Infection trojan

Question

Bonjour, 
Je suis actuellement sous Vista , et ait été infecté il y a quelques jours par un puis plusieurs malware type trojan.J'ai donc dl malwarebytes qui me les a eliminés avec succés.Cependant ma navigation sur internet a u n probleme  ma souris est constamment en train de charger sur le screen (cf petit rond bleu qui apparait en tournant) et je ne peux installer aucun antivirus (je les ai tous assayé avg, antivir,Kpure,...)

J'ai donc Ccleané et dl ZHP diag dont vous trouverez à ce lien le rapport.
http://www.cijoint.fr/cjlink.php?file=cj201102/cij74Qmnag.txt 

Je pense etre tjr infecté ; quelqun peut-il m'aider?
a BIENTOT

Rapport MBMA
Module(s) mémoire infecté(s):
c:\Windows\System32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Metropolis (Trojan.FakeAlert) -> Value: Metropolis -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
c:\Users\amaury\local settings\application data\a.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
c:\Windows\System32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

amaury · Answer

Tout commentaire est le bienvenu
A++

moment de grace · Answer

bonjour

gros bazar dans le pc

1)

quel est réellement ton antivirus ?

.........

2)

utilise tu un proxy ?

............

3)

Téléchargez USBFIX de El Desaparecido, C_xx

http://www.teamxscript.org/usbfixTelechargement.html

ou

http://teamxscript.changelog.fr/UsbFix.html

/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs 
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 

Double clic sur le raccourci UsbFix présent sur le bureau . 

 Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel). 
 Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal. 

Si un message te demande de redémarrer l'ordinateur fais le ... 

 Au redémarrage, le fix se relance... laisses l'opération s'effectuer. 

Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse

 
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 





UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php

 Il est enregistré sur ton bureau. 

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. 


................

4)

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ 

 Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « NETTOYER » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

amaury · Answer

Salut,

Merci de répondre si vite,

Aucun AV vu que j'ai désinstallé Kapersky et que je n'arrive pas à en installer un autre.J'ai fouillé dans C mais bon...

Aucun proxy je suis en wifi chez moi.

Controle compte utilisateurs désactivé

Quant à USB fix tout se passe bien jusqu'à la création du fichier txt bloc note qui marque error 
Meme si je suis quand meme dirigé vers la page AD-R
Rien non plus dans C: Usb fix


Voici le rapport AD-R

 A bientot

======= RAPPORT D'AD-REMOVER 2.0.0.2,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 16/02/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:36:51 le 16/02/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium   (X86) 
amaury@PC-AMAURY (Hewlett-Packard HP Pavilion dv6000 (GT475EA#ABF)) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskHPRFF.js
Fichier supprimé: C:\Windows\system32\ConduitEngine.tmp
Dossier supprimé: C:\Program Files\Fast Browser Search
Dossier supprimé: C:\Program Files\Common Files\Spigot
Dossier supprimé: C:\Users\amaury\AppData\Roaming\OfferBox

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\amaury\AppData\Roaming\Mozilla\FireFox\Profiles\dy5vwfga.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com"); 
Ligne supprimée: user_pref("browser.search.defaultenginename", "Fast Browser Search"); 
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&... 
Ligne supprimée: user_pref("browser.search.order.1", "Fast Browser Search"); 
Ligne supprimée: user_pref("browser.search.selectedEngine", "Fast Browser Search"); 
Ligne supprimée: user_pref("keyword.URL", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=4&tid={29D1... 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
Clé supprimée: HKLM\Software\Classes\CLSID\{57CADC46-58FF-4105-B733-5A9F3FC9783C}
Clé supprimée: HKLM\Software\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}
Clé supprimée: HKLM\Software\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé supprimée: HKLM\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}
Clé supprimée: HKLM\Software\Classes\TypeLib\{3088C799-9630-4719-A471-4544D7CABC2D}
Clé supprimée: HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
Clé supprimée: HKLM\Software\Classes\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}
Clé supprimée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
Clé supprimée: HKLM\Software\Classes\TypeLib\{F4BE6FC1-4990-4D86-9948-19CA9F51AEDC}
Clé supprimée: HKLM\Software\Classes\AppID\BHO.dll
Clé supprimée: HKLM\Software\Classes\AppID\{055069F3-F78B-4BD1-A277-FE66648D3300}
Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7B7230DE-6969-4abd-9E0D-1A586A792467}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Search Guard Plus
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Search Guard Plus Updater
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}


============== SCAN ADDITIONNEL ==============

-- C:\Users\amaury\AppData\Roaming\Mozilla\FireFox\Profiles\dy5vwfga.default --
Extensions\DTToolbar@toolbarnet.com (?)
Extensions\{C2DCA7EB-22D2-4FD2-86A9-F99FCC8122BB} (?)
Extensions\{e968fc70-8f95-4ab9-9e79-304de2a71ee1} (?)
Prefs.js - browser.download.lastDir, C:\Users\amaury\Desktop
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.13

========================================

moment de grace · Answer

Fais un nouveau rapport ZHPdiag stp

Rend toi sur http://pjjoint.malekal.com/ 

Clique sur "Parcourir "  

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau  

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

amaury · Answer

Impossible de le dl now

Virtual device driver format invalid

De plus mon port casque ne marche plus ; si je branche mon casque le son sort tjr des enceintes pc !!??

moment de grace · Answer

bon on procède par ordre 

1) 

Lances ZHPFix depuis le raccourci du Bureau (en mode administrateur si Vista/W7), 
Cliques sur le bouton 'ProxyFix' situé dans la partie droite de l'écran, 
Cliques sur 'Non' au message qui s'affiche à l'écran, 
Laisses travailler l'outil, 
A la fin du traitement, un rapport s'affiche 
Copie ce rapport  
Redémarre le pc pour prendre en compte les modifications.  

__________ 

2) 

supprimer les restes de norton et de avast avec ca 

https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces#norton-antivirus-et-norton-internet-security 

https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces#avast 

__________ 

3) 

retente ensuite ZHP 
CONTRIBUTEUR SECURITE 

En désinfection, c'est la fin le plus important ! 
"Restez" jusqu'au bout...merci

moment de grace · Answer

* Télécharge sur le bureau RogueKiller (par tigzy) 
https://www.luanagames.com/index.fr.html 


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

* Quitte tous tes programmes en cours 
* Lance RogueKiller.exe. 
* Lorsque demandé, tape 2 et valide puis fais l'option 4
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse 
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

amaury · Answer

RogueKiller V3.10.2 by Tigzy contact at https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows Vista (6.0.6000 ) 32 bits version Started in : Normal mode User: amaury [Admin rights] Mode: Remove -- Time : 16/02/2011 19:26:58 Bad processes: Deregistred: HKCU\...\Internet Settings\ ProxyEnable : 1 ...NOT REMOVED, USE PROXYFIX HKCU\...\Internet Settings\ ProxyServer : WIFI--ISACO:80 ...NOT REMOVED, USE PROXYFIX HOSTS File: 127.0.0.1 localhost ::1 localhost Finished

amaury · Answer

Ah au fait mon port audio remarche!!
:) juste à redemarer!!

moment de grace · Answer

refait l'option 4

et tente zhp ensuite

amaury · Answer

Option 4 réaliséé

ZHP still not work

moment de grace · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge ici :List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe



si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

 Clique sur Parcourir et cherche le fichier ci-dessus.

 Clique sur Ouvrir.

 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

 Copie ce lien dans ta réponse.

 Fais de même avec more.txt qui se trouve sur ton bureau

amaury · Answer

Fichier killem installé avec succes
Deux fichiers st apparus ; le fichier text  d'install et un fichier nommé Proc_end
Quand je l'exécute un ecran noir apparait puis disparait aussitot.
Puis ma session se ferme.
???

amaury · Answer

ah et j'ai deco mon pare feu par contre centre de sécu m'indique que norton est tjr activé mais je n'arrive pas à le desactiver.
A bientot et encore merci

amaury · Answer

et introuvable dans Panneau dde config tous mes programmes ni dans C:

amaury · Answer

j'ai trouvé dans C: et ait effacé tous les doss mais tjr present!!

moment de grace · Answer

Attention, avant de commencer, lit attentivement la procédure, et imprime la Aide à l'utilisation https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Télécharge ComboFix de sUBs sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ ---> Double-clique sur ComboFix.exe Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter SURTOUT INSTALLES LA CONSOLE DE RECUPERATION (si il te propose de l'installer remets internet) ---> Mets-le en langue française F Tape sur la touche 1 (Yes) pour démarrer le scan. Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. Une fois le scan achevé, un rapport va s'afficher : Poste son contenu /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ Note : Le rapport se trouve également là : C:\ComboFix.txt

amaury · Answer

ComboFix 11-02-17.02 - amaury 18/02/2011  14:32:26.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6000.0.1252.33.1036.18.2046.1434 [GMT 0:00]
Lancé depuis: c:\users\amaury\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\sysogg.dll

.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-01-18 au 2011-02-18  ))))))))))))))))))))))))))))))))))))
.

2011-02-16 17:36 . 2011-02-16 17:36	--------	d-----w-	c:\program files\Ad-Remover
2011-02-16 17:24 . 2011-02-16 17:56	--------	d-----w-	C:\UsbFix
2011-02-16 11:49 . 2011-02-16 11:51	--------	d-----w-	c:\program files\ZHPDiag
2011-02-16 11:11 . 2011-02-16 11:11	--------	d-----w-	c:\program files\Schweser2011
2011-02-16 02:10 . 2011-01-13 09:41	5890896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{AA14271D-AF63-4AD5-92CC-9DCA84FBF0EE}\mpengine.dll
2011-02-14 23:59 . 2011-02-14 23:59	--------	d-----w-	C:\Schweser CFA 2011 Level 1
2011-02-14 03:30 . 2011-02-14 03:30	--------	d-----w-	c:\users\amaury\AppData\Roaming\Malwarebytes
2011-02-14 03:30 . 2011-02-14 03:30	--------	d-----w-	c:\programdata\Malwarebytes
2011-02-14 03:30 . 2010-12-20 18:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-14 03:30 . 2011-02-14 03:30	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-02-14 03:30 . 2010-12-20 18:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-02-14 01:53 . 2011-02-14 01:53	--------	d-----w-	c:\users\amaury\AppData\Local\Apps
2011-02-14 01:53 . 2011-02-14 01:53	--------	d-----w-	c:\users\amaury\AppData\Local\Deployment
2011-02-14 01:43 . 2011-02-14 01:43	--------	d-----w-	c:\users\amaury\AppData\Local\Threat Expert
2011-02-14 01:33 . 2011-02-14 03:19	--------	d-----w-	C:\eca7a1636738c8ba8d643d5093
2011-02-14 00:07 . 2011-02-15 22:57	--------	d-----w-	c:\program files\Enigma Software Group
2011-02-13 01:53 . 2011-02-16 10:13	--------	d-----w-	c:\users\Public
2011-02-12 21:44 . 2011-02-12 21:44	--------	d-----w-	C:\kleaner.tmp
2011-02-12 21:41 . 2011-02-12 21:41	--------	d-----w-	c:\programdata\Kaspersky Lab Setup Files
2011-02-12 21:40 . 2011-02-12 21:40	--------	d-----w-	c:\programdata\MFAData
2011-02-12 21:02 . 2011-02-14 04:33	--------	d-----w-	c:\programdata\Alwil Software
2011-02-08 17:17 . 2011-02-08 17:17	--------	d-----w-	c:\users\amaury\AppData\Roaming\Antares
2011-02-08 15:47 . 2011-02-08 15:47	6500352	----a-w-	c:\windows\system32\PSP VintageWarmer2.dll
2011-02-08 15:47 . 2011-02-08 15:47	6492160	----a-w-	c:\windows\system32\PSP VintageWarmer.dll
2011-02-08 01:44 . 2011-02-08 01:44	--------	d-----w-	c:\program files\Antares Audio Technologies
2011-02-08 01:43 . 2003-06-20 13:28	1777664	----a-w-	c:\windows\system32\gdiplus.dll
2011-02-06 13:28 . 2011-02-06 13:28	--------	d-----w-	C:\found.003
2011-02-03 22:44 . 2011-02-03 22:51	--------	d-----w-	c:\program files\GoldWave
2011-01-26 23:49 . 2011-01-26 23:49	--------	d-----w-	c:\users\amaury\AppData\Roaming\iZotope
2011-01-26 23:39 . 2011-01-26 23:39	--------	d-----w-	c:\programdata\iZotope
2011-01-26 20:12 . 2011-01-26 20:12	--------	d-----w-	c:\programdata\Syncrosoft
2011-01-26 19:55 . 2011-01-26 20:12	--------	d-----w-	c:\programdata\eLicenser
2011-01-26 19:55 . 2011-01-26 19:55	--------	d-----w-	c:\program files\eLicenser
2011-01-26 19:55 . 2009-09-17 17:20	1261568	----a-w-	c:\windows\system32\SYNSOACC.dll
2011-01-26 19:55 . 2009-05-19 16:21	86016	----a-w-	c:\windows\system32\SYNSOPOS.exe
2011-01-26 15:10 . 2006-11-29 13:06	3426072	----a-w-	c:\windows\system32\d3dx9_32.dll
2011-01-26 15:06 . 2011-01-26 15:06	84621672	----a-w-	c:\program files\Common Files\Windows Live\.cache\wlc760B.tmp
2011-01-25 09:28 . 2011-01-30 21:45	--------	d-----w-	c:\users\amaury\AppData\Roaming\skypePM
2011-01-25 09:22 . 2011-01-25 09:22	--------	d-----w-	c:\program files\Common Files\Skype

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-02 17:11 . 2009-10-07 05:01	222080	------w-	c:\windows\system32\MpSigStub.exe
2009-10-06 22:59 . 2008-11-18 17:15	67688	----a-w-	c:\program files\mozilla firefox\components\jar50.dll
2009-10-06 22:59 . 2008-11-18 17:15	54368	----a-w-	c:\program files\mozilla firefox\components\jsd3250.dll
2009-10-06 22:59 . 2009-08-23 23:40	34944	----a-w-	c:\program files\mozilla firefox\components\myspell.dll
2009-10-06 22:59 . 2009-08-23 23:40	46712	----a-w-	c:\program files\mozilla firefox\components\spellchk.dll
2009-10-06 22:59 . 2008-11-18 17:15	172136	----a-w-	c:\program files\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-12 39408]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2011-01-03 15028104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-13 827392]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-09 4390912]
"NvSvc"="c:\windows\system32
vsvc.dll" [2007-05-01 86016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-05-01 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-11-11 148888]
"TkBellExe"="c:\program files\Common Files\Real\Update_OBealsched.exe" [2008-11-18 185872]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

c:\users\amaury\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\DRIVERS
etaapl.sys [2009-08-28 17408]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-05-21 721904]
S1 IDSvix86;Symantec Intrusion Prevention Driver;c:\progra~2\Symantec\DEFINI~1\SymcData\idsdefs\20080116.003\IDSvix86.sys [2007-11-06 180272]
S3 SYMNDISV;SYMNDISV;c:\windows\System32\Drivers\SYMNDISV.SYS [2007-01-09 38200]
S3 TotRec7;Total Recorder WDM audio driver;c:\windows\system32\drivers\TotRec7.sys [2009-03-02 127496]


--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - COMHOST
.
Contenu du dossier 'Tâches planifiées'

2011-02-18 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-01-10 17:44]
.
.
------- Examen supplémentaire -------
.
LSP: c:\windows\system32\wpclsp.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{31C322DC-5878-452E-A2D8-C4AAB9973C9A} - (no file)
HKLM-Run-QlbCtrl - %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
HKLM-Run-hpWirelessAssistant - %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
HKLM-Run-WAWifiMessage - %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-18 14:40
Windows 6.0.6000  NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:0000003d
.
Heure de fin: 2011-02-18  14:43:45
ComboFix-quarantined-files.txt  2011-02-18 14:43

Avant-CF: 18 318 069 760 octets libres
Après-CF: 18 443 800 576 octets libres

- - End Of File - - AF58CB6B531E53BCE4D36EAD6B1CAFA9

moment de grace · Answer

as tu fais le ménage dans les antivirus

je vois du kapersky, du avast, du norton encore

amaury · Answer

salut j'ai elimine ce que j'ai pu
j'ai relance combo fix et maintenant  je n'ai plus internet
cela me met connectivite limitee ;je t'envoie le second rapport combo fix des que je retrouve internet sinon par usb lundi
Est ce que tu sais dou la perte de conexion peut venir....

a bientot

amaury · Answer

salut

Jai fait le menage 
puis jai relance combo fix
mais maintenant ma carte reseau est hs 8affiche nmon reseau connectivite limitee et jai un panneau jaune a cote dans peripherique)
jai essaye active desactive sans succes

?????


Je nai plus internet
Je t'envoie le rapport combo fix des lundi

regis57100 · Answer

Bonjour

Tu a quoi comme  actuellement ?

moment de grace · Answer

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix#restore

tu as un ? ou ! jaune dans tes périphériques ?

amau · Answer

un !

amau · Answer

carte reseau windows 6to 4

moment de grace · Answer

vas ici  https://www.touslesdrivers.com/index.php?v_page=29

installe l'active X

laisse scanner ton pc

installe ce qu'ils te proposent

amaury · Answer

je ne peux pas me connecter a internet depuis mon pc....

donc scan depuis mon pc impossible
je me connecte depuis ma fac pour repondre.

Est ce que je dl quand meme active x ???

moment de grace · Answer

je ne peux pas me connecter a internet depuis mon pc.... 

j'avais pas pensé bien sur !!

apres quel outil as tu perdu ta connexion, à la relecture, ce serait apres combofix

amaury · Answer

oui

amaury · Answer

jai essaYE RESTAURATION systeme et probleme persiste

moment de grace · Answer

Fais un nouveau rapport ZHPdiag stp

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

amaury · Answer

jai envoye le rapport sur pjoint

https://pjjoint.malekal.com/files.php?id=34ebec7cb91211

amaury · Answer

allo tes tjr la???

moment de grace · Answer

je viens de rentrer

Lances ZHPFix depuis le raccourci du Bureau (en mode administrateur si Vista/W7),
Cliques sur le bouton 'ProxyFix' situé dans la partie droite de l'écran,
Cliques sur 'Non' au message qui s'affiche à l'écran,
Laisses travailler l'outil,
A la fin du traitement, un rapport s'affiche
Copie ce rapport 
Redémarre le pc pour prendre en compte les modifications.

AMAURY · Answer

Rapport de ZHPFix 1.12.3255 par Nicolas Coolman, Update du 19/02/2011
Fichier d'export Registre : 
Run by amaury at 23/02/2011 00:02:19
Windows Vista Home Premium Edition, 32-bit  (Build 6000)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

==========  ==========
ProxyFix : 



1 : 


End of the scan

amaury · Answer

jai essaye de dl un paquet de driver sans succes meme des packs et rien n'y fait
meme l hp wireless assistant sp 36770.exe change rien

me demande si le fait d instal tout ces trucs va pas encore plus complike les choses
je 

 je suis entrain de bosser ma these et manquer d  internet me penalise fortement

moment de grace · Answer

les outils ne sont en rien responsables...mais les infections 

de plus le driver lié au wifi spug.sys me semble infecté 

___________ 

1) 

* Télécharge Defogger  
http://www.jpshortstuff.247fixes.com/Defogger.exe 

 => lance le 
* Une fenêtre apparait clique sur Disable 
* Redémarre le PC si demandé 

puis 

Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 

O2 - BHO: OfferBox - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} Clé orpheline     
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} . (.Pas de propriétaire - IE Toolbar Engine.) -- C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll     
O3 - Toolbar: Fast Browser Search Toolbar - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} . (.Pas de propriétaire - IE Toolbar Engine.) -- C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll     
[MD5.00000000000000000000000000000000] [APT] [SpyHunter3] (.Pas de propriétaire.) -- C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter3.exe (.not file.)     
O42 - Logiciel: Fast Browser Search (My Tattoons) - (.Make The Web Better, LLC.) [HKLM] -- TBSB07183.TBSB07183Toolbar     
[HKCU\Software\CE8SIIFGSU]     
[HKCU\Software\DD1APJEZAI]     
[HKCU\Software\OfferBox]   
[HKCU\Software\g043oqxanu]     
[HKLM\Software\OfferBox]     
O43 - CFD: 20/02/2011 - 18:56:58 ----D- C:\Program Files\Fast Browser Search    => Infection BT (PUP.Fbsearch) 
O44 - LFC:[MD5.41A351F13B40FD24A6EC33F68C21473C] - 17/02/2011 - 00:58:32 ---A- . (...) -- C:	mp.txt   [11458]    => Infection USB (USB.Troj) 
O44 - LFC:[MD5.91A81DB8EF596C108DF5305CA154AF71] - 17/02/2011 - 00:58:31 ---A- . (...) -- C:\B.txt   [4052]    
M3 - MFPP: Plugins - [amaury] -- C:\Program Files\Mozilla FireFox\searchplugins\fast.xml      
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 1  
O44 - LFC:[MD5.36362C084890B481C2EC096E8D8239F1] - 08/02/2011 - 04:54:49 ---A- . (.ComponentOne LLC - Dr.Web for Windows tZ 2011.) -- C:\Windows\Ngewoa.exe   [128000] 

Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". 

Copie/Colle le rapport à l'écran dans ton prochain message  

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport  

_______________ 

2) 

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\  


? Télécharge : Gmer (by Przemyslaw Gmerek)  

http://www.gmer.net/ 



? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.  

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)  


CONTRIBUTEUR SECURITE 

En désinfection, c'est la fin le plus important ! 
"Restez" jusqu'au bout...merci

amaury · Answer

RAPPORT ZHP FIX

Rapport de ZHPFix 1.12.3255 par Nicolas Coolman, Update du 19/02/2011
Fichier d'export Registre : 
Run by amaury at 23/02/2011 10:21:19
Windows Vista Home Premium Edition, 32-bit  (Build 6000)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

==========  ==========
O2 - BHO: OfferBox - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} Clé orpheline  => Clé supprimée avec succès
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} . (.Pas de propriétaire - IE Toolbar Engine.) -- C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll  => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]  => Clé supprimée avec succès
[HKCR\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]  => Clé supprimée avec succès
HKCU\Software\CE8SIIFGSU  => Clé supprimée avec succès
HKCU\Software\DD1APJEZAI  => Clé supprimée avec succès
HKCU\Software\OfferBox  => Clé supprimée avec succès
HKCU\Software\g043oqxanu  => Clé supprimée avec succès
HKLM\Software\OfferBox  => Clé supprimée avec succès

==========  ==========
O3 - Toolbar: Fast Browser Search Toolbar - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} . (.Pas de propriétaire - IE Toolbar Engine.) -- C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll  => Valeur absente

==========  ==========
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 1  => Donnée supprimée avec succès

==========  ==========
C:\Program Files\Fast Browser Search => Infection BT (PUP.Fbsearch)  => Dossier absent

==========  ==========
c:\program files\fast browser search\ie\fbstoolbar.dll  => Supprimé et mis en quarantaine
c:\program files\enigma software group\spyhunter\spyhunter3.exe (.not file.)  => Fichier absent
c:	mp.txt  => Supprimé et mis en quarantaine
c:\b.txt  => Supprimé et mis en quarantaine
c:\program files\mozilla firefox\searchplugins\fast.xml  => Supprimé et mis en quarantaine
c:\windows
gewoa.exe  => Supprimé et mis en quarantaine

==========  ==========
O42 - Logiciel: Fast Browser Search (My Tattoons) - (.Make The Web Better, LLC.) [HKLM] -- TBSB07183.TBSB07183Toolbar  => Logiciel supprimé avec succès

==========  ==========
Task : SpyHunter3  => 


==========  ==========
9 : 
1 : 
1 : 
1 : 
6 : 
1 : 
1 : 


End of the scan



RAPPORT
GMER   aucune ligne rouge'???


GMER 1.0.15.15530 - http://www.gmer.net
Rootkit quick scan 2011-02-23 10:42:14
Windows 6.0.6000  Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 WDC_WD16 rev.04.0
Running: gmer.exe; Driver: C:\Users\amaury\AppData\Local\Temp\awrdypow.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\fastfat \Fat                 fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)
AttachedDevice  \Driver	dx \Device\Ip                   SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver	dx \Device\Tcp                  SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver	dx \Device\Udp                  SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0  Wdf01000.sys (WDF dynamique/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

moment de grace · Answer

en filaire, ta connexion fonctionne telle ?

amaury · Answer

je ne sais pas
je nai pas de cable
en tout cas je recois parfaitement le signal (tele bleu)
parameteres ip etc etc ok
cependant carte reseau avec panneau jaune !
et aucune possibilite mis a jour pilote

driver carte reseau hp pavillon dv6500 
pilote 6.0.6000.16386

amaury · Answer

j achete un cable?

amaury · Answer

et si cela marche ou cela ne marche pas alors cela signifie quoi ?
je vais essayer dy aller cet apres midi..

moment de grace · Answer

c'est surtout pour aller sur tous les drivers.com et tenter de mettre à jour ton pilote

Infection trojan

43 réponses

Votre réponse

Discussions similaires

Newsletters