue semble inactif : aucun rapport d'infection avec RogueKiller, aucun tentative 'd'entree' detectée par McAfee, pas de modification des parametres du proxy d'IE et surtout aucune fenetre intempestive. Bref que des choses qui apparaissent sous mon compte utilisateur (sous lequel j'ai chopper le rogue).
Mais le problème est que cela rend la desincfection plus dur car j'ai l'impression que certains programmes de desinfection que je fais tourner à 'l'interieur' de mon compte utilisateur (mais executés forcement en tant qu'administrateur) ne me reconnaissent pas tout.
Exemple avec rogue killer:
-Utilisé en compte user mais exécuté grace aux droits Admin il ne me detecte (scan -1) et me supprime (2-delete) qu'un seul probleme (1 .exe)
-Utilisé ET execute en compte user, il me detecte 3 problemes (2 .exe + le probleme du proxy). Cependant le delete des problemes '.exe' est impossible ainsi que le 'remove' du probleme proxy.
(si tarrives pas à le télécharger sur la session infectée, télécharge le depuis la session admin et mets le sur le c:\ par exemple.... mais surtout lance le depuis ta session infectée ensuite).
* Lance OTL
* Sous Personnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
[quote]netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT/quote
* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.
AIECAFAITMAL
Messages postés4Date d'inscriptionvendredi 5 novembre 2010StatutMembreDernière intervention 6 novembre 2010 6 nov. 2010 à 17:45
Salut Malekal,
desole pour la reponse tardive mais je n'etais pas devant mon ordi ces derniere heures.
Alors pour repondre à ta premiere question, la session sous laquelle j'ai été infectée n'a pas les droits administrateurs (j'essaie de toujours faire ca, au cas où).
Ensuite il se passe quelque chose de très bizarre mais plutot bien : au redemarrage ce matin je n'ai plus de probleme dans cette meme session user... Je ne sais pas ce qui a permis ca, c'est un peu embetant. Hier sois je me suis évertué à essayer d'executer RogueKiller en session User immediatement apres le demarrage le machine (ie avant que le rogue n'est le temps de se lancer). Et une fois j'y suis arrivé, ce qui m'a, entre autre, permis de le bloquer avant qu'il ne change les parametres proxy de mon IE.
J'ai aussi fait tourner mon anti-virus McAfee (via la session Admin) > il m'en a trouvé 4 (dans java).
Bon tout ceci est au conditionnel, je vais reessayer de relancer une ou deux fois ma machine dans les differentes sessions user et admin pour voir si rien ne réapparait.
AIECAFAITMAL
Messages postés4Date d'inscriptionvendredi 5 novembre 2010StatutMembreDernière intervention 6 novembre 2010 6 nov. 2010 à 17:52
Derniere chose,
malgré l'absence de probleme 'visibles' en session user, RogueKiller continue à me trouver (que!) ça dans cette meme session: (resultats apres le second passage de Roguekiller).
AIECAFAITMAL
Messages postés4Date d'inscriptionvendredi 5 novembre 2010StatutMembreDernière intervention 6 novembre 2010 6 nov. 2010 à 19:27
Bon apres avoir passé plusieurs fois RogueKiller, le probleme du proxy semble parti car non present au redemarrage. Cela dit ca m'a fait ca une fois hier et c'est revenu plus tard dans la soiree (ie apres pls redemarrages)...
Tout a fait d'accord avec toi pour Softonic France and co, je ne l'ai remarqué qu'hier car ils sont en toolbar uniquement sur IE (que je n'utilise jamais sauf hier pour desactivé les proxy). Faut que je vire ce truc, tu as raison.
J'ai mis Adobe Reader à jour quelque minutes avant de recevoir ton dernier message mais cela grace aux bons conseils... que j'ai lu sur ton site.
Sinon le rogue a l'air d'avoir disparu donc tout semble OK.
Je mets le post en resolu, je te remercie infiniment et j'envisage même de construire un mausolée à ta goire.
Malekal_morte-
Messages postés180304Date d'inscriptionmercredi 17 mai 2006StatutModérateur, Contributeur sécuritéDernière intervention15 décembre 202024 663 7 nov. 2010 à 23:12
c'est cool :)
aintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.
Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.
Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf - sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese