ouverture page internet intempestive Résolu/Fermé

Question

Bonjour,  

Je suis nouvelle sur le forum, je m'excuse par avance si mes explications ne sont pas claires et je vous remercie d'avance pour votre aide.  
Depuis plusieurs jours je me bat avec un virus/spyware, je sais pas...  
J'ai consulté à plusieurs reprises le forum et essayé de me débrouiller avec divers conseils mais j'ai pas l'impression d'avoir réussi à m'en débarasser.  
Ce qui m'a alerté se sont des pages de pub qui s'ouvraient quand je cliquais sur un lien suite à une recherche sur google. 
Voici les différentes choses que j'ai faites :  
 - scan avast qui m'a détecté "rootkit system32\drivers\isapnp.sys" que j'ai supprimé avec tdsskiller. 
 - installation d'un anti malware Malwarebyte (qui en passant n'arrive pas à ce mettre à jour)  qui m'a trouvé différentes choses voici le rapport :  

Malwarebytes' Anti-Malware 1.50.1.1100 
www.malwarebytes.org 

Version de la base de données: 5363 

Windows 5.1.2600 Service Pack 3 
Internet Explorer 8.0.6001.18702 

11/05/2011 11:59:12 
mbam-log-2011-05-11 (11-59-12).txt 

Type d'examen: Examen rapide 
Elément(s) analysé(s): 146401 
Temps écoulé: 8 minute(s), 54 seconde(s) 

Processus mémoire infecté(s): 0 
Module(s) mémoire infecté(s): 1 
Clé(s) du Registre infectée(s): 15 
Valeur(s) du Registre infectée(s): 2 
Elément(s) de données du Registre infecté(s): 2 
Dossier(s) infecté(s): 3 
Fichier(s) infecté(s): 22 

Processus mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Module(s) mémoire infecté(s): 
c:\program files\EoRezo\EoAdv\eorezobho.dll (Rogue.Eorezo) -> Delete on reboot. 

Clé(s) du Registre infectée(s): 
HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully. 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully. 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully. 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully. 
HKEY_CURRENT_USER\Software\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully. 
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully. 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1 (Rogue.Eorezo) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350} (Rogue.Eorezo) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F} (Rogue.Eorezo) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A} (Rogue.Eorezo) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\EoRezoBHO.EoBho.1 (Rogue.Eorezo) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\EoRezoBHO.EoBho (Rogue.Eorezo) -> Quarantined and deleted successfully. 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350} (Rogue.Eorezo) -> Quarantined and deleted successfully. 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{64F56FC1-1272-44CD-BA6E-39723696E350} (Rogue.Eorezo) -> Quarantined and deleted successfully. 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350} (Rogue.Eorezo) -> Quarantined and deleted successfully. 

Valeur(s) du Registre infectée(s): 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{B922D405-6D13-4A2B-AE89-08A030DA4402} (Adware.WidgiToolbar) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Quarantined and deleted successfully. 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (Adware.WidgiToolbar) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Quarantined and deleted successfully. 

Elément(s) de données du Registre infecté(s): 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Bad: (93.188.165.19,93.188.160.49) Good: () -> Quarantined and deleted successfully. 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4B3F8609-CEF4-4713-B5CD-A09EF212E481}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.165.19,93.188.160.49) Good: () -> Quarantined and deleted successfully. 

Dossier(s) infecté(s): 
c:\program files\EoRezo (Rogue.Eorezo) -> Delete on reboot. 
c:\program files\EoRezo\EoAdv (Rogue.Eorezo) -> Delete on reboot. 
c:\program files\EoRezo\lang (Rogue.Eorezo) -> Quarantined and deleted successfully. 

Fichier(s) infecté(s): 
c:\program files\pdfforge toolbar\IE\4.3\pdfforgetoolbarie.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully. 
c:\program files\EoRezo\confmedia.cyp (Rogue.Eorezo) -> Quarantined and deleted successfully. 
c:\program files\EoRezo\eoEngine.url (Rogue.Eorezo) -> Quarantined and deleted successfully. 
c:\program files\EoRezo\freeimage.dll (Rogue.Eorezo) -> Quarantined and deleted successfully. 
c:\program files\EoRezo\Host.cyp (Rogue.Eorezo) -> Quarantined and deleted successfully. 
c:\program files\EoRezo\icon_eo.st.ico (Rogue.Eorezo) -> Quarantined and deleted successfully. 
c:\program files\EoRezo\mnginstaller.dll (Rogue.Eorezo) -> Quarantined and deleted successfully. 
c:\program files\EoRezo\unins000.dat (Rogue.Eorezo) -> Quarantined and deleted successfully. 
c:\program files\EoRezo\unins000.exe (Rogue.Eorezo) -> Quarantined and deleted successfully. 
c:\program files\EoRezo\user.cyp (Rogue.Eorezo) -> Quarantined and deleted successfully. 
c:\program files\EoRezo\EoAdv\eoAdv.url (Rogue.Eorezo) -> Quarantined and deleted successfully. 
c:\program files\EoRezo\EoAdv\eorezobho.dll (Rogue.Eorezo) -> Delete on reboot. 
c:\program files\EoRezo\lang\ihm_eoclock.xml (Rogue.Eorezo) -> Quarantined and deleted successfully. 
c:\program files\EoRezo\lang\ihm_eoengine.xml (Rogue.Eorezo) -> Quarantined and deleted successfully. 
c:\program files\EoRezo\lang\ihm_eonet.xml (Rogue.Eorezo) -> Quarantined and deleted successfully. 
c:\program files\EoRezo\lang\ihm_eorezotools.xml (Rogue.Eorezo) -> Quarantined and deleted successfully. 
c:\program files\EoRezo\lang\ihm_eosudoku.xml (Rogue.Eorezo) -> Quarantined and deleted successfully. 
c:\program files\EoRezo\lang\ihm_eoweather.xml (Rogue.Eorezo) -> Quarantined and deleted successfully. 
c:\program files\EoRezo\lang\lang_en.xml (Rogue.Eorezo) -> Quarantined and deleted successfully. 
c:\program files\EoRezo\lang\lang_es.xml (Rogue.Eorezo) -> Quarantined and deleted successfully. 
c:\program files\EoRezo\lang\lang_fr.xml (Rogue.Eorezo) -> Quarantined and deleted successfully. 
c:\program files\EoRezo\lang\lang_it.xml (Rogue.Eorezo) -> Quarantined and deleted successfully. 


j'ai supprimé tout ce qui concerne EOREZO. J'ai voulu supprimer "Trojan.DNSChanger" mais après cette suppression mon internet ne fonctionnait plus je l'ai donc restauré. concernant "Adware.WidgiToolbar" j'ai réussi à le supprimer après une 2ème analyse dont voici le rapport :  


Malwarebytes' Anti-Malware 1.50.1.1100 
www.malwarebytes.org 

Version de la base de données: 5363 

Windows 5.1.2600 Service Pack 3 
Internet Explorer 8.0.6001.18702 

11/05/2011 14:09:48 
mbam-log-2011-05-11 (14-09-48).txt 

Type d'examen: Examen complet (C:\|) 
Elément(s) analysé(s): 191258 
Temps écoulé: 22 minute(s), 11 seconde(s) 

Processus mémoire infecté(s): 0 
Module(s) mémoire infecté(s): 0 
Clé(s) du Registre infectée(s): 0 
Valeur(s) du Registre infectée(s): 0 
Elément(s) de données du Registre infecté(s): 2 
Dossier(s) infecté(s): 0 
Fichier(s) infecté(s): 3 

Processus mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Module(s) mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Clé(s) du Registre infectée(s): 
(Aucun élément nuisible détecté) 

Valeur(s) du Registre infectée(s): 
(Aucun élément nuisible détecté) 

Elément(s) de données du Registre infecté(s): 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Bad: (93.188.165.19,93.188.160.49) Good: () -> Not selected for removal. 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4B3F8609-CEF4-4713-B5CD-A09EF212E481}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.165.19,93.188.160.49) Good: () -> Not selected for removal. 

Dossier(s) infecté(s): 
(Aucun élément nuisible détecté) 

Fichier(s) infecté(s): 
c:\program files\pdfforge toolbar\widgihelper.exe (Adware.WidgiToolbar) -> Quarantined and deleted successfully. 
c:\system volume information\_restore{f6a2eb6c-2bad-4a96-ac15-cc2ffcc89fae}\RP653\A0122527.rbf (Adware.WidgiToolbar) -> Quarantined and deleted successfully. 
c:\system volume information\_restore{f6a2eb6c-2bad-4a96-ac15-cc2ffcc89fae}\RP653\A0122528.rbf (Adware.WidgiToolbar) -> Quarantined and deleted successfully. 


J'ai enfin installé HijackThis dont voici le rapport :  

Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 16:50:59, on 11/05/2011 
Platform: Windows XP SP3 (WinNT 5.01.2600) 
MSIE: Internet Explorer v8.00 (8.00.6001.18702) 
Boot mode: Normal 

Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\System32\svchost.exe 
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe 
C:\WINDOWS\system32\spoolsv.exe 
C:\Program Files\Application Updater\ApplicationUpdater.exe 
C:\Program Files\Java\jre6\bin\jqs.exe 
C:\WINDOWS\system32\HPZipm12.exe 
C:\WINDOWS\system32\svchost.exe 
C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe 
C:\WINDOWS\system32\wbem\wmiapsrv.exe 
C:\Program Files\TeamViewer\Version6\TeamViewer.exe 
C:\WINDOWS\Explorer.EXE 
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe 
C:\Program Files\TeamViewer\Version6	v_w32.exe 
C:\Program Files\Alwil Software\Avast5\avastUI.exe 
C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe 
C:\Program Files\Linksys\Network Storage\Network Drive Mapping Utility.exe 
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 
C:\WINDOWS\system32\ctfmon.exe 
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe 
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe 
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE 
C:\Program Files\Internet Explorer\iexplore.exe 
C:\Program Files\Internet Explorer\iexplore.exe 
C:\Program Files\Adobe\Reader 9.0\Reader\pdfprevhndlrshim.exe 
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll 
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll 
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll 
O2 - BHO: WOT Helper - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - C:\Program Files\WOT\WOT.dll 
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll 
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll 
O3 - Toolbar: WOT - {71576546-354D-41c9-AAE8-31F2EC22BF0D} - C:\Program Files\WOT\WOT.dll 
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll 
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe" 
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" 
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup 
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui 
O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe" 
O4 - HKCU\..\Run: [Network Drive Mapping Utility] "C:\Program Files\Linksys\Network Storage\Network Drive Mapping Utility.exe" 
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" 
O4 - HKCU\..\Run: [Ucuhulo] rundll32.exe  "C:\WINDOWS\kCFCDL.dll",Startup 
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 
O4 - Startup: DEMARREP.BAT 
O4 - Startup: DEMARREQ.BAT 


Après tout ça, j'ai toujours une page yahoo ou google qui s'ouvre toute seule de temps en temps... ou quand je clique au hasard sur page internet déjà ouverte!! super bizarre!! ha oui j'oubliais, au démarrage du PC j'ai un message d'erreur :  
C:\windows\kCFCDL.dll - Module introuvable 

Voilà, j'ai fait le tour. Si quelqu'un peut m'aider je lui en serait trés reconnaissante. 

Configuration: Windows XP / Internet Explorer 7.0

verni29 · Answer

Bonjour, 

Le PC est toujours infecté.

-------------------------------------

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT ) 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu ) 
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir. 

# Lance Combofix.exe et suis les invites. 
# Il te sera demandé d'installer la console de récupération. 
Important. Fais le absolument. 

Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.  

# Une fois le scan fini, un rapport va apparaitre. 

Copie/colle ce rapport dans ta prochaine réponse. 

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt. 

A+

carinche69 · Answer

Merci pour ton aide super rapid.
En executant Combofix une fenêtre s'es ouverte "limitation de garantie" c'est normal??

verni29 · Answer

Re, 

Ce n'est pas du fait de Combofix, il me semble.
On verra par la suite.

Suis bien les consignes et installe la console de récupération. Important pour que l'outil fonctionne correctement.

A+

verni29 · Answer

carinche69, 

Alors ?

carinche69 · Answer

Salut,

C'est la merde!! Mon internet ne marche plus... depuis le scan
D'abord je n'est pas pu installer la console de réparation : 4 messages se sont succédés. 1er message : 
"Sous Système MS DOS 16 bits
Le processeur NTVDM a rencontré une instruction non autorisée.
CS1990 IP:13f OP:2e636f6d27
Fermer pour fin application ou ignorer"
les 3 autres commencent pareil avec des suites de chiffres différentes.
que je fasse Ignorer (1er essai) ou Fermer pour fin application (2ème essai), la console ne s'installe pas.
J'ai quand même continue le scan, voici le rapport : 

ComboFix 11-05-11.02 - utilisateur 12/05/2011   8:32.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2036.1482 [GMT 2:00]
Lancé depuis: c:\documents and settings\utilisateur\Bureau\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\utilisateur\Application Data\OfferBox
c:\documents and settings\utilisateur\Application Data\OfferBox\config.dat
c:\documents and settings\utilisateur\Application Data\OfferBox\config.xml
c:\documents and settings\utilisateur\WINDOWS
c:\windows\system32\setup.ini
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-04-12 au 2011-05-12  ))))))))))))))))))))))))))))))))))))
.
.
2011-05-11 10:17 . 2011-05-11 10:17	--------	d-----w-	c:\program files\Trend Micro
2011-05-11 09:45 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-11 09:45 . 2011-05-11 09:45	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-05-11 09:45 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-05-10 07:47 . 2011-05-10 07:47	--------	d-----w-	c:\documents and settings\utilisateur\Application Data\Malwarebytes
2011-05-10 07:47 . 2011-05-10 07:47	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-05-06 06:28 . 2011-05-06 06:29	--------	d-----w-	c:\windows\BDOSCAN8
2011-05-02 12:44 . 2011-05-02 12:44	--------	d-----w-	c:\program files\CCleaner
2011-04-20 07:00 . 2011-04-20 07:00	--------	d-----w-	c:\documents and settings\LocalService\Bureau
2011-04-20 06:48 . 2011-04-28 13:24	--------	d-----w-	c:\documents and settings\All Users\Application Data\Lavasoft
2011-04-19 14:00 . 2011-04-18 17:17	441176	----a-w-	c:\windows\system32\drivers\aswSnx.sys
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-05 07:03 . 2007-10-29 12:00	37632	----a-w-	c:\windows\system32\drivers\isapnp.sys
2011-04-18 17:25 . 2011-02-07 08:54	40112	----a-w-	c:\windows\avastSS.scr
2011-04-18 17:25 . 2008-08-06 12:27	199304	----a-w-	c:\windows\system32\aswBoot.exe
2011-04-18 17:17 . 2008-08-06 12:27	307288	----a-w-	c:\windows\system32\drivers\aswSP.sys
2011-04-18 17:16 . 2008-08-06 12:27	49240	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2011-04-18 17:16 . 2008-08-06 12:27	102488	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2011-04-18 17:16 . 2008-08-06 12:27	96344	----a-w-	c:\windows\system32\drivers\aswmon.sys
2011-04-18 17:13 . 2008-08-06 12:27	25432	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2011-04-18 17:13 . 2008-08-06 12:27	30680	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2011-04-18 17:12 . 2008-08-06 12:27	19544	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2008-08-04 13:53 . 2008-08-04 13:53	26596640	----a-w-	c:\program files\Adobe Acrobat Reader.exe
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-04-18 17:25	122512	----a-w-	c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Network Drive Mapping Utility"="c:\program files\Linksys\Network Storage\Network Drive Mapping Utility.exe" [2007-08-24 286336]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-09-23 68856]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2010-06-09 49208]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-07-15 413696]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-04-17 196608]
"SearchSettings"="c:\program files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe" [2011-01-28 526336]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\utilisateur\Menu D'marrer\Programmes\D'marrage\
DEMARREP.BAT [2011-1-27 65]
DEMARREQ.BAT [2011-1-17 184]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2006-12-23 16:05	143360	----a-w-	c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\Program Files\Linksys\Network Storage\Network Drive Mapping Utility.exe"=
"c:\Program Files\NewTech Infosystems\NTI Shadow\Shadow.exe"=
"c:\Program Files\Nero\Nero 7\Nero Home\NeroHome.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"=
"c:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"=
"c:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe"=
"c:\Program Files\TeamViewer\Version6\TeamViewer.exe"=
"c:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe"=
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [19/04/2011 16:00 441176]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [06/08/2008 14:27 307288]
R2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [28/01/2011 18:10 387072]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [06/08/2008 14:27 19544]
R2 TeamViewer6;TeamViewer 6;c:\program files\TeamViewer\Version6\TeamViewer_Service.exe [17/01/2011 13:22 2228008]
S2 gupdate1c98546cd1a5b12;Google Update Service (gupdate1c98546cd1a5b12);c:\program files\Google\Update\GoogleUpdate.exe [02/02/2009 16:59 133104]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [02/02/2009 16:59 133104]
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-12 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-08-25 18:12]
.
2011-05-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-02 14:59]
.
2011-05-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-02 14:59]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-Ucuhulo - c:\windows\kCFCDL.dll
SafeBoot-klmdb.sys
MSConfigStartUp-MSMSGS - c:\program files\Messenger\msmsgs.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-12 08:38
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10p_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10p_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Heure de fin: 2011-05-12  08:40:29
ComboFix-quarantined-files.txt  2011-05-12 06:40
.
Avant-CF: 294 508 064 768 octets libres
Après-CF: 294 620 057 600 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
.
- - End Of File - - C7B1757CA28CCBE857584EDCB38A8CFE

carinche69 · Answer

Je me suis rendu compte que je n'ai pas désactivé le pare feu avant de lancer Combofix. Les messages viennent de là??
je n'arrive toujours pas à me connecter à internet???

carinche69 · Answer

Bon j'ai restauré mon système pour avoir internet...
J'ai relancé Combofix en désactivant les pare feu et avast.
Les mêmes messages sont apparus au moment de l'installation de la console de réparation. Voici le rapport : 

ComboFix 11-05-11.02 - utilisateur 12/05/2011  10:22:33.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2036.1551 [GMT 2:00]
Lancé depuis: c:\documents and settings\utilisateur\Bureau\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\utilisateur\Application Data\OfferBox
c:\documents and settings\utilisateur\WINDOWS
c:\windows\system32\setup.ini
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-04-12 au 2011-05-12  ))))))))))))))))))))))))))))))))))))
.
.
2011-05-11 10:17 . 2011-05-11 10:17	--------	d-----w-	c:\program files\Trend Micro
2011-05-11 09:45 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-11 09:45 . 2011-05-11 09:45	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-05-11 09:45 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-05-10 07:47 . 2011-05-10 07:47	--------	d-----w-	c:\documents and settings\utilisateur\Application Data\Malwarebytes
2011-05-10 07:47 . 2011-05-10 07:47	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-05-06 06:28 . 2011-05-06 06:29	--------	d-----w-	c:\windows\BDOSCAN8
2011-05-02 12:44 . 2011-05-02 12:44	--------	d-----w-	c:\program files\CCleaner
2011-04-20 07:00 . 2011-04-20 07:00	--------	d-----w-	c:\documents and settings\LocalService\Bureau
2011-04-20 06:48 . 2011-04-28 13:24	--------	d-----w-	c:\documents and settings\All Users\Application Data\Lavasoft
2011-04-19 14:00 . 2011-04-18 17:17	441176	----a-w-	c:\windows\system32\drivers\aswSnx.sys
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-05 07:03 . 2007-10-29 12:00	37632	----a-w-	c:\windows\system32\drivers\isapnp.sys
2011-04-18 17:25 . 2011-02-07 08:54	40112	----a-w-	c:\windows\avastSS.scr
2011-04-18 17:25 . 2008-08-06 12:27	199304	----a-w-	c:\windows\system32\aswBoot.exe
2011-04-18 17:17 . 2008-08-06 12:27	307288	----a-w-	c:\windows\system32\drivers\aswSP.sys
2011-04-18 17:16 . 2008-08-06 12:27	49240	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2011-04-18 17:16 . 2008-08-06 12:27	102488	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2011-04-18 17:16 . 2008-08-06 12:27	96344	----a-w-	c:\windows\system32\drivers\aswmon.sys
2011-04-18 17:13 . 2008-08-06 12:27	25432	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2011-04-18 17:13 . 2008-08-06 12:27	30680	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2011-04-18 17:12 . 2008-08-06 12:27	19544	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2008-08-04 13:53 . 2008-08-04 13:53	26596640	----a-w-	c:\program files\Adobe Acrobat Reader.exe
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-04-18 17:25	122512	----a-w-	c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Network Drive Mapping Utility"="c:\program files\Linksys\Network Storage\Network Drive Mapping Utility.exe" [2007-08-24 286336]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-09-23 68856]
"Ucuhulo"="c:\windows\kCFCDL.dll" [BU]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2010-06-09 49208]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-07-15 413696]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-04-17 196608]
"SearchSettings"="c:\program files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe" [2011-01-28 526336]
"avast"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-04-18 3460784]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\utilisateur\Menu D'marrer\Programmes\D'marrage\
DEMARREP.BAT [2011-1-27 65]
DEMARREQ.BAT [2011-1-17 184]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2006-12-23 16:05	143360	----a-w-	c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
c:\program files\Messenger\msmsgs.exe [BU]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\Program Files\Linksys\Network Storage\Network Drive Mapping Utility.exe"=
"c:\Program Files\NewTech Infosystems\NTI Shadow\Shadow.exe"=
"c:\Program Files\Nero\Nero 7\Nero Home\NeroHome.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"=
"c:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"=
"c:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe"=
"c:\Program Files\TeamViewer\Version6\TeamViewer.exe"=
"c:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe"=
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [19/04/2011 16:00 441176]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [06/08/2008 14:27 307288]
R2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [28/01/2011 18:10 387072]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [06/08/2008 14:27 19544]
R2 TeamViewer6;TeamViewer 6;c:\program files\TeamViewer\Version6\TeamViewer_Service.exe [17/01/2011 13:22 2228008]
S2 gupdate1c98546cd1a5b12;Google Update Service (gupdate1c98546cd1a5b12);c:\program files\Google\Update\GoogleUpdate.exe [02/02/2009 16:59 133104]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [02/02/2009 16:59 133104]
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-12 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-08-25 18:12]
.
2011-05-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-02 14:59]
.
2011-05-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-02 14:59]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-12 10:27
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10p_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10p_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Heure de fin: 2011-05-12  10:29:53
ComboFix-quarantined-files.txt  2011-05-12 08:29
ComboFix2.txt  2011-05-12 06:40
.
Avant-CF: 294 420 066 304 octets libres
Après-CF: 294 374 363 136 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
.
- - End Of File - - ED54B053D051803EB5B1D29380BBAB20

carinche69 · Answer

???
re plus d'internet!!
help me!!

verni29 · Answer

Carinche69,  

??? 
re plus d'internet!! 
help me!!
Désolé pour les problèmes de connexion, mais c'est du aux diverses infections présentes sur le PC. 
Comment fonctionnes-tu dans ce cas ? 
As-tu un autre PC pour transférer les logiciels et les rapports ? 

Tu as restauré le PC pour le problème de connexion. 
Pour info, les points de restauration peuvent être infectés et lors d'une restauration, l'infection est toujours présente. 

-------------------------------------------------- 

Il me faut plus d'infos . 
Si il le faut , utilise une clé USB pour transférer le logiciel et crée un fichier texte avec le bloc-notes pour le texte à copier dans OTL. 

Télécharge OTL (de OldTimer) sur ton Bureau.  
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ 

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.  

* Double-clique sur  OTL.exe  pour le lancer.  
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.  
* Sélectionne l'option tous les utilisateurs. 
* Dans la partie  Personnalisation, copie/colle la liste suivante. 

netsvcs  
Drivers32 
msconfig   
activex 
/md5start    
winlogon.exe  
explorer.exe 
wininit.exe 
DEMARREP.BAT 
DEMARREQ.BAT 
kCFCDL.dll
klmdb.sys
/md5stop 
%SYSTEMDRIVE%\*.exe 
%ALLUSERSPROFILE%\Application Data\*.  
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%appdata%\*.exe /s  
%APPDATA%\*.   
%systemroot%\*. /mp /s  
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters|NameServer  /rs 
CREATERESTOREPOINT 

* Enfin, clique sur le bouton  Analyse rapide.  

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes :  OTL.txt  et  Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)  

Utilise un site comme https://www.cjoint.com/ pour les déposer.  
indique ensuite les deux liens crées. 

A+ 
Allez jusqu'au bout de la procédure de désinfection.

carinche69 · Answer

Salut, 

J'ai deux autres PC en réseau. Et eux avaient internet... 

J'ai fait la manip avec OTL, voici les rapports :  
https://www.cjoint.com/?AEniyB8soyi 
https://www.cjoint.com/?AEnizscharm 

Merci pour ton aide 
A+

verni29 · Answer

carinche69, 

Le problème avec ta connexion internet est que ton surf sur le net passe par un serveur ukrainien. C'est ce qu'on appelle jun détournement DNS

Malwarebytes avait trouvé l'infection sur le DNS :

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.165.19,93.188.160.49

https://www.ip-adress.com/ip-address/ipv4/93.188.160.49

les paramètres de connexion ont été remplacés par ces paramètres infectieux.
Et lorsque ( comme tu as pu le vérifier ) on veut nettoyer ces paramètres, tu perds alors la connexion au net.

En fait, il te faudra après le nettoyage réinstaller la connexion au wifi avec le CD d'installation pour avoir les bons paramètres de connexion.

---------------------------------------------

Effectue les manips suivantes.

1/ Télécharge Ad-Remover sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html


/!\ Ferme toutes tes applications ouvertes. /!\

# Désactive la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner la procédure de recherche et de nettoyage de l'outil.

# Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait
# clique sur "Nettoyer".

Laisse travailler l'outil. Il te sera demandé de redémarrer le PC. Accepte.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.

Si le rapport n'apparait pas il se trouve à cet emplacement :C:\Ad-Report-CLEAN[1].txt 


2/ Relance OTL

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :  

:OTL
PRC - [2011/01/28 18:10:28 | 000,387,072 | ---- | M] (Spigot, Inc.) -- C:\Program Files\Application Updater\ApplicationUpdater.exe
SRV - [2011/01/28 18:10:28 | 000,387,072 | ---- | M] (Spigot, Inc.) [Auto | Running] -- C:\Program Files\Application Updater\ApplicationUpdater.exe -- (Application Updater)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
O4 - HKU\S-1-5-21-1177238915-57989841-682003330-1003..\Run: [Ucuhulo]  File not found
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -  File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -  File not found
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.165.19,93.188.160.49
[2011/05/12 15:03:33 | 000,000,000 | ---D | C] -- C:\Documents and Settings\utilisateur\Application Data\OfferBox


:files
C:\Program Files\Application Updater
C:\Program Files\Fichiers communs\Spigot
C:\Documents and Settings\utilisateur\Application Data\Search Settings
C:\Documents and Settings\utilisateur\Application Data\EoRezo
ipconfig /flushdns /c

:Commands 
[Emptytemp] 
[Emptyflash]

*  Puis clique sur le bouton Correction en haut de la fenêtre.   
 * Laisse le programme travailler, le PC va redémarrer.   

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).    
sauvegarde-le sur ton Bureau et poste-le après redémarrage.   

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles   
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log  

3/ Réinstalle la connexion au web avec le CD de ta box.

4/ Il reste encore deux fichiers que je voudrais analyser.

Démarrer --> exécuter --> tape :

notepad C:\Documents and Settings\utilisateur\Menu Démarrer\Programmes\Démarrage\DEMARREP.BAT
Puis valide par Entrée.

Ceci va ouvrir le bloc-notes avec le contenu de ce fichier.
Copie ce texte et poste le dans ta prochaine réponse.

Refais la manip avec  :

notepad C:\Documents and Settings\utilisateur\Menu Démarrer\Programmes\Démarrage\DEMARREQ.BAT

A+

carinche69 · Answer

Analyse ad remover terminée. 
Rapport : https://www.cjoint.com/?AEnmdBtnF4l

Correction OTL terminée
Rapport : https://www.cjoint.com/?AEnmkYZMzze

verni29 · Answer

OK, 

Il faut maintenant que tu réussises à réinstaller le net.

A+

carinche69 · Answer

J'ai re-paramétré internet. Ca fonctionne normalement.
Pour les manip, voici les réponses :

 - NET USE S: \192.168.1.100\PUBLIC ISOLACCEUIL /USER:ACCEUIL

 - NET USE Q: \192.168.1.100\VIGDAO2 ISOLACCEUIL /USER:ACCEUIL
DEL C:\PDOXWIN7\ISOLVAR\BUDGET\P\*.LCK
DEL C:\PDOXWIN7\ISOLVAR\SUIVI\P\*.LCK
DEL C:\PDOXWIN7\ISOLVAR\DEVIS\P\*.LCK

verni29 · Answer

Carinche69, 

Je t'ai demandé de regarder le contenu dles deux fichiers .bat.
Il y a une utilisation de lecteur réseau dans ces batchs.

Tu me dis justement que tu as des PC en réseau.
Est-ce que c'est toi qui as crée ces fichiers .bat qui se lancent au démarrage ? 

--------------------------------------

On va réutiliser Combofix qui n'a pas fonctionné correctement auparavant.
maintenant que tu n'as plus de souci avec ta connexion, cela devrait marcher.

1/ Désinstalle la version existente.
pour cela :

démarrer --> exécuter --> tape 

Combofix /uninstall
Attention à l'espace.

2/ reprends les consignes du message suivant :
https://forums.commentcamarche.net/forum/affich-22073347-ouverture-page-internet-intempestive#1

Poste le rapport.

A+

carinche69 · Answer

Salut, 

Les fichiers .bat correspondent à un programme de gestion d'activité de mon mari. Pas de soucis avec eux. 

J'ai relancé ComboFix. Voici le rapport :  
https://www.cjoint.com/?AEqjGHB0Ki3 

J'ai toujours des pages internet qui s'ouvrent:

 - site comment ca marche ouvert, je clic sur notre discussion, une nouvelle page s'ouvre avec cette adresse : http://www.google-analytics.com/pp.php?to=con&from=a1&type=www.commentcamarche.net:&ref=http%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-22073347-ouverture-page-internet-intempestive
avant de basculer sur l'adresse de Google 

idem = 
 - site page jaunes ouverte, je clic sur rechercher "à proximité de " = http://www.google-analytics.com/pp.php?to=con&from=a1&type=www.pagesjaunes.fr:&ref=http%3A%2F%2Fwww.pagesjaunes.fr%2Ftrouverlesprofessionnels%2FrechercheClassique.do%3Fportail%3DPJ

???

Merci de ton aide.

A+

verni29 · Answer

Re, 

Clique sur OTL puis choisis Analyse rapide.
poste le rapport obtenu.

Je suis absent ce soir. Je regarderais les rapports plus tard.

A+

carinche69 · Answer

Slt,

Rapport OTL : 
https://www.cjoint.com/?AErisZKG1uS

Bonne journée
A+

verni29 · Answer

Carinche69,

C'est étrange ton problème.
la redirection que tu me cites n'est pas un symptôme d'infection. Google analytics sert à l'analyse des sites web.

---------------------------------------

Vérifie que Internet Explorer bloque les pages de publicités.

dans le panneau de configuration --> Options Internet --> Confidentialité 
Vérifie que l'option de bloquer les publicités est cochée.

---------------------------------------

Un peu de nettoyage avec des barres d'outils superflues.
Désinstalle si tu les trouves :

pdfforge Toolbar v4.3
Google Toolbar for Internet Explorer
Google Updater ( ou outil de mise à jour de Google )

-------------------------------------

Relance OTL.exe.  

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :  

:OTL
[2008/08/04 15:53:48 | 026,596,640 | ---- | C] (                                   ) -- C:\Program Files\Adobe Acrobat Reader.exe
[2011/05/17 08:12:59 | 000,001,000 | ---- | M] () -- C:\WINDOWS	asks\Google Software Updater.job
[2011/05/17 08:09:44 | 000,001,052 | ---- | M] () -- C:\WINDOWS	asks\GoogleUpdateTaskMachineCore.job

:Files
ipconfig /flushdns /c

:Commands
[Emptytemp]
[Emptyflash]

*  Puis clique sur le bouton Correction en haut de la fenêtre.  
 * Laisse le programme travailler, le PC va redémarrer.  

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).   
sauvegarde-le sur ton Bureau et poste-le après redémarrage.  

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles  
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log  

----------------------------------------

Une dernière analyse :
Effectue un scan en ligne .
Tuto : https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

Poste le rapport obtenu. Il se trouve à : C:\Program Files\ESET Online Scanner\log.txt

A+

carinche69 · Answer

Re,

L'option de blocage des pub était décochée. Je l'ai ré-activé.

J'ai désinstallé Google Toolbar for Internet Explorer et Google Updater mais je n'ai pas trouvé pdfforge Toolbar v4.3.

Rapport OTL : 
https://www.cjoint.com/?AErkKiIORe0

Rapport du scan en ligne : 
https://www.cjoint.com/?AErkMMamfEJ

A+

verni29 · Answer

Re, 

Tiens moi au courant pour tes soucis avec ces pages Internet qui s'ouvrent.
Le bloqueur de pubs devrait suffire à régler ton problème.

-----------------------------

Eset a trouvé que la restauration système avait été infecté. Elle n'est donc plus utilisable et il faudra nettoyer les points de restauration existants puis recréer un point propre.
On le fera lorsque le Pc aura été mis à jour.

---------------------------------------

Supprime Java(TM) 6 Update 23 via le panneau de configuration.
Puis mets à jour java :
https://www.java.com/fr/download/

Va ensuite sur le site de secunia et vérifie que les plug-ins sont bien à jour :
https://www.flexera.com/products/operations/software-vulnerability-management.html

A+

carinche69 · Answer

Ok j'ai supprimer Java 6 update23 et j'ai mis à jour.

Concernant Secunia, voici ce qu'il me dit : 
  " Adobe Flash Player 10.x 10.2.159.1 (ActiveX)  
 This installation of Adobe Flash Player 10.x is insecure and potentially exposes your system to security threats!

The detected version installed on your system is 10.2.159.1 (ActiveX), however, the latest patched version released by the vendor, fixing one or more vulnerabilities, is 10.3.181.14 (ActiveX).

Update Instructions:
Download

Installed on Your System in:
C:\WINDOWS\SYSTEM32\Macromed\Flash\Flash10p.ocx "

Je suis pas une flèche en anglais!! mais si je comprend bien je dois télécharger une nouvelle version via "download"??? Je veux pas faire de connerie...

verni29 · Answer

Re, 

Oui, c'est cela.

A+

carinche69 · Answer

OK c'est fait

verni29 · Answer

Carinche69, 

As-tu toujours ces problèmes d'ouvertures de pages Internet ?

Pour ma part, le PC est propre.

Je te mettrais les dernières consignes en fin de journée.
Comme cela, si tu peux utiliser le PC aujourd'hui, tu pourras vérifier pour ce problème.

A+

verni29 · Answer

Re, 

Si tu n'as plus de problème avec Internet explorer, on termine.

On va enlever les outils utilisés.

    * Lance OTL et clique sur purge outils.
      Le PC va redémarrer pour supprimer les outils.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

Maintenant que le PC est propre, il te faut créer un point de restauration propre pour pouvoir l'utiliser en cas de problème sur ton PC.

- Désactivation de la restauration système :

Panneau de configuration --> Système --> Restauration du système
cocher " Désactiver la restauration .... " ( si elle est cochée, la décocher -- > valider -- > cocher )

Une fenêtre va s'ouvrir pour t'avertir que les poins de restauration existants seront supprimés.

Accepte.

Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système

- Création d'un nouveau point de restauration :

Pour recréer un point de restauration :

Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système

Choisis "Créer un point de restauration". Suis les invites.

Si tu as des questions sur ces manips , n'hésite pas à les poser.

------------------------------------------------------------------------------------

/!\ Pour améliorer la sécurité de ton PC, prends quelques instants pour lire...

projet antimalwares

-------------------------------------------------------------------------------------

Si tu juges que le problème est résolu, note le ( en haut de page , Marquer comme résolu )

Bonne continuation, bon surf, bonne lecture.

@+

carinche69 · Answer

Il y a encore un pb avec internet explorer. A l'instant, en ouvrant la discussion, en cliquant sur la barre de déroulement à droite pour descendre, un page internet explorer s'est ouverte. Est-ce que ça ne viendrait pas d'un paramétrage à la c%µ!!

verni29 · Answer

Re,  

Quel genre de page ? 

A+ 
Allez jusqu'au bout de la procédure de désinfection.

carinche69 · Answer

tout à l'heure une page google, à l'instant un page d'un site de jeu de poker
qui s'est redirigé vers google je comprend plus rien!!

verni29 · Answer

Re, 

Télécharge  TDSSKiller sur ton Bureau. 

# Décompresse le (clic droit sur le fichier et extraire) sur le bureau.
# dans le dossier crée, déplacer le fichier TDSSKiller.exe pour le mettre sur le Bureau
# Faire un double clic sur TDSSKiller.exe pour le lancer.
# Cliquer sur Start scan pour lancer l'analyse,

# Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option Cure est sélectionnée,
# Si des objects suspects "Suspicious objects" ont été détectés, sur l'écran de demande de confirmation, laisser l'option sur Skip.
# Puis cliquer sur le bouton Continue.
# Attendre l'affichage du fichier rapport.
# Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage, cliquer sur le bouton  Reboot computer.

Envoyer en réponse le rapport de TDSSKiller

Note : Il se trouve aussi en C:\TDSSKiller.Version_Date_Heure_log.txt

A+

carinche69 · Answer

Salut,

J'ai fait le scan TDSSKiller, mais il n'a rien trouvé : https://www.cjoint.com/?AEsjMTzLYhh

A+

verni29 · Answer

Re, 

Cela ne m'étonne pas qu'il n'ait rien trouvé.
Je voulais le vérifier tout de même.

As-tu toujours ces problèmes d'ouvertures de pages Internet ?
Cela m'étonne.

A+

carinche69 · Answer

pas tout le temps. Mais oui ça arrive. En tout cas si pour toi le PC est clean, je te fais confiance.
Dois-je faire les manip que tu m'as indiqué pour créer le point de restauration??
A+

verni29 · Answer

Oui, tu peux faire la manip sur les points de restauration.
Ton problème est inhabtuel. 
je vais relire la discussion.

A+

carinche69 · Answer

Bonjour,

J'ai créé le point de restauration.
Ce matin, j'ai eu de nouveau des pages qui se sont ouvertes.
Depuis rien...
A+

verni29 · Answer

Re, 

Je viens de relire la discussion.
Je ne vois pas de trace d'infection.

Une analyse d'un fichier tout de même.

Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier. 
https://www.virustotal.com/gui/ 

# Clique sur parcourir et sélectionne le fichier indiqué ci-dessous :

Chemin : c:\windows\system32\drivers\isapnp.sys 

# Tu cliques ensuite sur envoyer le fichier.  
# Copie l'adresse de la page une fois les résultats affichés. 

Indique moi le lien de cette page.

A+

carinche69 · Answer

Salut,

Lien de la page de résultat : 
http://www.virustotal.com/file-scan/report.html?id=3b9a6e9f40a025d393b7f7226716909087d495b4b0e8472bb857f14d489d479d-1305893515
A+

verni29 · Answer

Carinche69, 

Comment se comporte le PC ?

A+

carinche69 · Answer

Bonjour,

Je ne t'ai pas répondu de suite pour voir sur plusieurs jours ce que cela pouvait donner.
J'ai toujours des redirections sur internet vers des pages de pub ou autres...
Cela m'inquiète... Que puis-je faire de plus??
A++

Tigzy · Answer

Hello

Tu as toujours une dll infectieuse.

* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Sous Vista/Seven, => Clique droit, lancer en tant qu'admin
* Lance le.
* Lorsque demandé, tape  2   et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois, ou renommer en winlogon.exe

carinche69 · Answer

Salut,

Voici le rapport : 
https://www.cjoint.com/?AEykUCk7Vfx

Merci de ton aide
A+

verni29 · Answer

carinche69, 

C'est très particulier ton problème de pubs.
Tu as eu des redirections vers google-analytics, vers google ( cela est plus surprenant ).

Il faudrait que tu sois plus précise, stp.

Tu me dis ceci :
J'ai toujours des redirections sur internet vers des pages de pub ou autres...

Est-ce quand tu navigues sur n'importe quel site que tu as des pubs qui s'ouvrent ?

Teste ceci : Sur la page d'accueil de google, effectue une recherche.
Es-tu redirigé ?

Tu m'as bien dit avoir activé le bloqueur de publicités avec Internet Explorer ?

-------------------------------------------------------

1/ Télécharge TFC sur ton bureau.
http://www.geekstogo.com/forum/files/download/187-tfc-temp-file-cleaner-by-oldtimer/

#Double-clique dessus pour le lancer.
# Clique sur Start puis laisse travailler l'outil.

Il est possible que le PC redémarre.

2/ On va revérifier le PC.

Télécharge ZHPDiag (de Nicolas Coolman) 

* Double-clique sur l'exécutable. 
si sous Windows Vista ou Windows 7 --> click-droit sur l'exécutable et choisir Exécuter en temps qu'administrateur 
* Le logiciel va s'installer. Suis les invites.  
Il faudra à un moment cocher une case pour créer un raccourci sur le Bureau. 

Après l'installation, le logiciel va se lancer automatiquement. 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 

Poste le rapport en utilisant le site https://www.cjoint.com/ 

A+

carinche69 · Answer

Re,

En fait il y a 2 choses différentes : 
 - Google analytics se déclenche quand je clic par exemple sur notre discussion (ça le fait sur d'autres liens aussi), une nouvelle page internet explorer s'ouvre. Pas à chaque fois mais trés souvent.
 - Quand je fais une recherche sur Google, google me sort un certain nombre de réponses, quand je clic sur l'une d'entre elle, la page qui s'ouvre n'est pas ce qu'elle devrait (goméo, bing...) il y a même des fois où le terme Redirect s'affiche et ensuite Not found...

Je n'ai pas de pub qui s'ouvrent spontanément sans rien faire. Il y a toujours un clic à la base.
Ces phénomènes ne sont pas systématique. Il va y avoir des recherches qui vont trés bien se dérouler.
j'espère avoir été + claire!!
Le bloqueur de pub est bien activé.
A+

carinche69 · Answer

Re,

Voici 2 pages qui viennent de s'ouvrir après avoir créer le lien du rapport ZHP Diag : 
https://www.hugedomains.com/domain_profile.cfm?d=wordslife&e=com
https://secure.easy-forex.com/evo/eu/fr/registerjoin.aspx
elles ont été bloquées par WOT

rapport ZHP DIAG : https://www.cjoint.com/?AEyrE0Zlz7W

A+

verni29 · Answer

Re,  

C'est en effet plus explicite. 
Les redirections vers Gomeo sont connues mais chose assez étrange, pour l'instant, je n'en vois pas de trace

Démarrer --> exécuter --> tape : 

nslookup http://www.google.fr>C:
slookup.txt
Attention à l'espace entre nslookup et l'URL. 

Un rapport nslookup.txt sera crée à la racine de C:. 
Poste le rapport dans ta prochaine réponse. 

----------------------------------------------------------- 

Télécharge gmer  sur ton bureau ( IMPORTANT ) 
http://www.gmer.net/#files 

Précautions d'usage : 
- Commence par désactiver ou arrêter des logiciels comme  Alcolhol Soft ou Daemon tools car ils biaisent le rapport de gmer. 
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT. 
- Ferme également toutes les applications actives dont ton navigateur. 

# Double-clique sur l'exécutable téléchargé . 
Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur.  
# Le scan va se lancer de lui-même. 
 
Si tu reçois un message t'indiquant la présence de rootkits, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien. 

# A la fin de l'analyse, clique sur save pour enregistrer le rapport 
# Enregistre-le sur le bureau ( fichier .log ) 

Édite ce rapport dans ta prochaine réponse. 

------------------------------------------------------ 

Tu vas utiliser DrWebCureIt.  

# Télécharge-le : https://free.drweb.com/cureit/  
IMPORTANT, il faut que l'exécutable soit sur le bureau.  
# Double-clique sur le fichier.  
# Une analyse rapide va se lancer.  
# Après l'analyse rapide, sélectionne l'analyse complète 
A l'issu du scan --> il faut créer un rapport à partir du menu Fichier puis Enregistrer le rapport.  
C'est un fichier .csv. Poste le contenu dans ton prochain message 

A+ 
Allez jusqu'au bout de la procédure de désinfection.

carinche69 · Answer

Bonjour, 

Le rapport de nslookup ne se crée pas??? Il y a bien une fenêtre qui s'ouvre et qui se referme 5sec après. Mais pas de bloc note dans C?? 
Je fais les autres manip 


Rapport GMER : https://www.cjoint.com/?AEzqiuJkFOJ


A+

verni29 · Answer

re, 

Pour la commande avec nslookup, ouvre la fenêtre de commande Ms-dos.

pour cela , démarrer --> exécuter --> tape cmd

Puis tape le texte avec nslookup.

Cela devrait te créer le fichier texte.

A+

carinche69 · Answer

Re,

Rapport DR WEB : https://www.cjoint.com/?AEzsSTHOkF8

commande nslookup : https://www.cjoint.com/?AEzsWHkUMU7
pour cette commande, dans la fenêtre Ms-dos, j'ai eu la réponse suivante après avoir tapé le texte et entrée : 
"*** livebox.home ne partvient pas à trouver https://www.google.fr/?gws_rd=ssl : Server failed"

PAr contre, je me suis tellement focaliser sur ce PC que je ne me servais plus des autres qui sont en réseau. Aujourd'hui, je me suis rendu compte que l'un d'entre eux a le même problème avec ces pages internes qui s'ouvrent...

Je te remercie vraiment pour tout le temps que tu consacres à mon problème.
A+

Carinche69

verni29 · Answer

Carinche69, 

Pour l'autre PC, il ne faut pas trop trainer.
Et tu as encore un autre en réseau ? 
est-il possible de les laisser déconnecter du réseau et du net durant le reste de la désinfection ?
Cela peut aller assez vite pour infecter le PC. Donc, par précaution, ...

Tu peux déjà passer TDSSKiller sur le deuxième PC pour une première analyse.
( tu ne le connectes que pour télécharger l'outil, utiliser l'outil et poster le rapport )
https://forums.commentcamarche.net/forum/affich-22073347-ouverture-page-internet-intempestive?page=2#30

On ne va pas s'occuper des deux PC en même temps mais cet outil peut déjà régler l'infection si il la trouve.

----------------------------------------------------------

Bon. L'infection est bien cachée.
Les outils utilisés auraient du trouver quelque chose.

Il va falloir passer par un liveCD, c'est-à-dire graver un CD et booter sur ce CD pour analyser le PC.
Sous ce mode, on devrait pouvoir le trouver.

Cela nécessite aussi une clé USB pour transférer les rapports.

Pas de problème pour continuer ?

A+

verni29 · Answer

Carinche69, Les consignes pour le liveCD. ------------------------------------------ Il faut créer un CD bootable qui permettra de faire démarrer le PC dans un environnement spécial et d'effectuer une analyse du PC. Ensuite il sera possible, à partir de cet environnement spécial, de nettoyer et réparer le PC. Je te conseille d'imprimer la procédure puisque tu vas démarrer à partir d'un CD spécial. Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous. Si un élément te paraît obscur, demande des explications avant de commencer la procédure. ------------------------------------------------------------------------------------------- Étape 1: OTLPE (de OldTimer) préparation # Sur un autre PC, "bien portant", télécharger OTLPENet.exe depuis ce lien: http://oldtimer.geekstogo.com/OTLPENet.exe # Graver/brûler un CD à partir de ce fichier. Inutile d'utiliser un logiciel de gravure. L'exécutable intègre un utilitaire pour la gravure. Insère un CD vierge dans le PC. lance l'exécutable téléchargé et suis les invites. # Toujours sur le PC "bien portant", ouvrir le Bloc-notes ( démarrer --> tous les programmes --> accessoires ) # Copie/colle le texte suivant dans le bloc-notes : netsvcs Drivers32 %SYSTEMDRIVE%\*.exe /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys nvrd32.sys userinit.exe winlogon.exe explorer.exe wininit.exe ntoskrnl.exe /md5stop %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles # Enregistrer le fichier sous le nom OTLPE-1.txt # Fermer le Bloc-notes. # Copier ce fichier OTLPE-1.txt sur une clé USB de façon à pouvoir le transférer sur le PC "malade" via REATOGO. -------------------------------------------------------------------------------------------------- Étape 2: OTLPE (de OldTimer), analyse # Modifier le BIOS du PC "malade" afin que le démarrage s'effectue à partir du CD avant le disque dur. Voir: https://www.hiren.info/pages/bios-boot-cdrom] (en anglais) ou http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/PC/tutoriel-modifier-sequence-sujet_27442_1.htm (en français) # Faire redémarrer le PC "malade", qui doit démarrer depuis le CD-Rom et afficher un Bureau REATOGO-X-PE # Faire un double clic sur l'icône OTLPE. # A la demande "Do you wish to load the remote registry", répondre Yes # A la demande "Do you wish to load remote user profile(s) for scanning", répondre Yes # Vérifier que la case "Automatically Load All Remaining Users" est cochée, puis cliquer sur OK # L'écran principal de OTLPE s'affiche: http://img641.imageshack.us/img641/2734/otlpemain.png/img # Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus. # Sur le PC "malade", ouvrir le fichier OTLPE-1.txt (qui se trouve sur la clé USB) dans le Bloc-notes (notepad). # Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Sélectionner tout. # Dans le Bloc-notes, cliquer sur le menu Edition( en haut) et choisir Copier. # Retourner dans la fenêtre de OTLPE, faire un clic droit dans la fenêtre située en bas nommée "Custom Scans/Fixes" # et choisir Coller. # Le contenu du fichier OTLPE-1.txt est ainsi inséré dans le panneau "Custom Scans/Fixes". # Puis cliquer sur le bouton Run Scan: # Laisser l'outil travailler sans l'interrompre. # Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant un rapport (log). # Fermer le Bloc-notes. # Fermer la fenêtre de OTLPE. # Le fichier rapport est sauvegardé dans C:\OTL.txt # Le transférer sur la clé USB afin de pouvoir l'envoyer sur le forum. Le rapport envoyé sur le forum doit se terminer par une ligne contenant . Si ce n'est pas le cas, il est incomplet, et doit alors être découpé en plusieurs messages. A+ Allez jusqu'au bout de la procédure de désinfection.

carinche69 · Answer

Re, 

Impossible de faire démarrer le pc sur le CD. Plusieurs essais mais rien à faire...
J'ai bien suivi la procédure de modif du bios afin que le démarrage se fasse à partir du CD.  
J'entends le cd qui se met à tourner dans le lecteur, un message s'affiche en haut de l'écran noir : "setup is inspecting your computer's hardware configuration" et ... rien. Le cd arrête de tourner et l'écran reste noir... 
Y aurait-il une autre manip sur le bios à faire?? 
A+

verni29 · Answer

Carinche69, 

Le message n'est pas un mauvais signe.
 L'installation inspecte la configuration du matériel de votre ordinateur.

Sorcément, le CD doit après cela booter.
Il faut attendre .

Peux-tu reessayer ? laisse le temps au CD de démarrer.
Si tu vois que cela ne marche pas, pourrais-tu essayer sur une autre machine pour vérifier sur le CD a été correctemment brulé.

A+

verni29 · Answer

carinche69,

Embettant. je n'ai pas de réponse immédiates à te donner..
je vais aller demander conseil

Je ne serais pas présent avant le début de soirée.

Peux-tu faire la manip avec OTLPE sur un des deux autres postes ?
je voudrais vérifier une chose.

Poste le rapport obtenu.

A+

carinche69 · Answer

Re, Voici le rapport du PC n°3 (avec cjoint ce n'esp pas vraiment lisible) : OTL logfile created on: 5/26/2011 5:15:05 PM - Run OTLPE by OldTimer - Version 3.1.46.0 Folder = X:\Programs\OTLPE Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM Internet Explorer (Version = 8.0.6001.18702) Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy 2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 84.00% Memory free 2.00 Gb Paging File | 2.00 Gb Available in Paging File | 95.00% Paging File free Paging file location(s): C:\pagefile.sys 4092 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files Drive C: | 298.09 Gb Total Space | 270.11 Gb Free Space | 90.62% Space Free | Partition Type: NTFS Drive D: | 3.73 Gb Total Space | 2.52 Gb Free Space | 67.49% Space Free | Partition Type: FAT32 Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS Computer Name: REATOGO | User Name: SYSTEM Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days Using ControlSet: ControlSet001 [color=#E56717]========== Win32 Services (SafeList) ==========[/color] SRV - [2011/01/13 04:47:33 | 000,040,384 | ---- | M] (AVAST Software) [Auto] -- C:\Program Files\Alwil Software\Avast5\AvastSvc.exe -- (avast! Antivirus) SRV - [2011/01/05 06:59:50 | 000,037,664 | ---- | M] (Apple Inc.) [Auto] -- C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device) SRV - [2010/12/08 08:11:38 | 000,136,584 | ---- | M] (LogMeIn, Inc.) [Disabled] -- C:\Program Files\LogMeIn\x86\RaMaint.exe -- (LMIMaint) SRV - [2010/12/08 08:11:32 | 000,374,152 | ---- | M] (LogMeIn, Inc.) [Auto] -- C:\Program Files\LogMeIn\x86\LMIGuardianSvc.exe -- (LMIGuardianSvc) SRV - [2010/12/07 06:32:02 | 002,228,008 | ---- | M] (TeamViewer GmbH) [Auto] -- C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe -- (TeamViewer6) SRV - [2010/11/08 07:04:18 | 000,390,528 | ---- | M] (LogMeIn, Inc.) [Disabled] -- C:\Program Files\LogMeIn\x86\LogMeIn.exe -- (LogMeIn) SRV - [2009/10/16 09:00:28 | 000,085,096 | ---- | M] (Autodesk) [On_Demand] -- C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe -- (Autodesk Licensing Service) SRV - [2008/11/03 19:06:28 | 000,441,712 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv) SRV - [2008/01/16 03:46:24 | 000,030,312 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe -- (BcmSqlStartupSvc) SRV - [2006/12/23 11:54:04 | 000,262,144 | ---- | M] (Nero AG) [On_Demand] -- C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) SRV - [2006/10/26 08:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2006/10/26 07:40:34 | 000,335,872 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe -- (MDM) SRV - [2006/10/06 09:47:36 | 000,274,432 | ---- | M] (Data Perceptions / PowerProgrammer) [Auto] -- C:\WINDOWS\system32\WebUpdateSvc.exe -- (WebUpdate) [color=#E56717]========== Driver Services (SafeList) ==========[/color] DRV - File not found [Kernel | On_Demand] -- -- (WDICA) DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP) DRV - File not found [Kernel | System] -- -- (PCIDump) DRV - File not found [Kernel | System] -- -- (lbrtfdc) DRV - File not found [Kernel | System] -- -- (i2omgmt) DRV - File not found [Kernel | System] -- -- (Changer) DRV - [2011/01/13 04:41:16 | 000,294,608 | ---- | M] (AVAST Software) [Kernel | System] -- C:\WINDOWS\System32\drivers\aswSP.sys -- (aswSP) DRV - [2011/01/13 04:40:16 | 000,047,440 | ---- | M] (AVAST Software) [Kernel | System] -- C:\WINDOWS\System32\drivers\aswTdi.sys -- (aswTdi) DRV - [2011/01/13 04:40:04 | 000,100,176 | ---- | M] (AVAST Software) [File_System | Auto] -- C:\WINDOWS\System32\drivers\aswmon2.sys -- (aswMon2) DRV - [2011/01/13 04:37:30 | 000,023,632 | ---- | M] (AVAST Software) [Kernel | System] -- C:\WINDOWS\System32\drivers\aswRdr.sys -- (aswRdr) DRV - [2011/01/13 04:37:11 | 000,029,392 | ---- | M] (AVAST Software) [Kernel | System] -- C:\WINDOWS\System32\drivers\aavmker4.sys -- (Aavmker4) DRV - [2011/01/13 04:37:09 | 000,017,744 | ---- | M] (AVAST Software) [File_System | Auto] -- C:\WINDOWS\System32\drivers\aswFsBlk.sys -- (aswFsBlk) DRV - [2010/12/08 08:12:02 | 000,083,360 | ---- | M] (LogMeIn, Inc.) [File_System | Disabled] -- C:\WINDOWS\System32\LMIRfsClientNP.dll -- (LMIRfsClientNP) DRV - [2008/08/11 06:41:00 | 000,047,640 | ---- | M] (LogMeIn, Inc.) [File_System | Auto] -- C:\WINDOWS\system32\drivers\LMIRfsDriver.sys -- (LMIRfsDriver) DRV - [2008/08/11 06:41:00 | 000,012,856 | ---- | M] (LogMeIn, Inc.) [Kernel | Auto] -- C:\Program Files\LogMeIn\x86 ainfo.sys -- (LMIInfo) DRV - [2008/01/15 21:12:39 | 000,098,944 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) DRV - [2008/01/15 21:10:51 | 004,609,024 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2002/12/17 00:41:10 | 000,076,288 | ---- | M] (Rainbow Technologies, Inc.) [Kernel | Auto] -- C:\WINDOWS\System32\Drivers\SENTINEL.SYS -- (Sentinel) [color=#E56717]========== Standard Registry (SafeList) ==========[/color] [color=#E56717]========== Internet Explorer ==========[/color] IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\NetworkService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\pc_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl IE - HKU\pc_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = https://www.msn.com/fr-fr?ocid=iehp IE - HKU\pc_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = fr IE - HKU\pc_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 36 0F 1C DE 6A 0A CC 01 [binary data] IE - HKU\pc_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\pc_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local O1 HOSTS File: ([2008/06/22 03:03:56 | 000,000,812 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 192.168.1.11 nas200 O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Adobe ARM] C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avast5] C:\Program Files\Alwil Software\Avast5\avastUI.exe (AVAST Software) O4 - HKLM..\Run: [ISUSPM Startup] C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation) O4 - HKLM..\Run: [ISUSScheduler] C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation) O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [LogMeIn GUI] C:\Program Files\LogMeIn\x86\LogMeInSystray.exe (LogMeIn, Inc.) O4 - HKLM..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe (Nero AG) O4 - HKLM..\Run: [Network Drive Mapping Utility] C:\Program Files\Linksys\Network Storage\Network Drive Mapping Utility.exe () O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32 wiz.exe () O4 - HKU\pc_ON_C..\Run: [Network Drive Mapping Utility] C:\Program Files\Linksys\Network Storage\Network Drive Mapping Utility.exe () O4 - HKU\pc_ON_C..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O4 - HKU\pc_ON_C..\Run: [YouSendIt.exe] File not found O4 - Startup: C:\Documents and Settings\pc\Menu Démarrer\Programmes\Démarrage\DEMARREP.BAT () O4 - Startup: C:\Documents and Settings\pc\Menu Démarrer\Programmes\Démarrage\DEMARREQ.BAT () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\pc_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1211802250647 (MUWebControl Class) O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} http://download.eset.com/special/eos-beta/OnlineScanner.cab (OnlineScanner Control) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Program Files\Fichiers communs\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter ext/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\LMIinit: DllName - LMIinit.dll - C:\WINDOWS\System32\LMIinit.dll (LogMeIn, Inc.) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008/05/26 05:23:48 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2007/09/30 21:42:50 | 000,000,130 | ---- | M] () - D:\autorun.inf -- [ FAT32 ] O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* [color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color] [2011/05/26 02:21:42 | 001,431,344 | ---- | C] (Kaspersky Lab ZAO) -- C:\Documents and Settings\pc\Bureau\TDSSKiller.exe [2011/05/23 09:41:51 | 000,404,640 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl [2011/05/19 10:38:09 | 000,000,000 | ---D | C] -- C:\Documents and Settings\pc\Bureau\BOUIRA allégee [2011/05/17 06:26:47 | 000,000,000 | ---D | C] -- C:\Program Files\Ad-Remover [2011/05/12 06:13:12 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2011/05/12 06:03:31 | 000,000,000 | ---D | C] -- C:\Documents and Settings\pc\Application Data\YouSendIt [2011/05/12 06:02:13 | 000,000,000 | ---D | C] -- C:\Documents and Settings\pc\Application Data\GetRightToGo [2011/05/12 06:02:13 | 000,000,000 | ---D | C] -- C:\Documents and Settings\pc\Mes documents\Downloads [2011/05/06 05:37:01 | 000,000,000 | ---D | C] -- C:\WINDOWS\Minidump [2011/05/04 10:35:35 | 000,000,000 | ---D | C] -- C:\Program Files\ESET [6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [color=#E56717]========== Files - Modified Within 30 Days ==========[/color] [2011/05/26 09:58:27 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011/05/26 09:57:00 | 000,001,048 | ---- | M] () -- C:\WINDOWS asks\GoogleUpdateTaskMachineUA.job [2011/05/26 09:56:00 | 000,000,426 | -H-- | M] () -- C:\WINDOWS asks\User_Feed_Synchronization-{40B9F3FB-F8CB-47FA-B2D4-CF941F7A8F5D}.job [2011/05/26 05:56:08 | 000,177,348 | ---- | M] () -- C:\WINDOWS\System32 vapps.xml [2011/05/26 05:55:58 | 000,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011/05/26 05:55:43 | 000,001,044 | ---- | M] () -- C:\WINDOWS asks\GoogleUpdateTaskMachineCore.job [2011/05/26 05:55:43 | 000,000,372 | ---- | M] () -- C:\WINDOWS asks\Registry Reviver-pc-Startup.job [2011/05/25 01:10:16 | 001,431,344 | ---- | M] (Kaspersky Lab ZAO) -- C:\Documents and Settings\pc\Bureau\TDSSKiller.exe [2011/05/23 09:41:51 | 000,404,640 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl [2011/05/18 11:26:00 | 000,000,284 | ---- | M] () -- C:\WINDOWS asks\AppleSoftwareUpdate.job [2011/05/17 09:19:22 | 000,623,336 | ---- | M] () -- C:\Documents and Settings\pc\Bureau\FASTOVIS TH - Zn + Rd.mht [2011/05/17 09:15:02 | 000,004,823 | ---- | M] () -- C:\Documents and Settings\pc\Bureau\8055b9419e.jpg [2011/05/17 07:02:55 | 000,001,729 | ---- | M] () -- C:\Documents and Settings\pc\Application Data\Microsoft\Internet Explorer\Quick Launch\Adobe Reader 9.lnk [2011/05/17 06:26:47 | 000,001,554 | ---- | M] () -- C:\Documents and Settings\pc\Bureau\AD-R.lnk [2011/05/12 12:57:40 | 000,001,813 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\Google Chrome.lnk [2011/05/10 04:44:47 | 000,002,593 | ---- | M] () -- C:\Documents and Settings\pc\Application Data\Microsoft\Internet Explorer\Quick Launch\Microsoft Office Word 2007.lnk [2011/05/06 14:11:18 | 000,000,155 | ---- | M] () -- C:\Documents and Settings\pc\Mes documents\acadlt.err [2011/05/02 04:20:00 | 000,085,152 | ---- | M] () -- C:\fsysm.sys [2011/05/02 04:19:00 | 000,005,584 | ---- | M] () -- C:\fsysi.sys [2011/04/29 02:45:36 | 000,085,609 | ---- | M] () -- C:\Documents and Settings\pc\Bureau\Nettoyage PX.pdf [6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [color=#E56717]========== Files Created - No Company Name ==========[/color] [2011/05/17 09:19:21 | 000,623,336 | ---- | C] () -- C:\Documents and Settings\pc\Bureau\FASTOVIS TH - Zn + Rd.mht [2011/05/17 09:18:50 | 000,004,823 | ---- | C] () -- C:\Documents and Settings\pc\Bureau\8055b9419e.jpg [2011/05/17 07:02:55 | 000,001,729 | ---- | C] () -- C:\Documents and Settings\pc\Application Data\Microsoft\Internet Explorer\Quick Launch\Adobe Reader 9.lnk [2011/05/17 06:26:47 | 000,001,554 | ---- | C] () -- C:\Documents and Settings\pc\Bureau\AD-R.lnk [2011/05/06 14:11:18 | 000,000,155 | ---- | C] () -- C:\Documents and Settings\pc\Mes documents\acadlt.err [2011/05/04 10:53:06 | 000,000,426 | -H-- | C] () -- C:\WINDOWS asks\User_Feed_Synchronization-{40B9F3FB-F8CB-47FA-B2D4-CF941F7A8F5D}.job [2011/05/02 06:59:57 | 000,085,152 | ---- | C] () -- C:\fsysm.sys [2011/04/29 02:45:39 | 000,085,609 | ---- | C] () -- C:\Documents and Settings\pc\Bureau\Nettoyage PX.pdf [2011/01/17 06:56:49 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2011/01/17 06:45:41 | 000,090,112 | ---- | C] () -- C:\WINDOWS\PDX7UNST.EXE [2010/06/09 11:10:39 | 000,673,546 | ---- | C] () -- C:\WINDOWS\unins000.exe [2010/06/09 11:10:39 | 000,121,285 | ---- | C] () -- C:\WINDOWS\System32\uninstwuwservice.exe [2010/06/09 11:10:39 | 000,000,952 | ---- | C] () -- C:\WINDOWS\unins000.dat [2010/04/30 07:16:23 | 000,071,624 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat [2008/11/27 12:05:26 | 000,000,028 | ---- | C] () -- C:\WINDOWS\pdf995.ini [2008/11/27 12:00:07 | 000,000,060 | ---- | C] () -- C:\WINDOWS\wpd99.drv [2008/11/27 12:00:06 | 000,051,716 | ---- | C] () -- C:\WINDOWS\System32\pdf995mon.dll [2008/06/17 07:32:09 | 000,006,144 | ---- | C] () -- C:\Documents and Settings\pc\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008/06/17 03:23:17 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2008/05/31 07:08:10 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2008/05/28 04:32:10 | 000,000,167 | ---- | C] () -- C:\Documents and Settings\pc\default.pls [2008/05/26 08:35:07 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2008/05/26 08:21:08 | 000,000,125 | ---- | C] () -- C:\Documents and Settings\pc\Local Settings\Application Data\fusioncache.dat [2008/05/26 07:08:30 | 000,004,205 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2008/05/26 07:07:40 | 000,348,992 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2008/05/26 05:33:41 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\ChCfg.exe [2008/05/26 05:25:15 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2008/05/26 05:21:44 | 000,021,892 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2008/05/06 12:16:38 | 000,147,456 | R--- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4885.dll [2008/05/02 23:46:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32 vwdmcpl.dll [2008/05/02 23:46:00 | 001,630,208 | ---- | C] () -- C:\WINDOWS\System32 wiz.exe [2008/05/02 23:46:00 | 001,486,848 | ---- | C] () -- C:\WINDOWS\System32 view.dll [2008/05/02 23:46:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32 vdspsch.exe [2008/05/02 23:46:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32 vwimg.dll [2008/05/02 23:46:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32 vshell.dll [2008/05/02 23:46:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32 vappbar.exe [2008/05/02 23:46:00 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe [2008/05/02 23:46:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32 vnt4cpl.dll [2005/07/28 17:23:22 | 000,003,089 | ---- | C] () -- C:\WINDOWS\System32\SETUP.INI [2004/12/20 06:08:28 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll [2004/12/20 06:03:26 | 000,679,936 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll [2004/08/05 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2004/08/05 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2004/08/05 08:00:00 | 000,569,050 | ---- | C] () -- C:\WINDOWS\System32\perfh00C.dat [2004/08/05 08:00:00 | 000,491,938 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2004/08/05 08:00:00 | 000,322,810 | ---- | C] () -- C:\WINDOWS\System32\perfi00C.dat [2004/08/05 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2004/08/05 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2004/08/05 08:00:00 | 000,109,552 | ---- | C] () -- C:\WINDOWS\System32\perfc00C.dat [2004/08/05 08:00:00 | 000,090,628 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2004/08/05 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2004/08/05 08:00:00 | 000,034,108 | ---- | C] () -- C:\WINDOWS\System32\perfd00C.dat [2004/08/05 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2004/08/05 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2004/08/05 08:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2004/08/05 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin [2004/08/05 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32 oise.dat [2002/12/14 17:46:02 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\oggDS.dll [2002/12/14 17:46:02 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll [2002/12/14 17:46:02 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\ogg.dll [2002/12/14 16:46:04 | 000,921,600 | ---- | C] () -- C:\WINDOWS\System32\vorbisenc.dll [2002/11/15 08:11:26 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\MMSwitch.dll [2000/03/29 17:00:00 | 000,125,440 | ---- | C] () -- C:\WINDOWS\System32\UNZDLL.DLL [1999/10/23 13:29:44 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\UNRAR.DLL [1999/08/11 10:28:02 | 000,101,888 | ---- | C] () -- C:\WINDOWS\System32\LIBBZ2.DLL [1999/05/21 16:10:00 | 000,129,024 | ---- | C] () -- C:\WINDOWS\System32\ZIPDLL.DLL [1998/01/27 19:06:04 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\UNACE.DLL [color=#E56717]========== LOP Check ==========[/color] [2008/05/31 03:39:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\pc\Application Data\Autodesk [2011/05/12 06:03:41 | 000,000,000 | ---D | M] -- C:\Documents and Settings\pc\Application Data\GetRightToGo [2008/11/27 12:05:26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\pc\Application Data\pdf995 [2011/01/17 06:59:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\pc\Application Data\TeamViewer [2011/05/12 06:03:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\pc\Application Data\YouSendIt [2010/10/20 02:41:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Alwil Software [2009/10/16 08:46:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Autodesk [2011/01/18 03:42:26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\LogMeIn [2009/10/27 08:01:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\MSScanAppDataDir [2011/04/08 12:55:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\pdf995 [2010/04/12 07:12:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2011/05/26 05:55:43 | 000,000,372 | ---- | M] () -- C:\WINDOWS\Tasks\Registry Reviver-pc-Startup.job [2011/05/26 09:56:00 | 000,000,426 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{40B9F3FB-F8CB-47FA-B2D4-CF941F7A8F5D}.job [color=#E56717]========== Purity Check ==========[/color] [color=#E56717]========== Custom Scans ==========[/color] [color=#A23BEC]< %SYSTEMDRIVE%\*.exe >[/color] [color=#A23BEC]< MD5 for: AGP440.SYS >[/color] [2004/08/05 08:00:00 | 018,779,217 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys [2008/04/13 13:47:24 | 020,102,028 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys [2008/04/13 13:47:24 | 020,102,028 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys [2008/04/13 05:36:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys [2008/04/13 05:36:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys [color=#A23BEC]< MD5 for: ATAPI.SYS >[/color] [2004/08/05 08:00:00 | 018,779,217 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys [2008/04/13 13:47:24 | 020,102,028 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys [2008/04/13 13:47:24 | 020,102,028 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys [2008/04/13 05:40:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys [2008/04/13 05:40:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys [2004/08/03 16:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys [2004/08/05 08:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0005\DriverFiles\i386\atapi.sys [2004/08/03 16:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0006\DriverFiles\i386\atapi.sys [color=#A23BEC]< MD5 for: EVENTLOG.DLL >[/color] [2004/08/05 08:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=21E83876A6287F15538EF187D286FE11 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll [2008/04/13 13:33:26 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=4EC800BDF80521B0207BD2301DFC7D14 -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll [2008/04/13 13:33:26 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=4EC800BDF80521B0207BD2301DFC7D14 -- C:\WINDOWS\system32\eventlog.dll [color=#A23BEC]< MD5 for: EXPLORER.EXE >[/color] [2004/08/05 08:00:00 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=4C33E5B9A6197B6ED215F6CFBA0A2DAA -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe [2008/04/13 13:34:04 | 001,037,824 | ---- | M] (Microsoft Corporation) MD5=F2317622D29F9FF0F88AEECD5F60F0DD -- C:\WINDOWS\explorer.exe [2008/04/13 13:34:04 | 001,037,824 | ---- | M] (Microsoft Corporation) MD5=F2317622D29F9FF0F88AEECD5F60F0DD -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe [color=#A23BEC]< MD5 for: NETLOGON.DLL >[/color] [2008/04/13 13:33:36 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=04821179C3171554C1BD1F9888A113E2 -- C:\WINDOWS\ServicePackFiles\i386 etlogon.dll [2008/04/13 13:33:36 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=04821179C3171554C1BD1F9888A113E2 -- C:\WINDOWS\system32 etlogon.dll [2004/08/05 08:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=FAF07FDCDE76000621A28D19F8E2E8EB -- C:\WINDOWS\$NtServicePackUninstall$ etlogon.dll [color=#A23BEC]< MD5 for: NTOSKRNL.EXE >[/color] [2004/08/05 08:00:00 | 018,779,217 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:ntoskrnl.exe [2008/04/13 13:47:24 | 020,102,028 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:ntoskrnl.exe [2008/04/13 13:47:24 | 020,102,028 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:ntoskrnl.exe [2008/04/13 13:08:04 | 002,191,104 | ---- | M] (Microsoft Corporation) MD5=099D639DA1EF6968D4E41795BB507E6B -- C:\WINDOWS\ServicePackFiles\i386 toskrnl.exe [2010/02/16 15:00:44 | 002,192,128 | ---- | M] (Microsoft Corporation) MD5=126C8FD13731649A7CD6F0A311CD49B8 -- C:\WINDOWS\$hf_mig$\KB979683\SP3QFE toskrnl.exe [2010/04/28 01:17:40 | 002,192,128 | ---- | M] (Microsoft Corporation) MD5=220EFAF0106119F4A7CA598076EE14E6 -- C:\WINDOWS\$hf_mig$\KB981852\SP3QFE toskrnl.exe [2010/12/09 11:14:14 | 002,194,816 | ---- | M] (Microsoft Corporation) MD5=33698C8FAD37228407E62624C334DFE9 -- C:\WINDOWS\Driver Cache\i386 toskrnl.exe [2010/12/09 11:14:14 | 002,194,816 | ---- | M] (Microsoft Corporation) MD5=33698C8FAD37228407E62624C334DFE9 -- C:\WINDOWS\system32\dllcache toskrnl.exe [2010/12/09 11:15:06 | 002,194,816 | ---- | M] (Microsoft Corporation) MD5=360612511AA332B8D3AB295ACA0192CD -- C:\WINDOWS\$hf_mig$\KB2393802\SP3QFE toskrnl.exe [2004/08/05 08:00:00 | 002,150,400 | ---- | M] (Microsoft Corporation) MD5=36F32A5A83DF734E022734D93860A9A4 -- C:\WINDOWS\$NtServicePackUninstall$ toskrnl.exe [2009/08/04 13:27:57 | 002,147,328 | ---- | M] (Microsoft Corporation) MD5=4D22F47A3066B420A0F4612FC4E5A55F -- C:\WINDOWS\$NtUninstallKB977165-v2$ toskrnl.exe [2010/02/16 15:06:59 | 002,148,352 | ---- | M] (Microsoft Corporation) MD5=51534F39EEA63F0CD321C248D26514CF -- C:\WINDOWS\$NtUninstallKB981852$ toskrnl.exe [2009/08/04 13:22:24 | 002,191,360 | ---- | M] (Microsoft Corporation) MD5=63864AF70CAC631077A6C1223617336B -- C:\WINDOWS\$hf_mig$\KB971486\SP3QFE toskrnl.exe [2009/02/09 07:23:51 | 002,147,328 | ---- | M] (Microsoft Corporation) MD5=907C6FCD8D5FB812D74C204060911EA6 -- C:\WINDOWS\$NtUninstallKB971486$ toskrnl.exe [2009/12/09 06:08:59 | 002,147,328 | ---- | M] (Microsoft Corporation) MD5=9A1F766DA1B7822AF822F13BE0D7DC8B -- C:\WINDOWS\$NtUninstallKB979683$ toskrnl.exe [2009/12/10 00:02:16 | 002,191,360 | ---- | M] (Microsoft Corporation) MD5=9EC870EAB7D08695E59579C7AAC3B23D -- C:\WINDOWS\$hf_mig$\KB977165-v2\SP3QFE toskrnl.exe [2008/04/13 13:07:18 | 002,147,328 | ---- | M] (Microsoft Corporation) MD5=B10C36956EB7A8B1586DBE3B43875280 -- C:\WINDOWS\$NtUninstallKB956841$ toskrnl.exe [2010/04/28 01:43:45 | 002,148,352 | ---- | M] (Microsoft Corporation) MD5=B8A3B91AD2A266B6F53F0606503DEB2E -- C:\WINDOWS\$NtUninstallKB2393802$ toskrnl.exe [2009/02/10 13:16:44 | 002,191,232 | ---- | M] (Microsoft Corporation) MD5=BEF458B8424553279E95E250D1E0CE7E -- C:\WINDOWS\$hf_mig$\KB956572\SP3QFE toskrnl.exe [2008/08/14 13:26:02 | 002,191,232 | ---- | M] (Microsoft Corporation) MD5=D79210549BBF09B7638E860440504299 -- C:\WINDOWS\$hf_mig$\KB956841\SP3QFE toskrnl.exe [2008/08/14 09:23:44 | 002,147,328 | ---- | M] (Microsoft Corporation) MD5=E422F0930804A5D6E697E5D7DBFD9863 -- C:\WINDOWS\$NtUninstallKB956572$ toskrnl.exe [2010/12/09 11:14:10 | 002,150,912 | ---- | M] (Microsoft Corporation) MD5=E8DE6CA43363B663645AE4639F2F41D6 -- C:\WINDOWS\system32 toskrnl.exe [color=#A23BEC]< MD5 for: SCECLI.DLL >[/color] [2008/04/13 13:33:42 | 000,187,392 | ---- | M] (Microsoft Corporation) MD5=973B36634C544948C663E8269AA1B3A3 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll [2008/04/13 13:33:42 | 000,187,392 | ---- | M] (Microsoft Corporation) MD5=973B36634C544948C663E8269AA1B3A3 -- C:\WINDOWS\system32\scecli.dll [2004/08/05 08:00:00 | 000,186,368 | ---- | M] (Microsoft Corporation) MD5=DEC0397F35D027874804EC72979D03CC -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll [color=#A23BEC]< MD5 for: USERINIT.EXE >[/color] [2004/08/05 08:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D6D65EA32B190401B57EDB6706F29669 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe [2008/04/13 13:34:28 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=E74DDB12188C2FF57A78624DBF7332FC -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe [2008/04/13 13:34:28 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=E74DDB12188C2FF57A78624DBF7332FC -- C:\WINDOWS\system32\userinit.exe [color=#A23BEC]< MD5 for: WINLOGON.EXE >[/color] [2004/08/05 08:00:00 | 000,506,368 | ---- | M] (Microsoft Corporation) MD5=D2DE785AEAB0BB8CA4C14A8A199DBE4E -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe [2008/04/13 13:34:30 | 000,512,000 | ---- | M] (Microsoft Corporation) MD5=DD73D6B9F6B4CB630CF35B438B540174 -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe [2008/04/13 13:34:30 | 000,512,000 | ---- | M] (Microsoft Corporation) MD5=DD73D6B9F6B4CB630CF35B438B540174 -- C:\WINDOWS\system32\winlogon.exe [color=#A23BEC]< %systemroot%\*. /mp /s >[/color] [color=#A23BEC]< %systemroot%\system32\*.dll /lockedfiles >[/color] [2011/03/03 02:55:26 | 000,149,504 | ---- | M] (Microsoft Corporation)[b] Unable to obtain MD5[/b] -- C:\WINDOWS\system32\dnsapi.dll [2011/02/22 19:05:47 | 011,080,704 | ---- | M] (Microsoft Corporation)[b] Unable to obtain MD5[/b] -- C:\WINDOWS\system32\ieframe.dll [2011/02/22 19:05:47 | 001,991,680 | ---- | M] (Microsoft Corporation)[b] Unable to obtain MD5[/b] -- C:\WINDOWS\system32\iertutil.dll [2008/04/13 13:33:34 | 000,281,600 | ---- | M] (Microsoft Corporation)[b] Unable to obtain MD5[/b] -- C:\WINDOWS\system32\mstask.dll [2008/04/13 13:33:38 | 000,067,072 | ---- | M] (Microsoft Corporation)[b] Unable to obtain MD5[/b] -- C:\WINDOWS\system32 tdsapi.dll [2011/01/21 10:44:12 | 008,518,656 | ---- | M] (Microsoft Corporation)[b] Unable to obtain MD5[/b] -- C:\WINDOWS\system32\shell32.dll [6 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] [color=#A23BEC]< %systemroot%\Tasks\*.job /lockedfiles >[/color] < End of report > A+

verni29 · Answer

Carinche69,  

Merci pour ce rapport. 
Bon, pas de bamital ( en tout cas sur ce PC ). 

En attente d'avis. :-) 

EDIT : qu'on ne se trompe pas. On reste sur le PC dont on s'est occupé depuis le début.

Pour la manipulation suivante, il faudra à un moment utiliser la console de récupération.  
ComboFix l'a installée.   

Au démarrage du PC, tu dois avoir deux choix, démarrer Windows ou Démarrer avec la console de récupération.  

La manip suivante est un peu délicate. Imprime ou note les consignes .  

-------------------------------------------------------------------------  

1/ Télécharge Maxlook et sauvegarde-le sur ton Bureau.  
http://noahdfear.net/downloads/maxlook.exe  

# Double-clique sur maxlook.exe.  
Attention, cet outil ne doit être lancé qu'une seule fois  

# A la fin de l'analyse, il est demandé de redémarrer le PC. Fais-le.  

Redémarre le PC.  

2/ Choisis le démarrage avec la console de récupération.   

- choisis le repertoire de windows que tu as installé   
par exemple : 1 --> c:\windows   
- tape ensuite ceci :   

batch look.bat
Plusieurs fichiers vont être copiés en succession. ce sera rapide.  

# tape exit puis valide avec [Entrée]. Le PC va redémarrer.  

3/ Une fois sous Windows, connecte toi au net ( NECESSAIRE ).  
reviens sur la discussion pour copier le texte suivant.  

#   Démarrer -->  exécuter --> Copie/colle le texte suivant dans la fenêtre ouverte :  

"%userprofile%\bureau\maxlook.exe" -sig
# L'outil va ouvir une fenêtre pour se connecter à un site. Laisse l'outil finir l'analyse.  

Un rapport texte apparaîtra à l'écran, nommé looklog.txt.   
Colle le rapport dans ta réponse 

A+ 
Allez jusqu'au bout de la procédure de désinfection.

verni29 · Answer

Re, 

Au vu de ta réponse, tu n'as pas du arriver à cet écran après avoir démarré avec la console.
https://imageshack.com/

Tu peux reesayer tout de même.

-----------------------------------------------------

Bon, 

Quelques questions.

Quelle est ta configuration réseau ?
As-tu un routeur linksys pour ta connexion au net ?
Il y a peut être une infection sur ce routeur .

Pour la configuration des postes, tu le fais avec un CD ? 

-------------------------------------------------------

démarrer --> exécuter --> tape :

ipconfig /all>c:\ipconfig.txt

Un rapport ipconfig.txt sera crée à la racine de C:.
Poste le.

------------------------------------------------------

Mets à jour malwarebytes.
Fais un examen complet et poste le rapport.

Vu que OTl a été supprimé, refais la manip suivante et poste les deux rapports.
https://forums.commentcamarche.net/forum/affich-22073347-ouverture-page-internet-intempestive#9

A+

carinche69 · Answer

Salut,  

Je ne suis effectivement pas arrivée à l'écran que tu me dis... J'ai re-essayé la manip mais cela est toujours pareil.  

Pour répondre à ta question sur le réseau :   
on a un routeur linksys sur lequel sont branchés les 3 pc, la box internet et un boitier NAS.   
La config des postes a été faite à l'instal de tout ce petit monde, je pense que cela a été fait avec les cd d'instal puisque pour chaque PC j'ai des cd de windows. Ce n'est pas moi qui l'ai fait.
La commande ipconfig ne crée pas de rapport dans C si ce n'est le doc ci-dessous que j'ai trouvé en faisant une recherche : https://www.cjoint.com/?AEEoNXR18Fb  
   
Rapport Malwarbytes :   
https://www.cjoint.com/?AEEoCO4Knk4  

Les rapports OTL : 
https://www.cjoint.com/?AEEoVsOE0iI 
https://www.cjoint.com/?AEEoWgh8hb3 
  
A+

verni29 · Answer

Carinche69,   

Les rapports sont désespérement cleans.  

Merci pour les infos.  
Il est fort possible que ce soit la livebox qui soit infectée ( plutot que le routeur ).  
cela peut surprendre mais on a déjà vu des cas identiques.  
On va essayer de le vérifier.  

EDIT : je ne te l'avais pas encore demandé mais cela peut avoir une importance. 
Ton réseau, c'est bien dans le cadre d'une PME ? 

---------------------------------------------  

1/ Pour la commande ipconfig, réessaie la mais en ouvrant la fenêtre des commandes MS-Dos :  

démarrer --> exécuter --> tape cmd puis tape la commande avec ipconfig.  

Poste le fichier qui sera crée à la racine de C:\  

2/ relance ZHPDiag   

# Clique sur le bouton d'options ( avec le tournevis ).  
# Clique sur aucun puis sélectionne les lignes suivantes :  
- O1 hosts  
- 060 détournement DNS  
- 089 Recherche détournement de DNS routeur  
# Sans fermer cette fenêtre, clique sur la loupe pour lancer l'analyse.  
# Poste ta réponse.  

A+  
Allez jusqu'au bout de la procédure de désinfection.

carinche69 · Answer

Salut,  

Effectivement c'est bien dans le cadre d'une PME.

Ipconfig : https://www.cjoint.com/?AEFjlobjj0c 
Rapport ZHP Diag : https://www.cjoint.com/?AEFjrnZK162 
A+

verni29 · Answer

Re, 

Il faudrait réinitialiser la livebox pour vérifier si c'est bien lui qui est la cause de ces détournements.

--------------------------------------------------- 

Il existe un tuto pour le faire :
https://assistance.orange.fr/livebox-modem/toutes-les-livebox-et-modems/depanner/un-probleme-de-materiel/la-livebox-affiche-un-message-d-erreur/livebox-play-remettre-a-zero_19265-19420

Sur cette page, sélectionne ton modèle de livebox.

# Sur la page qui va s'ouvrir, il te faudra suivre les consignes pour réinitialiser la box.
Il te faut te munir de tes identifiants de connexion ( le fti\ et le mot de passe ), connecter un des PC en filaire à la box.
# Tu trouveras ensuite sur cette page un lien pour reconfigurer la Livebox après une remise à zéro

Consulte ces deux pages, imprime-les si besoin.

A+

verni29 · Answer

Carinche69, 

Tu vas en effet pouvoir vérifier pour les redirections.

------------------------------

J'ai remarqué également une infection sur les supports amovibles.
Un des trop PC était infecté et en utilisant la clé tu as infecté le PC qu'on désinfecte. 

Utilise USBFix sur le PC actuel. L'outil sera aussi à passer sur les autres PC.

Télécharge  USBFix  ( par El Desaparecido ) sur ton bureau.

* Double clique sur UsbFix.exe présent sur ton bureau .
* clique sur Recherche . 
* Un message t'avertira de brancher les supports amovibles. 

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
FAIS-LE.

* Laisse travailler l'outil.
* Ensuite post le rapport UsbFix.txt qui apparaitra.

 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

A+

carinche69 · Answer

Rapport USB FIx : https://www.cjoint.com/?AEFl4fQcoGd

verni29 · Answer

Re, 

relance USBFix.

* Double clic sur usbfix.exe présent sur ton bureau
* clique sur suppression.
* Un message t'avertira de brancher les supports amovibles. 
 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
FAIS-LE.
* Le bureau va disparaitre et ne sera plus accessible tout le temps du scan. C'est normal.
* Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

A+

carinche69 · Answer

Re,  

Rapport USBFIX : https://www.cjoint.com/?AEFolsDu8qN  
 

A+

verni29 · Answer

Re,  

C'est nickel. USBfix a nettoyé une des deux clés et vacciné les différents lecteurs partagés. 

Alors ?  
Toujours des redirections ? que ce soit google-analytics ou vers gomeo. 

A+ 
Allez jusqu'au bout de la procédure de désinfection.

carinche69 · Answer

Re,  

Ok pour les clés USB...  
A prioiri le problème est réglé. Je n'ai plus aucune redirection sur aucun des PC. Comment dirais-je.... MERCI!!  
C'était donc bien la live box...  
Peux-tu me conseiller sur les outils (payants ou non) à avoir pour sécuriser au mieux mon système?? Je suis entrain de lire le dossier sur la prévention que tu m'a conseillé.
Encore un grand MERCI pour ton aide.  
A+

verni29 · Answer

Carinche69, 

Excellente nouvelle.

On va déjà terminer avec le 1er PC.
On finira par les conseils si tu le veux bien.

--------------------------------

On va déjà enlever les outils utilisés.

    * Lance OTL et clique sur purge outils.
      Le PC va redémarrer pour supprimer l'outil et sa quarantaine.
    * lance Ad-Remover et USBfixet choisis leur option de désinstallation. 
    * Ouvre le panneau de configuration et désinstalle ZHPDiag.
    * Supprime les exécutables qu'il reste sur le bureau : maxlook, TFC, ...

----------------------------------

Nettoie correctement le PC en vidant les différents dossiers/fichiers temporaires.
Tu peux également faire une défragmentation du disque dur.

Et enfin faire un point de restauration propre.

---------------------------------

Il y avait un détournement DNS sur ce PC.
C'est une infection assez dangereuse car, comme tu le devines, il y avait une redirection du surf vers un serveur ukrainien.

C'est une des techniques utilisées pour le vol d'informations confidentielles.
Il n'y a peut-être rien et je t'alarme pour rien mais il vaut mieux être prudent.

Si vous consultez dans la PME des sites avec identification par mot de passe ( sites bancaires en autre ), je te conseillerais de vérifier si il n'y a pas de problème de ce côté. 
Il faudrait aussi changer ces mots de passe.

Je pense qu'il vaudrait mieux vérifier l'état des deux autres machines.

A+

verni29 · Answer

carinche69, 

On va vérifier un autre PC.
Fais la manip avec OTL comme dans le message suivant :
https://forums.commentcamarche.net/forum/affich-22073347-ouverture-page-internet-intempestive#9

poste les deux rapports.

A+

carinche69 · Answer

Salut,

Rapport OTL PC n°2: 
https://www.cjoint.com/?AFbqqzw49FX
https://www.cjoint.com/?AFbqrdEM2dY

A+

verni29 · Answer

carinche69, 

Pas grand chose à relever.
Un peu de nettoyage.

désinstalle pdfforge toolbar.
Lors de l'installation de cette barre d'outil, il y a eu l'installation de toute autre chose, un publiciel. 
Il était ausi présent sur le 1er PC.
C'est de plus en plus courant qu'il y a des installateurs qui embarquent d'autres produits qui eux ne sont pas très nets.

--------------------------------------------

Relance OTL 

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :   

:OTL
PRC - [2011/05/06 18:15:20 | 000,532,320 | ---- | M] (Spigot, Inc.) -- C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe
PRC - [2011/05/06 17:33:00 | 000,393,112 | ---- | M] (Spigot, Inc.) -- C:\Program Files\Application Updater\ApplicationUpdater.exe
SRV - [2011/05/06 17:33:00 | 000,393,112 | ---- | M] (Spigot, Inc.) [Auto | Running] -- C:\Program Files\Application Updater\ApplicationUpdater.exe -- (Application Updater)
IE - HKU\S-1-5-21-2704639424-773119264-972506294-1003\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.4\pdfforgeToolbarIE.dll (Spigot, Inc.)
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.4\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.4\pdfforgeToolbarIE.dll (Spigot, Inc.)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
O4 - HKLM..\RunOnceEx: [Title]  File not found
O33 - MountPoints2\{c972e7ac-8ef4-11dc-83b1-0019d1458033}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
O33 - MountPoints2\{e2afbfcc-930e-11de-85d4-0019d1458033}\Shell\AutoRun\command - "" = E:\memorybar.exe
O33 - MountPoints2\{f55c40f6-8e0e-11de-85d2-0019d1458033}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL NoLimit.exe
[2011/05/27 06:53:35 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Utilisateur\Application Data\Search Settings
[2011/05/27 06:53:31 | 000,000,000 | ---D | C] -- C:\Program Files\Fichiers communs\Spigot
[2011/05/27 06:53:31 | 000,000,000 | ---D | C] -- C:\Program Files\pdfforge Toolbar
[2011/05/27 06:53:31 | 000,000,000 | ---D | C] -- C:\Program Files\Application Updater

:Commands  
[Emptytemp]  
[Emptyflash]
*  Puis clique sur le bouton Correction en haut de la fenêtre.    
 * Laisse le programme travailler, le PC va redémarrer.    

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).     
sauvegarde-le sur ton Bureau et poste-le après redémarrage.    

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles    
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log 

---------------------------------------------------------

Deux analyses pour vérifier que le PC est propre.

Mets à jour Malwarebytes et lance un examen complet.
Poste le rapport.

Fais un scan en ligne avec Eset :
Tuto : https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32 

A+

carinche69 · Answer

Salut,

Désolé pour la réponse tardive. Week-end à rallonge!!
Rapport OTL PC n°3 : 
https://www.cjoint.com/?AFgjIAO5O5C
https://www.cjoint.com/?AFgjJio5fWe

Bon début de semaine.
A+

verni29 · Answer

carinche69, 

Pas de soucis pour les réponses. 
j'ai aussi profité de ce weekend.

------------------------------------------

Désinstalle Spybot - Search & Destroy
Inutile et dépassé par rapport aux infections actuelles.

-----------------------------------------

Les rapports sont propres.

Pour vérifier, effectue les deux analyses avec malwarebytes et le scan en ligne :

malwarebytes :
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

scan en ligne avec Eset :
Tuto : https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32 

Poste les rapports si ils trouvent des infections.

A+

carinche69 · Answer

Salut,

Malwarebytes à trouver qq chose : https://www.cjoint.com/?AFhkSvVxkvL
Je supprime??

A+

verni29 · Answer

Re,

c:\documents and settings\pc\local settings	emporary internet files\Content.IE5\1FF877FR\OTL[1].exe (Trojan.Dropper.PGen) -> No action taken. 
Surprenant. Malwarebytes a détecté OTL comme infectieux.
Sans doute sa localisation dans ce dossier temporaire.

Supprime-le.

As-tu fais le scan en ligne ?

A+

verni29 · Answer

OK, 

Bon. Cela doit être bon pour les PC.

Pour ces deux derniers, mêmes manips que pour le premier.
Clique sur OTL pour supprimer les outils utilisés.
Désinstalle, si il le faut , AD-Remover.
nettoyage des fichiers temporaires, défragmentation puis point de restauration.

-------------------------------------------------------

Si on récapitule ce qu'on a trouvé :
- des traces d'une ancienne infection vundo 
- TDSSKiller avait nettoyé une infection sérieuse.
- différents adwares ( searchsettings, eorezo, ... ) 
Attention à ces installateurs qui installent d'autres choses.
- des supports amovibles infectés.
- et un détournement DNS, bien plus dangereuse.
- et le cache DNS de la livebox infecté.

----------------------------------------------------------

Tu as lu l'article sur les différentes infections qui peuvent toucher un ordinateur.
Cela évolue tout le temps.

les risques sont réels. De plus en plus d'infections se véhiculent via des exploits , des codes javascript intégrés à des pages web.
Prudence lorsque tu surfes sur le web. 

Pour ma part, j'utilise Firefox qui est moins exposé qu'IE.
Si tu ajoutes des extensions comme Noscript, tu peux alors avoir un certain contrôle sur ton surf.
mais ce n'est pas une certitude.
La première protection, c'est celui qui se trouve derrière le clavier.

Avant tout, éviter les cracks, le P2P. je remarque que sur les PC sont installés ces logiciels de téléchargement. 
Les cracks, c'est le premier vecteur d'infection et pas des moindres.
renseigne toi sur bagle, virut pour t'en persuader.

----------------------------------------------------------------

Pour ta config réseau, 

Protège au maximum le wifi ( filtrage mac, ssid caché ). Tu dois y avoir accès via ta livebox.
vérifie également le niveau de protection du parefeu de la box ( moyen au minimum ).

Ton routeur, si je ne me trompe pas, ne te sert qu'à un partage et un travail des 3 PC en réseau. A distance, comme cela, difficile de le dire, mais tu pourrais faire du NAT en utilisant le routeur comme passerelle.
https://www.commentcamarche.net/contents/527-nat-translation-d-adresses-port-forwarding-et-port-triggering
cela sécuriserait encore plus ton réseau.

-----------------------------------------------------------

Au niveau logiciel, tu as fait le choix du gratuit.
Avast, à ce niveau, est bien placé. Bouclier web qui détecte les scripts java en autre.

Il est préconisé généralement un antivirus et un parefeu logiciel.
Seulement, les gens ne savent pas utiliser un parefeu logiciel comme Comodo, Zone Alarm ou Online Armor. 
Il faut mettre un niveau suffisant pour contrôler l'exécution des applications et c'est tellement incompréhensible que le parefeu est réglé à un niveau minimum.

Les 3 PC sont propres. Tu pourrais installer un tel parefeu et régler l'exécution des différentes applis. 
le Hic est que cela serait redondant avec Avast qui intègre certains modules d'un parefeu logiciel mais pas de protection HIPS.
IL y a peut être moyen de faire un filtrage IPS avec le routeur.

Tu peux garder Avast ( passe à la version 6 ) ou installer un AV comme Antivir et ajouter un parefeu.

Pour du payant, Kaspersky est, à mon avis, le must.
70 € les 3 licences, c'est un coût mais il a beaucoup de possibilités.
http://boutique.01net.com/qte.html?REF=737234

A+

Ouverture page internet intempestive

75 réponses

Discussions similaires