Help virus

Résolu/Fermé
samsam - 11 avril 2011 à 09:12
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 10 mai 2011 à 11:26
Bonjour,



Un virus me bloque toutes mes apllications, j'ai tout de meme reussi à farze un hijackthis en mode sans echec, là, je suis sur un autre ordi car je ne peux meme pas acceder à internet, merci de votre aide

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:12:03, on 11/04/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\2\AlertModule.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Documents and Settings\admin\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [EnvyHFCPL] C:\Program Files\Turtle Beach Catalina\EnMixCPL.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [WTLXPan] WTLXPan.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [nLp06511nJgNa06511] C:\Documents and Settings\All Users.WINDOWS\Application Data\nLp06511nJgNa06511\nLp06511nJgNa06511.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com/activex/hardwaredetection_3_1_0_4.cab
O16 - DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} - https://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
A voir également:

60 réponses

ok je le lance ...
0
j'attend donc ta réponse
0
merci mais je vais attendre Flo qui a suivi l'affaire depuis le début ;à

j'ai toutefois quelques trucs bizaroides dans le registre que tu m'as indiqué, n'y connaissant rien, c'est pour info :

j'ai un igfXtray.exe, un kernelFaultCheck, mais comme je n'y connait rien, je ne touche à rien ...

j'attend Flo ou un autre tueur de virus connu sur ce forum .

merci quand meme Pipo
0
j'ai pris ma journée pour résoudre le problzme, j'ai l'impression que c'est pas gagné ..... help !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
bon reprenons à Z, voici un hijackthis de la situation actuelle, si quelqu'un peut aider ...



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:34:00, on 13/04/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\2\AlertModule.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\WINDOWS\system32\ctfmon.exe
F:\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:52242
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [EnvyHFCPL] C:\Program Files\Turtle Beach Catalina\EnMixCPL.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [WTLXPan] WTLXPan.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [iFn28258iAfGl28258] C:\Documents and Settings\All Users.WINDOWS\Application Data\iFn28258iAfGl28258\iFn28258iAfGl28258.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com/activex/hardwaredetection_3_1_0_4.cab
O16 - DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} - https://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
0
merci ..


j'ai lancé combofix ...

sinon sur gmer, il y a avait bien une ligne rouge mais en cliquant droit il ne me proposait rien ...
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
13 avril 2011 à 21:05
Ok, si ca ne marche toujours pas, poste un nouveau rapport ZHPDIAG.
0
ok, je l'ai, le voici :


http://www.cijoint.fr/cjlink.php?file=cj201104/cijZ1RKCNE.txt
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
13 avril 2011 à 21:18
Tres bien,

Tu peux essayer de lancer malwarebytes maintenant et voir s'il trouve des choses ?
0
deja, je suis en mode normal et j'ai accés à internet, il m'a mis explorer sur le bureau, firefox ne s'ouvre pas et je n'ai plus mon fond d'écran mais ouf, c'est deja ça, merci ...

j'envoie malwerbytes
0
voici le rapport Marlewarebyte :


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6330

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13/04/2011 23:24:52
mbam-log-2011-04-13 (23-24-51).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 534594
Temps écoulé: 2 heure(s), 1 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
l'ordi a l'air de fonctionner normalement mais ma carte son a disparue ....
0
Utilisateur anonyme
14 avril 2011 à 03:27
salut pour avancer

desactive tes protections puis enregistre ceci sur ton bureau

Pre_Scan

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

une fois telechargé lance-le , laisse faire le scan puis colle le contenu de " rapport.txt" qui apparaitra à son terme , sur le bureau.

si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
14 avril 2011 à 10:46
Salut ^^

J'avai aussi cru voir un proxy, mais je ne savais pas vraiment quel outil utiliser.
Prescan sa remplace l&k ?

Samsam, tu peux faire la manip de gen-hackman stp.
0
ok, je le fait de suite, merci beaucoup aussi à gen-hackman pour son intervention ...
0
le voici :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan 1.0.0.29 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤ XP | Vista | Seven - 32/64 ¤

Mis à jour le 14/04/2011 | 00.25 par g3n-h@ckm@n
Utilisateur : admin (Administrateurs)
Ordinateur : ADMIN-991F60A85

Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 8.0.6001.18702
Mozilla Firefox : 3.6.16 (fr)

Scan : 11:44:39 | 14/04/2011

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\WINDOWS\system32\userinit.exe, -> C:\WINDOWS\system32\userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Aucune modification : 1 -> 1

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[.exe] : exefile
[exefile | command] : "%1" %*
[.com] : ComFile
[comfile | command] : "%1" %*
[.scr] : scrfile
[scrfile | command] : "%1" /S
[.bat] : batfile
[batfile | command] : "%1" %*
[.cmd] : cmdfile
[cmdfile | command] : "%1" %*
[.pif] : piffile
[piffile | command] : "%1" %*

¤

[Firefox | Command] | @ -> Aucune modification : "C:\Program Files\Mozilla Firefox\Firefox.exe" -> "C:\Program Files\Mozilla Firefox\Firefox.exe"
[Firefox - Safemode | Command] | @ -> Aucune modification : "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode -> "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode
[IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\iexplore.exe" -> "C:\Program Files\Internet Explorer\iexplore.exe"
[Applications | IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\iexplore.exe" %1 -> "C:\Program Files\Internet Explorer\iexplore.exe" %1

¤


¤


¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

[Ndisuio] | Start -> Aucune modification : 3 -> 3
[lmhosts] | Start -> Aucune modification : 2 -> 2 : Service Actif
[LanmanWorkstation] | Start -> Aucune modification : 2 -> 2 : Service Actif
[LanmanServer] | Start -> Aucune modification : 2 -> 2 : Service Actif
[ERSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[Bits] | Start -> Aucune modification : 2 -> 2 : Service Actif
[CryptSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[EapHost] | Start -> Aucune modification : 2 -> 2 : Service Actif
[SharedAccess] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wuauserv] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wscsvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wzcsvc] | Start -> Aucune modification : 2 -> 2 : Service Actif

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKCU | Main] | Start Page -> Aucune Modification : http://www.google.com/ -> http://www.google.com/
[HKCU | Main] | Local Page -> Aucune Modification : C:\windows\system32\blank.htm -> C:\windows\system32\blank.htm
[HKCU | Main] | Search Page -> Aucune Modification : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

[HKLM | Main] | Start Page -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=69157 -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Local Page -> Aucune Modification : C:\windows\system32\blank.htm -> C:\windows\system32\blank.htm
[HKLM | Main] | Default_Search_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896
[HKLM | Main] | Default_Page_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=69157 -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Search Page -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

C:\WINDOWS\explorer.exe -> Processus stoppé
\WINDAUBE\explorer.exe -> Processus stoppé
\WINDOWS\explorer.exe -> Processus stoppé

¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Mountpoints2 ¤¤¤¤¤¤¤¤¤¤



¤¤¤¤¤¤¤¤¤¤ MBR ¤¤¤¤¤¤¤¤¤¤

MBRCheck, version 1.2.3

(c) 2010, AD



Command-line: -za C:\MBR\MBR.bin

Windows Version: Windows XP Professional

Windows Information: Service Pack 3 (build 2600)

Logical Drives Mask: 0x0000003c



Analysis of file "C:\MBR\MBR.bin":

Windows XP MBR code detected





Done!
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Fin : 11:44:43

¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
14 avril 2011 à 12:01
Ok, comment va ton pc ?

Reposte un nouveau rapport ZHPDIAG
0
il va beaucoup mieux, je me connecte normalement mais pour info, ma carte son ( wavetermal 192 de Ego systhem ) a totalement disparue, donc aucun son du pc , et firefox me donne une erreur dont voici le message :

"Firefox est configuré pour utiliser un serveur proxy mais celui-ci n'accepte pas les connexions."

c'est pour info ...

pour le rapport le voici :

http://www.cijoint.fr/cjlink.php?file=cj201104/cijSx5Yyue.txt
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
14 avril 2011 à 12:24
Ok, je vai voir pour te donner la suite, PRESCAN n'a pas trouvé de proxy ?
0
non, rien apparement ..
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
Modifié par flo-91 le 14/04/2011 à 12:38
Ok, on essaie ca :


* Lance ZHPFix (via ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :

O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[MD5.693580DFFC1949FD5FDAF39D181521B1] - (.Team H2O - Team H2O CLEDX.) -- C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe [200069]
O44 - LFC:[MD5.15311A8DF8EC0582543D42270B03E07E] - 12/04/2011 - 19:12:44 ---A- . (...) -- C:\fsqwr.bmp [1228854]
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 13/04/2011 - 15:04:56 ---A- . (...) -- C:\WINDOWS\System32\tmp.txt [0]



* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse


2)

Il faut supprimer le proxy ajouté par l'infection, pour cela :

Sur Internet Explorer : lancez Internet Explorer
Cliquez sur le menu Outils puis Options Internet
Allez dans l'onglet Connexions
En bas cliquez sur Paramètres Réseaux
Décochez en bas l'utilisation du proxy s'il est coché.

Sur Firefox : Cliquez sur le menu Outils puis Options
Allez dans l'onglet « Avancé » puis dans le sous-onglet « Réseau » cliquez sur « Paramètres »
Ddans la fenêtre qui apparait cochez la case « Pas de proxy »


3) Poste un nouveau rapport ZHPDIAG
*>flo-91<*®

N'hésitez pas a faire un tour dans la faq du forum ( rubrique astuce ),
il y a peut être déjà la solution à votre problème =)
0
rapport de la 1ere procédure , puis rapport complet ZHPDIAG :

Rapport de ZHPFix 1.12.3274 par Nicolas Coolman, Update du 06/04/2011
Fichier d'export Registre :
Run by admin at 14/04/2011 12:48:13
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

========== Fichier(s) ==========
c:\program files\syncrosoft\pos\h2o\cledx.exe [200069] => Fichier absent
c:\fsqwr.bmp => Supprimé et mis en quarantaine
c:\windows\system32\tmp.txt => Supprimé et mis en quarantaine


========== Récapitulatif ==========
2 : Valeur(s) du Registre
3 : Fichier(s)


End of the scan


Et le rapport complet :

http://www.cijoint.fr/cjlink.php?file=cj201104/cijj4KSzFj.txt
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
14 avril 2011 à 13:44
OK, tu as fait les manuips pour tuer le proxy sous FF et IE ?
0
oui, il n'y avait rien dans IE mais sur FF la manip a fonctionné, je suis sur FF là .... ouf, merci ;)
pour la carte son, il faut que je retrouve le cd d'installation, ça va pas elle facile, elle date ....

Pour le reste tout fonctionne normalement grâce à toi ;)

Y a t'il d'autre chose à nettoyer ?
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
14 avril 2011 à 15:14
Oui, attends je vais te donner la manip.
Pour ta carte son, il faut retrouver le driver sur internet.
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
Modifié par flo-91 le 14/04/2011 à 16:54
re ^^
Simple question : Tu disposes d'un windows cracké sur ta machine ?

Répond franchement ce n'est pas grave au pire , ca évitera de nous tromper pour la suite, j'ai un probleme avec ce fichier qui me pose un doute sur ton windows légitime ou non :

\WINDAUBE\explorer.exe
0
ok, je vais faire tout ça ... ;)
0
voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201104/cijdRhVW7Z.txt
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
15 avril 2011 à 14:17
Tu as fixé les lignes avec ZHPFIX ?
0
ou,i et fait les mises à jour .
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
Modifié par flo-91 le 15/04/2011 à 14:47
Ok, plus de problemes particuliers ?
Pour ta carte son tu as trouvé ?
0
le pc marche normalement, merci beaucoup Flo, tu m'as sorti d'affaire, super ;

pour ma carte son, je galère, il me faut asio 2.0, j'ai téléchargé le driver de ma carte et ASIO4ALL mais ma carte son est nul part ...

pour info, lorsque je vais dans : panneau de config/son et périphérique/auçdio
pas de périphérique .

je vais me débrouiller comme je peux, quand j'avais changé ma carte mère j'avais réussi ...

est ce que je peux mettre le topic comme "résolu" ?
0
salut pour ton son :

j'ai traktor 1.2.5 installé et j'ai du modifier un truc avec asio4All pour retrouver le son

si ca peut t'aider

faut remettre hd haute définition dans la config du logiciel
G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....
0
mauvaise nouvelle ... le virus est revenu, je post d'un autre ordi, il m'a fait une bombe " erreur disk" ...

j'ai rouvert en mode sans echec et je n'ai plus rien sur mon bureau à part la corbeille et un racourci "windows recovery", je suis désemparé ....
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
15 avril 2011 à 17:31
Mince alors ^^'

Démarre en mode sans echec et poste un nouveau rapport zhpdiag.
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
15 avril 2011 à 17:37
salut flo :)
pas tout lu mais dans zhpfix pour un proxy utiliser la commande ProxyFix
=)
A+
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
15 avril 2011 à 17:39
Merci je ne connaissais pas cette commande ^^
Je pensais aussi régler le probleme avec la manip sous FF et IE.
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
15 avril 2011 à 17:42
ça fera pareil mais c'est plus simple :P
0
ok, mais je n'ai aucun programme visible dans" tous les programmes" sur mon mode sans echec mis à part la seule icone sur le bureau" windows recovery" .... je vais essayer via l'autre ordi et charger zhpdiag sur ma clé usb ...

sinon, je le lance le "wondoxs recover" ?

merci pour les réponses, j'aurais l'autre ordi demain tioute la journée, je poourrais faire les procédures ... c'est un coriace celui là dites donc .:(
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
15 avril 2011 à 20:38
Windows recover ?
Non, je ne t'ai jamais parlé de ca ;)
0
Utilisateur anonyme
15 avril 2011 à 22:38
au bout de 80 posts :

et si on essayait Roguekiller non ? ^^
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
15 avril 2011 à 22:41
Ok mais j'aimerai voir 1 ZHPDIAG avant ^^
0
voici donc le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201104/cijBB991W3.txt
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
16 avril 2011 à 10:33
Ok, la suite :


* Lance ZHPFix (via ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Clique sur le bouton PROXYFixsitué dans la partie droite de l'écran,
* Cliques sur 'Non' au message qui s'affiche à l'écran si c'est demandé
* Copie/colle les lignes suivantes et place les dans ZHPFix :

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: Modified
O4 - HKCU\..\Run: [Xrihijo] . (.madshi.net - madVR settings helper dll.) -- C:\WINDOWS\stratc.dll
O4 - HKCU\..\Run: [XjFfFSETuJNIM] . (.BitSprx - Bit Library.) -- C:\Documents and Settings\All Users.WINDOWS\Application Data\XjFfFSETuJNIM.exe
O4 - HKCU\..\RunOnce: [pIe28247hDkIi28247] . (...) -- C:\Documents and Settings\All Users.WINDOWS\Application Data\pIe28247hDkIi28247\pIe28247hDkIi28247.exe
O4 - HKUS\S-1-5-21-57989841-115176313-1177238915-1004\..\Run: [Xrihijo] . (.madshi.net - madVR settings helper dll.) -- C:\WINDOWS\stratc.dll
O4 - HKUS\S-1-5-21-57989841-115176313-1177238915-1004\..\Run: [XjFfFSETuJNIM] . (.BitSprx - Bit Library.) -- C:\Documents and Settings\All Users.WINDOWS\Application Data\XjFfFSETuJNIM.exe
O4 - HKUS\S-1-5-21-57989841-115176313-1177238915-1004\..\RunOnce: [pIe28247hDkIi28247] . (...) -- C:\Documents and Settings\All Users.WINDOWS\Application Data\pIe28247hDkIi28247\pIe28247hDkIi28247.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe


* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse


2)

>Télécharger sur le bureau RogueKiller
>Quitter tous les programmes en cours
>Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
>Sinon lancer simplement RogueKiller.exe
>Lorsque demandé, taper 1 et valider
>Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
>Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
0