Lien sur google ou autre ne marche plus

Résolu
nicolito -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonjour,
Depuis un mois, lorsque je fais des recherches sur google ou les autres moteur de recherche, des que je clique sur un lien, cela m'envoie directement sur une page malveillante. J'ai essayé de changer de système d'exploitation comme explorer, firefox ou chrome mais rien ne change.
Y a t-il un moyen de résoudre se problème, du genre un scan anti-virus sur les moteurs de recherche ou réinstallation ?
Merci d'avance !

Nico

48 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Le problème décrit est une redirection malveillante des résultats de recherche, qui s’ouvre sur des pages malveillantes dès le clic sur un lien, malgré l’utilisation de différents navigateurs. Plusieurs conseils orientent vers des scans antivirus et des outils de diagnostic, notamment VirusTotal et ZHPDiag, qui visent à identifier et supprimer les composants malveillants sur Windows XP. D’autres recommandations préconisent des procédures de nettoyage plus approfondies, incluant le redémarrage, l’analyse du registre et des répertoires suspects, puis le partage des rapports via des liens de téléchargement. L’utilisation de versions réseau des outils facilite les téléchargements et la consultation des résultats, par exemple en transmettant des rapports via des liens vers des pages de téléchargement de fichiers.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    On va faire un diagnostic de ton PC

    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    - Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    - Sélectionne le fichier ZHPDiag.txt.
    - Clique sur "Cliquez ici pour déposer le fichier".
    - Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
    - Copie ce lien dans ta réponse.

    Smart
    0
  2. nicolito
     
    http://www.cijoint.fr/cjlink.php?file=cj201101/cijtD6Qmoh.txt

    merci !
    0
  3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu as des barres d'outils infectées et peut-être un rogue

    Mais avant tout je voudrais vérifuer qq chose:

    Va sur ce site https://www.virustotal.com/gui/
    - Clique sur parcourir
    - Dans nom du fichier colle ce fichier : C:\Windows\Explorer.exe
    - Clique sur Send File et puis reanalyze
    - Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport

    et tu fais le même chose avec ce fichier:
    C:\Windows\System32\Winlogon.exe

    Smart
    0
  4. nicolito
     
    le 1er:

    http://www.virustotal.com/file-scan/report.html?id=c1707f35efc422b042e771495f57f1ec1be5c37040e4ebabfa873c47df4d92f1-1295533885

    et le 2ème:

    http://www.virustotal.com/file-scan/report.html?id=24d4b48425cc1a49cc8014bf65b069fac0ce4e75430293aaaf7a0a06d02f5071-1295534114

    Merci
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Je m'en doutais. Tu as une infection Batimal, qui n'est pas simple à supprimer

    On va commecer par une solution simple:

    Avant de commencer, fais une sauvegarde de tous tes documents

    Attention pour ceux qui parcourent ce sujet, cet outil n'est pas à utiliser à la légère, et doit être recommandé uniquement par une personne formée à cet outil
    Imprime la procédure


    Télécharge ComboFix de sUBs sur ton Bureau :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    /!\Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
    La simple désactivation du résident n'est pas suffisante.
    Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
    Choisis la version adéquate (32 ou 64 bits)/!\


    Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    - /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
    - Double-clique sur ComboFix.exe
    - Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
    - Surtout, accepte d'installer la console de récupération

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC
    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  7. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    @nicolito

    Il faut vraiment que tu reviennes sur le forum, car tu as une saleté difficile à enlever. Sinon il faudra formater ton disque et tu risques de perdre toutes données personnelles

    Smart
    0
  8. nicolito
     
    Je suis juste en train de sauvegarder mes données.....mais si c'est aussi difficile que ça, ne penses tu pas que vu que mes données sont sauvegardées, il serait plus simple de directement formater mon disque dur ?

    Nico
    0
  9. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    On va essayer de l'éviter. C'est mieux

    Smart
    0
  10. nicoltio
     
    Hello !
    Est-ce que tu as réussi à voir le rapport ? Je l'ai publié mais je n'ai pas l'impression que ça à fonctionner...

    Merci
    Nico
    0
  11. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Non le rapport n'est pas présent. Tu l'as fait aujurd'hui ?
    S'il est trop long poste le via cijoint

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  12. nicoltio
     
    Non il y a une semaine...je vais réessayer...un simple copier-coller suffit non ? Sinon tu as oublié le lien s il est trop long...

    Merci
    Nico
    0
  13. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Non je ne l'ai pas oublié, car je ne l'ai pas vu !
    Il est possible que le robot CCM l'ait supprimé. C'est pour cette raison poste l via cijoint
    Le mieux est de relancer un scan ComboFix et poster le rapport

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  14. nicoltio
     
    ComboFix 11-01-20.03 - Nico 21.01.2011 13:27:01.1.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3572.2975 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Nico\Bureau\ComboFix.exe
    AV: avast! Antivirus *Enabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\All Users\Microsoft
    c:\documents and settings\All Users\Microsoft\OfficeSoftwareProtectionPlatform\Cache\cache.dat
    c:\documents and settings\All Users\Microsoft\OfficeSoftwareProtectionPlatform\tokens.dat
    c:\documents and settings\Nico\Application Data\completescan
    c:\documents and settings\Nico\Application Data\install
    c:\program files\AskSearch\bin\DeFAultsearch.dll
    c:\windows\system32\mswmpdat.tlb

    c:\windows\system32\winlogon.exe . . . est infecté!!

    c:\windows\explorer.exe . . . est infecté!!

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-12-21 au 2011-01-21 ))))))))))))))))))))))))))))))))))))
    .

    2011-01-20 09:57 . 2011-01-20 09:58 -------- d-----w- c:\program files\ZHPDiag

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-01-21 12:32 . 2009-01-21 18:49 0 ----a-w- c:\documents and settings\Nico\Local Settings\Application Data\WavXMapDrive.bat
    2010-11-29 16:42 . 2010-12-03 08:47 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-11-29 16:42 . 2010-12-03 08:47 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-11-18 18:12 . 2008-04-25 17:59 86016 ----a-w- c:\windows\system32\isign32.dll
    2010-11-09 14:52 . 2008-04-25 12:46 249856 ----a-w- c:\windows\system32\odbc32.dll
    2010-11-06 00:21 . 2008-04-25 12:46 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-11-06 00:21 . 2008-04-25 12:46 43520 ------w- c:\windows\system32\licmgr10.dll
    2010-11-06 00:21 . 2008-04-25 12:46 1469440 ------w- c:\windows\system32\inetcpl.cpl
    2010-11-03 12:26 . 2008-04-25 12:46 385024 ----a-w- c:\windows\system32\html.iec
    2010-11-02 15:17 . 2008-04-25 12:46 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
    2010-10-28 13:14 . 2008-04-25 12:46 290048 ----a-w- c:\windows\system32\atmfd.dll
    2010-10-26 13:59 . 2008-04-25 12:46 1862400 ----a-w- c:\windows\system32\win32k.sys
    2009-06-04 06:17 . 2010-03-16 09:24 3145728 ----a-w- c:\program files\Fichiers communs\sapxlhelper.dll
    2009-06-04 06:17 . 2010-03-16 09:24 192512 ----a-w- c:\program files\Fichiers communs\sapconsr3.dll
    2009-06-04 06:17 . 2010-03-16 09:24 626688 ----a-w- c:\program files\Fichiers communs\sapconsaccess.dll
    2009-06-04 06:17 . 2010-03-16 09:24 40960 ----a-w- c:\program files\Fichiers communs\DigitalSignature.ocx
    2009-05-01 21:02 . 2009-01-27 01:34 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
    2009-05-01 21:02 . 2009-01-27 01:34 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
    .

    ------- Sigcheck -------

    [-] 2008-04-14 . 4776F13D4809243F7121B1A0E4C6AE4F . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

    [-] 2008-04-14 . DD7A4627251652C7CD605AF50C3FAC50 . 1037824 . . [6.00.2900.5512] . . c:\windows\explorer.exe
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{18c2d815-3a16-4493-9004-77949214a70e}"= "c:\program files\Messenger_Plus_Live_Switzerland-_DE\tbMess.dll" [2010-11-13 3913000]

    [HKEY_CLASSES_ROOT\clsid\{18c2d815-3a16-4493-9004-77949214a70e}]

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{18c2d815-3a16-4493-9004-77949214a70e}]
    2010-11-13 20:58 3913000 ----a-w- c:\program files\Messenger_Plus_Live_Switzerland-_DE\tbMess.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
    2008-09-29 16:24 325000 ----a-w- c:\program files\AskBarDis\bar\bin\askBar.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
    2010-11-13 20:58 3913000 ----a-w- c:\program files\ConduitEngine\ConduitEngine.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-09-29 325000]
    "{18c2d815-3a16-4493-9004-77949214a70e}"= "c:\program files\Messenger_Plus_Live_Switzerland-_DE\tbMess.dll" [2010-11-13 3913000]
    "{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-11-13 3913000]

    [HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
    [HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

    [HKEY_CLASSES_ROOT\clsid\{18c2d815-3a16-4493-9004-77949214a70e}]

    [HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
    "{18C2D815-3A16-4493-9004-77949214A70E}"= "c:\program files\Messenger_Plus_Live_Switzerland-_DE\tbMess.dll" [2010-11-13 3913000]
    "{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-09-29 325000]

    [HKEY_CLASSES_ROOT\clsid\{18c2d815-3a16-4493-9004-77949214a70e}]

    [HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
    [HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\EnabledUnlockedFDEIconOverlay]
    @="{30D3C2AF-9709-4D05-9CF4-13335F3C1E4A}"
    [HKEY_CLASSES_ROOT\CLSID\{30D3C2AF-9709-4D05-9CF4-13335F3C1E4A}]
    2008-11-09 18:10 40960 ----a-w- c:\program files\Wave Systems Corp\Trusted Drive Manager\TdmIconOverlay.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UninitializedFdeIconOverlay]
    @="{CF08DA3E-C97D-4891-A66B-E39B28DD270F}"
    [HKEY_CLASSES_ROOT\CLSID\{CF08DA3E-C97D-4891-A66B-E39B28DD270F}]
    2008-11-09 18:10 40960 ----a-w- c:\program files\Wave Systems Corp\Trusted Drive Manager\TdmIconOverlay.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ISUSPM"="c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 218032]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-17 39408]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
    "BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2009-10-07 323392]
    "Google Update"="c:\documents and settings\Nico\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-10-18 136176]
    "Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-10-11 14940040]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-10-28 200704]
    "AESTFltr"="c:\windows\system32\AESTFltr.exe" [2008-10-28 471040]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-08-07 13537280]
    "nwiz"="nwiz.exe" [2008-08-07 1630208]
    "NVHotkey"="nvHotkey.dll" [2008-08-07 90112]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-08-07 86016]
    "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-06-15 178712]
    "ChangeTPMAuth"="c:\program files\Wave Systems Corp\Common\ChangeTPMAuth.exe" [2008-09-24 184320]
    "WavXMgr"="c:\program files\Wave Systems Corp\Services Manager\Docmgr\bin\WavXDocMgr.exe" [2008-09-26 145408]
    "SecureUpgrade"="c:\program files\Wave Systems Corp\SecureUpgrade.exe" [2008-11-10 656696]
    "EmbassySecurityCheck"="c:\program files\Wave Systems Corp\EMBASSY Security Setup\EMBASSYSecurityCheck.exe" [2008-11-10 91448]
    "DellControlPoint"="c:\program files\Dell\Dell ControlPoint\Dell.ControlPoint.exe" [2008-08-18 598016]
    "USCService"="c:\program files\Dell\Dell ControlPoint\Security Manager\BcmDeviceAndTaskStatusService.exe" [2008-11-10 24576]
    "IntelZeroConfig"="c:\program files\Intel\WiFi\bin\ZCfgSvc.exe" [2008-07-10 1351680]
    "IntelWireless"="c:\program files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" [2008-07-10 1191936]
    "Dell Webcam Central"="c:\program files\Dell Webcam\Dell Webcam Central\WebcamDell.exe" [2008-10-17 442536]
    "PDVDDXSrv"="c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2008-05-23 128296]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
    "SAP_WUS_UNT"="c:\program files\SAP\SAPsetup\setup\Updater\NwSapSetupUserNotificationTool.exe" [2009-06-17 212992]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-18 421888]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-07-21 141608]
    "BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-8-15 604776]
    Dell ControlPoint System Manager.lnk - c:\program files\Dell\Dell ControlPoint\System Manager\DCPSysMgr.exe [2008-11-11 950048]
    Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2009-1-17 50688]
    McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
    @="Driver"

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\WINDOWS\\system32\\dplaysvr.exe"=
    "c:\\Program Files\\DNA\\btdna.exe"=
    "c:\\Program Files\\BitTorrent\\bittorrent.exe"=
    "c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
    "c:\\WINDOWS\\system32\\dpvsetup.exe"=
    "c:\\WINDOWS\\system32\\dpnsvr.exe"=
    "c:\\WINDOWS\\system32\\dxdiag.exe"=
    "c:\\Program Files\\QuickTime\\QuickTimePlayer.exe"=
    "c:\\Program Files\\Left.4.Dead.2-THEPiRATEGAY\\left4dead2.exe"=
    "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\Microsoft Office\\Office14\\GROOVE.EXE"=
    "c:\\Program Files\\Microsoft Office\\Office14\\ONENOTE.EXE"=
    "c:\\Program Files\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
    "c:\\Program Files\\Google\\Google Earth\\client\\googleearth.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24.09.2009 15:25 721904]
    R2 ASFAgent;ASF Agent;c:\program files\Intel\ASF Agent\ASFAgent.exe [19.04.2007 06:56 133968]
    R2 buttonsvc32;Dell ControlPoint Button Service;c:\program files\Dell\Dell ControlPoint\DCPButtonSvc.exe [04.09.2008 18:28 406808]
    R2 Credential Vault Host Control Service;Credential Vault Host Control Service;c:\program files\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostControlService.exe [31.07.2008 22:41 808296]
    R2 Credential Vault Host Storage;Credential Vault Host Storage;c:\program files\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostStorageService.exe [31.07.2008 22:41 21352]
    R2 dcpsysmgrsvc;Dell ControlPoint System Manager;c:\program files\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe [11.11.2008 16:00 451872]
    R2 NWSAPAutoWorkstationUpdateSvc;SAPSetup Automatic Workstation Update Service;c:\program files\SAP\SapSetup\setup\Updater\NwSapAutoWorkstationUpdateService.exe [16.03.2010 10:25 253952]
    R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [17.01.2009 08:39 112128]
    R3 cvusbdrv;Broadcom USH CV;c:\windows\system32\drivers\cvusbdrv.sys [17.01.2009 08:39 32808]
    R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [17.01.2009 08:39 244368]
    R3 OA001Afx;Provides a software interface to control audio effects of OA001 camera.;c:\windows\system32\drivers\OA001Afx.sys [17.01.2009 08:39 148056]
    R3 OA001Ufd;Creative Camera OA001 Upper Filter Driver;c:\windows\system32\drivers\OA001Ufd.sys [17.01.2009 08:39 144672]
    R3 OA001Vid;Creative Camera OA001 Function Driver;c:\windows\system32\drivers\OA001Vid.sys [17.01.2009 08:39 277440]
    S2 gupdate1ca443d9e0710fc;Service Google Update (gupdate1ca443d9e0710fc);c:\program files\Google\Update\GoogleUpdate.exe [03.10.2009 16:24 133104]
    S3 AsfAlrt;AsfAlrt Service;c:\windows\system32\drivers\Asfalrt.sys [19.04.2007 06:28 42832]
    S3 GarenaPEngine;GarenaPEngine;\??\c:\docume~1\Nico\LOCALS~1\Temp\PHO2A.tmp --> c:\docume~1\Nico\LOCALS~1\Temp\PHO2A.tmp [?]
    S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 13:49 227232]
    S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [25.03.2010 09:25 30969208]
    S3 osppsvc;Office Software Protection Platform;c:\program files\Fichiers communs\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 20:37 4640000]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    .
    Contenu du dossier 'Tâches planifiées'

    2010-11-02 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

    2011-01-21 c:\windows\Tasks\Google Software Updater.job
    - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-01-17 12:16]

    2011-01-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-10-03 15:24]

    2011-01-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-10-03 15:24]

    2011-01-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1688241396-1669031324-331813384-1005Core.job
    - c:\documents and settings\Nico\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-12-03 15:03]

    2011-01-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1688241396-1669031324-331813384-1005UA.job
    - c:\documents and settings\Nico\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-12-03 15:03]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.ch/
    uInternet Connection Wizard,ShellNext = hxxp://www.google.ch/ig/dell?hl=fr&client=dell-row-rel&channel=ch&ibd=6090117
    uInternet Settings,ProxyOverride = *.local
    uSearchAssistant = hxxp://www.google.com/ie
    uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=%s
    IE: &Envoyer à OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
    IE: Send to &Bluetooth Device... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    IE: Send To Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\Fichiers communs\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
    FF - ProfilePath - c:\documents and settings\Nico\Application Data\Mozilla\Firefox\Profiles\y1wcshap.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
    FF - prefs.js: browser.search.selectedEngine - Ask
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.ch/
    FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
    FF - Ext: Skype extension for Firefox: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
    FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
    FF - Ext: Ask Toolbar for Firefox: {E9A1DEE0-C623-4439-8932-001E7D17607D} - %profile%\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
    FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
    FF - Ext: Cooliris: piclens@cooliris.com - %profile%\extensions\piclens@cooliris.com
    FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
    FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
    pref(dom.disable_open_during_load, true);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-cakeflap - c:\docume~1\Nico\APPLIC~1\FRAGJU~1\Default bags cash.exe
    HKCU-Run-DAEMON Tools Lite - c:\program files\DAEMON Tools Lite\daemon.exe
    HKLM-Run-SysTrayApp - %ProgramFiles%\IDT\WDM\sttray.exe
    AddRemove-L4D2CT AS - c:\documents and settings\Nico\Bureau\Left.4.Dead.2-THEPiRATEGAY\Uninstall ADD.exe
    AddRemove-L4D2SP - c:\documents and settings\Nico\Bureau\Left.4.Dead.2-THEPiRATEGAY\Uninstall.exe
    AddRemove-SearchAssist - c:\dell\SearchAssist\UninstSA.bat

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-01-21 13:32
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine]
    "ImagePath"="\??\c:\docume~1\Nico\LOCALS~1\Temp\PHO2A.tmp"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h-€|ÿÿÿÿ¤*€|ù*9~*]
    "C040211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(1204)
    c:\windows\system32\netprovcredman.dll

    - - - - - - - > 'explorer.exe'(3784)
    c:\program files\Wave Systems Corp\Trusted Drive Manager\TdmIconOverlay.dll
    c:\progra~1\FICHIE~1\MICROS~1\OFFICE14\Cultures\office.odf
    c:\progra~1\MICROS~2\Office14\1036\GrooveIntlResource.dll
    c:\windows\system32\btmmhook.dll
    c:\progra~1\WINDOW~2\wmpband.dll
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\btncopy.dll
    c:\program files\Roxio\Drag-to-Disc\Shellex.dll
    c:\program files\Fichiers communs\Roxio Shared\9.0\DLLShared\DLAAPI_W.DLL
    c:\program files\Roxio\Drag-to-Disc\ShellRes.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Intel\WiFi\bin\S24EvMon.exe
    c:\drivers\audio\r201108\stacsv.exe
    c:\windows\System32\SCardSvr.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\Intel\WiFi\bin\EvtEng.exe
    c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\windows\system32\nvsvc32.exe
    c:\program files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
    c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    c:\program files\Wave Systems Corp\Trusted Drive Manager\TdmService.exe
    c:\program files\Intel\WiFi\bin\WLKeeper.exe
    c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    c:\windows\system32\wbem\wmiapsrv.exe
    c:\windows\system32\wscntfy.exe
    c:\program files\IDT\WDM\sttray.exe
    c:\program files\DellTPad\ApMsgFwd.exe
    c:\windows\system32\rundll32.exe
    c:\windows\system32\RUNDLL32.EXE
    c:\program files\DellTPad\HidFind.exe
    c:\program files\DellTPad\Apntex.exe
    c:\windows\system32\wbem\unsecapp.exe
    c:\program files\iPod\bin\iPodService.exe
    c:\program files\Skype\Plugin Manager\skypePM.exe
    .
    **************************************************************************
    .
    Heure de fin: 2011-01-21 13:37:04 - La machine a redémarré
    ComboFix-quarantined-files.txt 2011-01-21 12:37

    Avant-CF: 44'689'379'328 octets libres
    Après-CF: 46'983'168'000 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    UnsupportedDebug="do not select this" /debug
    multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    - - End Of File - - 44F2BD5AD202DF132FAEFA2B11BB1602
    0
  15. nicoltio
     
    Hahaha ok pardon j'ai pas compris le cijoint... alors voilà le rapport !

    http://www.cijoint.fr/cjlink.php?file=cj201101/cija6AFCg9.txt

    Merci
    Nico
    0
  16. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bon ComboFix n'a pas remplacé les fichiers corrompus par des fichiers sains
    Est-ce que tu as un autre PC avec un graveur de CD/DVD ?

    Et puis tu vas faire ceci:
    Lance ZHPdiag et clique sur bouton Jumelles pour lancer ZHPSearch
    - Sélectionner "Trojan.Batimal" dans la liste déroulante située en bas à droite
    - Cliquer sur le bouton "Loupe" pour lancer la recherche
    - En fin de recherche, cliquer sur le bouton "Afficher le rapport"
    - Poster le rapport

    Smart
    0
  17. nicoltio
     
    Oui je peux trouver un graveur sans problème.
    Voilà le rapport

    Rapport de ZHPSearch 1.23.13 par Nicolas Coolman, Update du 17/01/2011
    Run by Nico at 30.01.2011 17:08:28
    Windows XP Professional Service Pack 3 (Build 2600)

    ---\\ Elément(s) de recherche
    - Trojan.Batimal

    ---\\ Liste des Fichiers & Dossiers:
    [MD5.DD7A4627251652C7CD605AF50C3FAC50] - (.Microsoft Corporation.) 14.04.2008 13:00:00 | ---A- | -- C:\Windows\explorer.exe [1037824] => Fichier inconnu
    [MD5.4776F13D4809243F7121B1A0E4C6AE4F] - (.Microsoft Corporation.) 14.04.2008 13:00:00 | ---A- | -- C:\Windows\system32\winlogon.exe [512000] => Fichier inconnu
    [MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 14.04.2008 13:00:00 | ---A- | -- C:\Windows\System32\ws2_32.dll [82432] => Fichier sain
    [MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 14.04.2008 13:00:00 | ---A- | -- C:\Windows\System32\ws2help.dll [19968]

    ---\\ Bilan de la recherche
    Mode de recherche : Fichiers, Dossiers
    Elément(s) trouvé(s) : 4
    Nombre de fichiers analysés : 71184
    Nombre de clés, valeurs ou données analysées : 0
    Mode : Recherche complète
    End of the scan (00mn 24s)
    0
  18. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Téléchage ce dossier sur ton Bureau :
    http://www.cijoint.fr/cjlink.php?file=cj201101/cijc83nKrQ.zip

    Dézippe le ==> Tu dois avoir sur ton bureau un dossier Smart contenant ces deux fichiers:
    explorer.exe et winlogon.exe

    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    FCOPY:C:\Windows\Explorer.exe | C:\Documents and Settings\Nico\Bureau\Smart\explorer.exe
    FCOPY:C:\Windows\system32\winlogon.exe | C:\Documents and Settings\Nico\Bureau\Smart\Winlogon.exe

    ----------------------------------------------------------
    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Smart
    0
  19. nicoltio
     
    Rapport de ZHPFix 1.12.3239 par Nicolas Coolman, Update du 20/01/2011
    Fichier d'export Registre :
    Run by Nico at 30.01.2011 22:20:59
    Windows XP Professional Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Fichier(s) ==========
    c:\windows\explorer.exe => Supprimé et mis en quarantaine
    C:\Windows\Explorer.exe | C:\Documents and Settings\Nico\Bureau\Smart\explorer.exe => Fichier infecté remplacé par une copie saine
    c:\windows\system32\winlogon.exe => Supprimé et mis en quarantaine
    C:\Windows\system32\winlogon.exe | C:\Documents and Settings\Nico\Bureau\Smart\Winlogon.exe => Fichier infecté remplacé par une copie saine

    ========== Récapitulatif ==========
    4 : Fichier(s)

    End of the scan

    Voilà,
    Nico
    0
  20. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Redémarre le PC et refais un virustotal sur les deux fichiers ci-dessous et poste les liens vers les rapports:
    c:\windows\explorer.exe
    c:\windows\system32\winlogon.exe

    Smart
    0
  21. nicolito
     
    http://www.virustotal.com/file-scan/report.html?id=b2ef11f71b4e4b4fd9c04f83e1b8237edf9a84bb41b7aad3013b7c72c81460c7-1296588816

    http://www.virustotal.com/file-scan/report.html?id=6b6bee3d7e31b4b5bd7903d2e3300e0974f195288d7add9fc72758e3686c2b22-1296588992

    Voilà, merci !
    Nico
    0
  • 1
  • 2
  • 3