Bonjour, Lorsque je fais une recherche sur google et que je clique sur le lien qui est proposé, je suis renvoyée (pas toujours) soit vers des pages de pub, soit vers d'autres moteurs de recherche (type gomeo, bing,..) et depuis peu vers des sites pornos... Je suis absolument nulle ! et je cherche l'aide d'assistants(es) confirmés(ées) en informatique pour me sortir de cette galère. Merci de votre aide. Configuration: Windows XP / Internet Explorer 8.0

Pb de redirection après recherche google

Réponse 21 / 54

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
4 févr. 2011 à 08:07

fais le en mode sans echec

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

Réponse 22 / 54

crida
4 févr. 2011 à 09:21

Bon alors ... ça se gâte je crois bien !

Je n'ai pas pu entrer en mode sans échec. Voici message qui apparait :

" Un problème empêche windows de vérifier avec précision la licence de cet ordinateur. Coe erreur : 0x80070013"

Je n'y comprends rien !

Réponse 23 / 54

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
4 févr. 2011 à 09:27

ces redirections les as tu également avec internet explorer ?

__________

* Télécharge Defogger
http://www.jpshortstuff.247fixes.com/Defogger.exe

=> lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

? Télécharge : Gmer (by Przemyslaw Gmerek)

http://www.gmer.net/

? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Réponse 24 / 54

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
4 févr. 2011 à 10:02

si tu n'as pas commencé GMER, on fait autre chose

1)

on supprime les outils

télécharge Delfix de Xplode

http://www.teamxscript.org/too/Xplode/DelFix.exe

choisis SUPPRESSION

poste son rapport

.............

2)

Attention, avant de commencer, lit attentivement la procédure, et imprime la

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Télécharge ComboFix de sUBs que tu renommes CRIDA.exe avant de l'enregistrer sur ton Bureau et pas ailleurs (pas dans tes documents)
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

Réponse 25 / 54

crida
4 févr. 2011 à 10:22

Je viens juste de voir le nouveau message ... gmer était en train de chercher.

Voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201102/cijs1YneX9.txt

____________________

Est-ce que je fais la dernière procédure que tu m'as envoyé ? (avec delfix)

Réponse 26 / 54

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
4 févr. 2011 à 10:25

oui

et combofix précisément comme expliqué

Réponse 27 / 54

crida
4 févr. 2011 à 10:31

Est-ce que malwarebyte doit être désactivé ??? si oui comment on fait ?

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
4 févr. 2011 à 10:32

non pas besoin

Réponse 28 / 54

crida
4 févr. 2011 à 10:59

Voici le premier avec delfix :

http://www.cijoint.fr/cjlink.php?file=cj201102/cijer1mxza.txt

et le combofix :

ComboFix 11-01-31.02 - Christelle 04/02/2011 10:41:08.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.447.200 [GMT 1:00]
Lancé depuis: c:\documents and settings\Christelle\Bureau\CRIDA.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((( Fichiers créés du 2011-01-04 au 2011-02-04 ))))))))))))))))))))))))))))))))))))
.

2011-02-04 07:29 . 2011-02-04 07:29 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2011-02-03 17:57 . 2011-02-03 17:57 14123749 ----a-w- c:\documents and settings\All Users\SPL20.tmp
2011-02-02 21:54 . 2011-02-02 21:54 3100 ------w- C:\cc_20110202_225359.reg
2011-01-21 15:52 . 2009-10-07 15:28 17544 ----a-w- c:\windows\system32\drivers\RkPavproc1.sys
2011-01-21 14:29 . 2009-06-30 09:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2011-01-21 14:29 . 2011-01-21 14:29 -------- d-----w- c:\program files\Panda Security
2011-01-17 21:06 . 2011-01-17 21:06 12842 ------w- C:\cc_20110117_220646.reg
2011-01-12 14:58 . 2011-01-12 14:58 -------- d-----w- c:\program files\MSECache

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-02 18:03 . 2011-01-02 18:03 492 ------w- C:\cc_20110102_190311.reg
2010-12-27 13:41 . 2010-11-26 09:15 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-12-27 13:41 . 2010-11-26 09:15 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-12-21 11:28 . 2010-12-21 11:28 492 ------w- C:\cc_20101221_122812.reg
2010-12-20 17:09 . 2010-11-18 14:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-11-18 14:09 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-12-20 08:14 . 2010-12-20 08:14 206 ------w- C:\cc_20101220_091403.reg
2010-12-10 21:54 . 2010-12-10 21:54 2454 ------w- C:\cc_20101210_225427.reg
2010-12-04 19:44 . 2010-12-04 19:44 364742 ------w- C:\cc_20101204_204412.reg
2010-11-27 20:29 . 2010-11-27 20:29 14472 ------w- C:\cc_20101127_212940.reg
2010-11-26 08:49 . 2010-11-26 08:49 297110 ------w- C:\cc_20101126_094836.reg
2010-11-23 13:45 . 2010-11-23 13:45 1024961 ----a-w- c:\documents and settings\All Users\SPL68.tmp
2010-11-13 20:02 . 2009-11-16 14:48 98392 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck \0ON\0Isc

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Christelle^Menu Démarrer^Programmes^Démarrage^Logitech . Enregistrement du produit.lnk]
path=c:\documents and settings\Christelle\Menu Démarrer\Programmes\Démarrage\Logitech . Enregistrement du produit.lnk
backup=c:\windows\pss\Logitech . Enregistrement du produit.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 22:07 932288 ----a-r- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-03-22 06:49 149040 -c--a-w- c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CANAL+ CANALSAT A LA DEMANDE]
2010-05-03 11:21 163992 ----a-r- c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2004-08-19 15:09 15360 -c--a-w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DWQueuedReporting]
2007-02-26 00:01 437160 -c--a-w- c:\progra~1\FICHIE~1\MICROS~1\DW\DWTRIG20.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2008-12-20 06:50 2656528 -c--a-w- c:\program files\Logitech\QuickCam\Quickcam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 10:50 155648 -c--a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-15 18:02 153136 -c--a-w- c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\lxddcoms.exe"=
"c:\\Program Files\\Lexmark 2500 Series\\lxddamon.exe"=
"c:\\Program Files\\Lexmark 2500 Series\\App4R.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Neuf\\Kit\\9conf.exe"=
"c:\\Program Files\\Neuf\\Kit\\9diags.exe"=
"c:\\Program Files\\Neuf\\Kit\\9launch.exe"=
"c:\\Program Files\\Neuf\\Kit\\9mail.exe"=
"c:\\Program Files\\Neuf\\Kit\\WiFi\\9wifi.exe"=
"c:\\Program Files\\adslTV\\adsltv.exe"=
"c:\\Program Files\\adslTV\\VLC\\vlc.exe"=
"c:\\Program Files\\Lexmark 2500 Series\\lxddmon.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddwbgw.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddpswx.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddjswx.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddtime.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"6875:TCP"= 6875:TCP:Services
"6876:TCP"= 6876:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
"4787:TCP"= 4787:TCP:Services
"8074:TCP"= 8074:TCP:Services

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [21/01/2011 15:29 28552]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [26/11/2010 10:15 135336]
R2 CanalPlus.VOD;CanalPlus.VOD;c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe [03/05/2010 12:17 188416]
R2 lxdd_device;lxdd_device;c:\windows\system32\lxddcoms.exe -service --> c:\windows\system32\lxddcoms.exe -service [?]
R2 lxddCATSCustConnectService;lxddCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxddserv.exe [12/04/2008 09:22 99248]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S2 gupdate;Service Google Update (gupdate);"c:\program files\Google\Update\GoogleUpdate.exe" /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [?]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - KGLIRAOG
*Deregistered* - kgliraog
.
Contenu du dossier 'Tâches planifiées'

2011-02-03 c:\windows\Tasks\User_Feed_Synchronization-{E8969BC1-ACC5-483C-A546-C218FCBCA1FB}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = <local>
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-NvCplDaemon - c:\windows\system32\NvCpl.dll

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-04 10:49
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-606747145-583907252-839522115-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-606747145-583907252-839522115-1004\Software\Policies\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (S-1-5-21-606747145-583907252-839522115-1004)
@Allowed: (Read) (S-1-5-21-606747145-583907252-839522115-1004)
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð*€|ÿÿÿÿ.*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3356)
c:\windows\system32\browselc.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2011-02-04 10:52:18
ComboFix-quarantined-files.txt 2011-02-04 09:52

Avant-CF: 122 236 379 136 octets libres
Après-CF: 122 264 834 048 octets libres

- - End Of File - - 753781A76D6517809BC87387D744020B

Réponse 29 / 54

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
Modifié par moment de grace le 4/02/2011 à 11:12

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

C:\Program Files\Microsoft Picture It! PhotoPub\pip.exe
c:\windows\system32\drivers\SBREDrv.sys

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK

CONTRIBUTEUR SECURITE

Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
4 févr. 2011 à 11:21

de plus

on a tout plein d'antivirus sur ton pc ce qui est un soucis pour les outils utilisés

pour supprimer avast

https://www.commentcamarche.net/telecharger/securite/22859-utilitaire-de-desinstallation-de-avast/

du panda
https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces#panda-antivirus

du kapersky

https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces#kaspersky

Réponse 30 / 54

crida
4 févr. 2011 à 11:16

Voici le lien : (ça ne ressemble pas trop à ce que tu attendais !?)

http://www.virustotal.com/file-scan/reanalysis.html?id=d5ef0ecc8239d0ddf04eae0481e8f75409480afcc208e946075ff726d64c2145-1296814489

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
Modifié par moment de grace le 4/02/2011 à 11:23

si c'est ca, pareil pour l'autre

regarde au dessus pour desinstaller ce qui gêne

https://forums.commentcamarche.net/forum/affich-20743934-pb-de-redirection-apres-recherche-google?page=2#33

Réponse 31 / 54

crida
4 févr. 2011 à 12:28

Voici le lien pour le second fichier :

http://www.virustotal.com/file-scan/reanalysis.html?id=b3690e063f3c4d8545cd8a3576e78938bc9bc607365b3d91bb5c490c20cc9b85-1296818638

_________________________

Pour les antivirus ... j'ai suivi les procédures demandées, relancé le pc .. mais pour kapersky, il ne l'a pas détecté (?).

Réponse 32 / 54

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
4 févr. 2011 à 13:16

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::

Driver::

kgliraog

Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"=-
"52344:TCP"=-
"6875:TCP"=-
"6876:TCP"=-
"3389:TCP"=-
"4787:TCP"=-
"8074:TCP"=-

* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

Réponse 33 / 54

crida
4 févr. 2011 à 14:33

Voici le rapport :

A savoir, le pc s'est relancé avant l'édition du rapport combofix.

ComboFix 11-01-31.02 - Christelle 04/02/2011 14:10:10.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.447.219 [GMT 1:00]
Lancé depuis: c:\documents and settings\Christelle\Bureau\CRIDA.exe
Commutateurs utilisés :: c:\documents and settings\Christelle\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_KGLIRAOG

((((((((((((((((((((((((((((( Fichiers créés du 2011-01-04 au 2011-02-04 ))))))))))))))))))))))))))))))))))))
.

2011-02-04 12:06 . 2011-02-04 12:06 -------- d-----w- c:\documents and settings\Christelle\Application Data\Uniblue
2011-02-04 12:04 . 2011-02-04 12:05 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{DE8EABB5-1C85-4410-A68D-79BD8A4518F4}
2011-02-04 12:04 . 2011-02-04 12:04 -------- d-----w- c:\program files\Uniblue
2011-02-04 12:04 . 2011-02-04 12:04 -------- d-----w- c:\documents and settings\Christelle\Local Settings\Application Data\PackageAware
2011-02-04 10:24 . 2011-02-04 13:19 -------- d-----w- C:\SMCLpav
2011-02-04 09:38 . 2011-02-04 09:52 -------- d-----w- C:\CRIDA
2011-02-04 07:29 . 2011-02-04 07:29 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2011-02-03 17:57 . 2011-02-03 17:57 14123749 ----a-w- c:\documents and settings\All Users\SPL20.tmp
2011-02-02 21:54 . 2011-02-02 21:54 3100 ------w- C:\cc_20110202_225359.reg
2011-01-21 15:52 . 2009-10-07 15:28 17544 ----a-w- c:\windows\system32\drivers\RkPavproc1.sys
2011-01-21 14:29 . 2009-06-30 09:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2011-01-21 14:29 . 2011-01-21 14:29 -------- d-----w- c:\program files\Panda Security
2011-01-17 21:06 . 2011-01-17 21:06 12842 ------w- C:\cc_20110117_220646.reg
2011-01-12 14:58 . 2011-01-12 14:58 -------- d-----w- c:\program files\MSECache

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-02 18:03 . 2011-01-02 18:03 492 ------w- C:\cc_20110102_190311.reg
2010-12-27 13:41 . 2010-11-26 09:15 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-12-27 13:41 . 2010-11-26 09:15 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-12-21 11:28 . 2010-12-21 11:28 492 ------w- C:\cc_20101221_122812.reg
2010-12-20 17:09 . 2010-11-18 14:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-11-18 14:09 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-12-20 08:14 . 2010-12-20 08:14 206 ------w- C:\cc_20101220_091403.reg
2010-12-10 21:54 . 2010-12-10 21:54 2454 ------w- C:\cc_20101210_225427.reg
2010-12-04 19:44 . 2010-12-04 19:44 364742 ------w- C:\cc_20101204_204412.reg
2010-11-27 20:29 . 2010-11-27 20:29 14472 ------w- C:\cc_20101127_212940.reg
2010-11-26 08:49 . 2010-11-26 08:49 297110 ------w- C:\cc_20101126_094836.reg
2010-11-23 13:45 . 2010-11-23 13:45 1024961 ----a-w- c:\documents and settings\All Users\SPL68.tmp
2010-11-13 20:02 . 2009-11-16 14:48 98392 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RegistryBooster"="c:\program files\Uniblue\RegistryBooster\launcher.exe" [2011-01-21 67456]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [BU]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck \0ON\0Isc

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Christelle^Menu Démarrer^Programmes^Démarrage^Logitech . Enregistrement du produit.lnk]
path=c:\documents and settings\Christelle\Menu Démarrer\Programmes\Démarrage\Logitech . Enregistrement du produit.lnk
backup=c:\windows\pss\Logitech . Enregistrement du produit.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 22:07 932288 ----a-r- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-03-22 06:49 149040 -c--a-w- c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CANAL+ CANALSAT A LA DEMANDE]
2010-05-03 11:21 163992 ----a-r- c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2004-08-19 15:09 15360 -c--a-w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DWQueuedReporting]
2007-02-26 00:01 437160 -c--a-w- c:\progra~1\FICHIE~1\MICROS~1\DW\DWTRIG20.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2008-12-20 06:50 2656528 -c--a-w- c:\program files\Logitech\QuickCam\Quickcam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 10:50 155648 -c--a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-15 18:02 153136 -c--a-w- c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\lxddcoms.exe"=
"c:\\Program Files\\Lexmark 2500 Series\\lxddamon.exe"=
"c:\\Program Files\\Lexmark 2500 Series\\App4R.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Neuf\\Kit\\9conf.exe"=
"c:\\Program Files\\Neuf\\Kit\\9diags.exe"=
"c:\\Program Files\\Neuf\\Kit\\9launch.exe"=
"c:\\Program Files\\Neuf\\Kit\\9mail.exe"=
"c:\\Program Files\\Neuf\\Kit\\WiFi\\9wifi.exe"=
"c:\\Program Files\\adslTV\\adsltv.exe"=
"c:\\Program Files\\adslTV\\VLC\\vlc.exe"=
"c:\\Program Files\\Lexmark 2500 Series\\lxddmon.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddwbgw.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddpswx.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddjswx.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddtime.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5568:TCP"= 5568:TCP:Services
"9636:TCP"= 9636:TCP:Services
"6473:TCP"= 6473:TCP:Services
"6474:TCP"= 6474:TCP:Services

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [21/01/2011 15:29 28552]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [26/11/2010 10:15 135336]
R2 CanalPlus.VOD;CanalPlus.VOD;c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe [03/05/2010 12:17 188416]
R2 lxdd_device;lxdd_device;c:\windows\system32\lxddcoms.exe -service --> c:\windows\system32\lxddcoms.exe -service [?]
R2 lxddCATSCustConnectService;lxddCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxddserv.exe [12/04/2008 09:22 99248]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S2 gupdate;Service Google Update (gupdate);"c:\program files\Google\Update\GoogleUpdate.exe" /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2011-02-04 c:\windows\Tasks\RegistryBooster.job
- c:\program files\Uniblue\RegistryBooster\rbmonitor.exe [2011-01-21 14:19]

2011-02-03 c:\windows\Tasks\User_Feed_Synchronization-{E8969BC1-ACC5-483C-A546-C218FCBCA1FB}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = <local>
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-04 14:23
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-606747145-583907252-839522115-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-606747145-583907252-839522115-1004\Software\Policies\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (S-1-5-21-606747145-583907252-839522115-1004)
@Allowed: (Read) (S-1-5-21-606747145-583907252-839522115-1004)
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð*€|ÿÿÿÿ.*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(6984)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\windows\system32\browselc.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\windows\system32\lxddcoms.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Seagate\Sync\SeaSyncServices.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Heure de fin: 2011-02-04 14:30:38 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-02-04 13:30
ComboFix2.txt 2011-02-04 09:52

Avant-CF: 122 189 942 784 octets libres
Après-CF: 122 138 025 984 octets libres

- - End Of File - - 1222E5644D5E61F1C240910FFDD2D2AB

Réponse 34 / 54

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
4 févr. 2011 à 15:36

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

"c:\\Program Files\\adslTV\\VLC\\vlc.exe"

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK

Réponse 35 / 54

crida
4 févr. 2011 à 15:42

Voici le lien

http://www.virustotal.com/file-scan/reanalysis.html?id=1b013908abc375fa06b717cdb7cb300a74478c190aa60b3a433d0c40a3489bda-1296830505

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
4 févr. 2011 à 15:49

toujours des redirections ?

Réponse 36 / 54

crida
4 févr. 2011 à 17:22

oui..... toujours des redirections .

Réponse 37 / 54

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
4 févr. 2011 à 17:45

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::

File::

c:\documents and settings\All Users\SPL20.tmp
c:\documents and settings\All Users\SPL68.tmp

Folder::

c:\documents and settings\All Users\Application Data\{DE8EABB5-1C85-4410-A68D-79BD8A4518F4}

Registry::
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ *€|ù*9~ *]

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð*€|ÿÿÿÿ.*€|ù*9~ *]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5568:TCP"=-
"9636:TCP"=-
"6473:TCP"=-
"6474:TCP"=-

DDS::

uInternet Settings,ProxyOverride = <local>

* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

Réponse 38 / 54

crida
4 févr. 2011 à 19:29

voici :

ComboFix 11-01-31.02 - Christelle 04/02/2011 18:55:02.3.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.447.207 [GMT 1:00]
Lancé depuis: c:\documents and settings\Christelle\Bureau\CRIDA.exe
Commutateurs utilisés :: c:\documents and settings\Christelle\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\documents and settings\All Users\SPL20.tmp"
"c:\documents and settings\All Users\SPL68.tmp"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\SPL20.tmp
c:\documents and settings\All Users\SPL68.tmp

.
((((((((((((((((((((((((((((( Fichiers créés du 2011-01-04 au 2011-02-04 ))))))))))))))))))))))))))))))))))))
.

2011-02-04 12:06 . 2011-02-04 12:06 -------- d-----w- c:\documents and settings\Christelle\Application Data\Uniblue
2011-02-04 12:04 . 2011-02-04 12:04 -------- d-----w- c:\documents and settings\Christelle\Local Settings\Application Data\PackageAware
2011-02-04 10:24 . 2011-02-04 13:19 -------- d-----w- C:\SMCLpav
2011-02-04 09:38 . 2011-02-04 09:52 -------- d-----w- C:\CRIDA
2011-02-04 07:29 . 2011-02-04 07:29 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2011-02-02 21:54 . 2011-02-02 21:54 3100 ------w- C:\cc_20110202_225359.reg
2011-01-21 15:52 . 2009-10-07 15:28 17544 ----a-w- c:\windows\system32\drivers\RkPavproc1.sys
2011-01-17 21:06 . 2011-01-17 21:06 12842 ------w- C:\cc_20110117_220646.reg
2011-01-12 14:58 . 2011-01-12 14:58 -------- d-----w- c:\program files\MSECache

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-02 18:03 . 2011-01-02 18:03 492 ------w- C:\cc_20110102_190311.reg
2010-12-27 13:41 . 2010-11-26 09:15 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-12-27 13:41 . 2010-11-26 09:15 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-12-21 11:28 . 2010-12-21 11:28 492 ------w- C:\cc_20101221_122812.reg
2010-12-20 17:09 . 2010-11-18 14:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-11-18 14:09 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-12-20 08:14 . 2010-12-20 08:14 206 ------w- C:\cc_20101220_091403.reg
2010-12-10 21:54 . 2010-12-10 21:54 2454 ------w- C:\cc_20101210_225427.reg
2010-12-04 19:44 . 2010-12-04 19:44 364742 ------w- C:\cc_20101204_204412.reg
2010-11-27 20:29 . 2010-11-27 20:29 14472 ------w- C:\cc_20101127_212940.reg
2010-11-26 08:49 . 2010-11-26 08:49 297110 ------w- C:\cc_20101126_094836.reg
2010-11-13 20:02 . 2009-11-16 14:48 98392 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [BU]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck \0ON\0Isc

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Christelle^Menu Démarrer^Programmes^Démarrage^Logitech . Enregistrement du produit.lnk]
path=c:\documents and settings\Christelle\Menu Démarrer\Programmes\Démarrage\Logitech . Enregistrement du produit.lnk
backup=c:\windows\pss\Logitech . Enregistrement du produit.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 22:07 932288 ----a-r- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-03-22 06:49 149040 -c--a-w- c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CANAL+ CANALSAT A LA DEMANDE]
2010-05-03 11:21 163992 ----a-r- c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2004-08-19 15:09 15360 -c--a-w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DWQueuedReporting]
2007-02-26 00:01 437160 -c--a-w- c:\progra~1\FICHIE~1\MICROS~1\DW\DWTRIG20.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2008-12-20 06:50 2656528 -c--a-w- c:\program files\Logitech\QuickCam\Quickcam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 10:50 155648 -c--a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-15 18:02 153136 -c--a-w- c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\lxddcoms.exe"=
"c:\\Program Files\\Lexmark 2500 Series\\lxddamon.exe"=
"c:\\Program Files\\Lexmark 2500 Series\\App4R.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Neuf\\Kit\\9conf.exe"=
"c:\\Program Files\\Neuf\\Kit\\9diags.exe"=
"c:\\Program Files\\Neuf\\Kit\\9launch.exe"=
"c:\\Program Files\\Neuf\\Kit\\9mail.exe"=
"c:\\Program Files\\Neuf\\Kit\\WiFi\\9wifi.exe"=
"c:\\Program Files\\adslTV\\adsltv.exe"=
"c:\\Program Files\\adslTV\\VLC\\vlc.exe"=
"c:\\Program Files\\Lexmark 2500 Series\\lxddmon.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddwbgw.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddpswx.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddjswx.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddtime.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"6645:TCP"= 6645:TCP:Services
"6646:TCP"= 6646:TCP:Services

S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2011-02-04 c:\windows\Tasks\User_Feed_Synchronization-{E8969BC1-ACC5-483C-A546-C218FCBCA1FB}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = <local>
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-04 19:06
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-606747145-583907252-839522115-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-606747145-583907252-839522115-1004\Software\Policies\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (S-1-5-21-606747145-583907252-839522115-1004)
@Allowed: (Read) (S-1-5-21-606747145-583907252-839522115-1004)
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð*€|ÿÿÿÿ.*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(5064)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\windows\system32\browselc.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\windows\System32\spool\DRIVERS\W32X86\3\lxddserv.exe
c:\windows\system32\lxddcoms.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Seagate\Sync\SeaSyncServices.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2011-02-04 19:16:28 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-02-04 18:16
ComboFix2.txt 2011-02-04 13:30
ComboFix3.txt 2011-02-04 09:52

Avant-CF: 122 273 198 080 octets libres
Après-CF: 122 272 956 416 octets libres

- - End Of File - - 5CFD6A3D44304CCFDDC019ECAAEE767F

Réponse 39 / 54

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
Modifié par moment de grace le 4/02/2011 à 19:59

bon, tu as encore des ports ouverts par je ne sais quoi !!!!

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE\%Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site ci joint pour me donner les deux rapports : OTL.Txt et Extras.Txt.

CONTRIBUTEUR SECURITE

Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci

Réponse 40 / 54

crida
4 févr. 2011 à 21:22

Voici le rapport otl.txt :
http://www.cijoint.fr/cjlink.php?file=cj201102/cijTy2eWui.txt

et extras.txt :
http://www.cijoint.fr/cjlink.php?file=cj201102/cijZ5LyIen.txt

Pb de redirection après recherche google

54 réponses

Discussions similaires

Newsletters