Beaucoup de problèmes sur cet ordi : Virus ?
forzajuve38
Messages postés
21
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonsoir, Bonsoir.
L'autre jour, alors que je voulais éteindre mon ordinateur, un BSOD est apparu et depuis, systématiquement lorsque je redémarre, que j'éteins avec le menu démarré il apparait, je suis donc forcé a éteindre en appuyant sur le gros bouton
Je n'ai également plus accès au BIOS et je ne peux plus formater.
Je ne peux plus installer Windows Live messenger car il y aurais un probleme avec uune DLL que j'ai remplacé dans le dossier sstem32 et le dossier d'installation, mais le problème persiste doncje ne peux plus aller sur MSN
Je ne peux pas désinstaller Windows Live mail et toute la suite windows live car ils ne sont pas dans la liste d'installation d'ajouter/supprimer des programmes, je vous ai fait un rapport malwarebyte et combofix ci joint :
http://www.cijoint.fr/cjlink.php?file=cj201105/cijmCkJ306.txt ==> Rapport combofix
http://www.cijoint.fr/cjlink.php?file=cj201105/cijWm2qm3V.txt ==> Rapport Malwarebyte
http://www.cijoint.fr/cjlink.php?file=cj201105/cij3bP5OjW.txt ==> Rapport HijackThis
http://www.cijoint.fr/cjlink.php?file=cj201105/cij2WTiUa7.txt ==>Rapport ZHPScan
http://www.cijoint.fr/cjlink.php?file=cj201105/cij4HRxedn.txt ==> Rapport ZHPDiag
Ca m'ennuie pas mal, surtout que depuis 1 semaine a chaque fois que je lance le poste de travail ou autre pour "explorer" mes fichiers et trouver un fichier tel que de la musique ou autre, explorer.exe se met à planter
Pfiou, y'en a marre de ce PC tout cassé !
PS : je n'ai pas safari mais chrome :p
L'autre jour, alors que je voulais éteindre mon ordinateur, un BSOD est apparu et depuis, systématiquement lorsque je redémarre, que j'éteins avec le menu démarré il apparait, je suis donc forcé a éteindre en appuyant sur le gros bouton
Je n'ai également plus accès au BIOS et je ne peux plus formater.
Je ne peux plus installer Windows Live messenger car il y aurais un probleme avec uune DLL que j'ai remplacé dans le dossier sstem32 et le dossier d'installation, mais le problème persiste doncje ne peux plus aller sur MSN
Je ne peux pas désinstaller Windows Live mail et toute la suite windows live car ils ne sont pas dans la liste d'installation d'ajouter/supprimer des programmes, je vous ai fait un rapport malwarebyte et combofix ci joint :
http://www.cijoint.fr/cjlink.php?file=cj201105/cijmCkJ306.txt ==> Rapport combofix
http://www.cijoint.fr/cjlink.php?file=cj201105/cijWm2qm3V.txt ==> Rapport Malwarebyte
http://www.cijoint.fr/cjlink.php?file=cj201105/cij3bP5OjW.txt ==> Rapport HijackThis
http://www.cijoint.fr/cjlink.php?file=cj201105/cij2WTiUa7.txt ==>Rapport ZHPScan
http://www.cijoint.fr/cjlink.php?file=cj201105/cij4HRxedn.txt ==> Rapport ZHPDiag
Ca m'ennuie pas mal, surtout que depuis 1 semaine a chaque fois que je lance le poste de travail ou autre pour "explorer" mes fichiers et trouver un fichier tel que de la musique ou autre, explorer.exe se met à planter
Pfiou, y'en a marre de ce PC tout cassé !
PS : je n'ai pas safari mais chrome :p
A voir également:
- Beaucoup de problèmes sur cet ordi : Virus ?
- Ordi qui rame - Guide
- Comment reinitialiser un ordi - Guide
- Plus de son sur mon ordi - Guide
- Ordi scrabble - Télécharger - Jeux vidéo
- La camera de mon ordi ne fonctionne pas - Guide
52 réponses
bonsoir,
là, ça devient sérieux :P
Télecharge Delfix sur ton bureau :
*Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.
redemarre ton pc en mode sans echec avec la prise en charge du rédeau,
retélécharge Combofix et suis ceci :
* /!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux!
/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Avant d'utiliser ComboFix :
► ferme les fenêtres de tous les programmes en cours.
► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
là, ça devient sérieux :P
Télecharge Delfix sur ton bureau :
*Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.
redemarre ton pc en mode sans echec avec la prise en charge du rédeau,
retélécharge Combofix et suis ceci :
* /!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux!
/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Avant d'utiliser ComboFix :
► ferme les fenêtres de tous les programmes en cours.
► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Voici la premiere partie :
# DelFix v7.9B - Rapport créé le 24/05/2011 à 19:29
# Mis à jour le 22/05/11 à 14h par Xplode
# Système d'exploitation : Windows Vista (TM) Ultimate (32 bits) [version 6.0.6002] Service Pack 2
# Nom d'utilisateur : NICOLAS - PC-DE-NICOLAS (Administrateur)
# Exécuté depuis : C:\Users\NICOLAS\Downloads\delfix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
Supprimé : C:\Combofix
Supprimé : C:\Qoobox
Supprimé : C:\WORT
Supprimé : C:\Program Files\trend micro\Hijackthis
Non supprimé (1) : C:\Program Files\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hijackthis
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\ProgramData\open-config
~~~~~~ Fichier(s) ~~~~~~
Non supprimé (1) : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\TDSSKiller.2.4.8.0_17.11.2010_18.51.14_log.txt
Non supprimé (1) : C:\TDSSKiller.2.5.1.0_23.05.2011_20.30.41_log.txt
Non supprimé (1) : C:\ZHPExportRegistry-22-05-2011-19-25-14.txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\MBR.exe
Non supprimé (1) : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\sed.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Non supprimé (1) : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\zip.exe
Supprimé : C:\Users\NICOLAS\Desktop\ComboFix.exe
Supprimé : C:\Users\NICOLAS\Desktop\hijackthis.txt
Supprimé : C:\Users\NICOLAS\Desktop\WareOut Removal Tool.bat
Supprimé : C:\Users\NICOLAS\Desktop\ZHPDiag.txt
Supprimé : C:\Users\NICOLAS\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\NICOLAS\Downloads\tdsskiller.exe
Supprimé : C:\Users\NICOLAS\Downloads\WORT (1).exe
Supprimé : C:\Users\NICOLAS\Downloads\WORT.exe
Supprimé : C:\Users\NICOLAS\Downloads\ZHPDiag2.exe
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cfxxe
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
Clé Supprimée : HKCU\console_combofixbackup
ACL -> [F] & Clé Supprimée : HKLM\SOFTWARE\Swearware
~~~~~~ Autre ~~~~~~
-> Prefetch vidé
########## EOF - "C:\DelFixSuppr.txt" - [3168 octets] ##########
# DelFix v7.9B - Rapport créé le 24/05/2011 à 19:29
# Mis à jour le 22/05/11 à 14h par Xplode
# Système d'exploitation : Windows Vista (TM) Ultimate (32 bits) [version 6.0.6002] Service Pack 2
# Nom d'utilisateur : NICOLAS - PC-DE-NICOLAS (Administrateur)
# Exécuté depuis : C:\Users\NICOLAS\Downloads\delfix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
Supprimé : C:\Combofix
Supprimé : C:\Qoobox
Supprimé : C:\WORT
Supprimé : C:\Program Files\trend micro\Hijackthis
Non supprimé (1) : C:\Program Files\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hijackthis
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\ProgramData\open-config
~~~~~~ Fichier(s) ~~~~~~
Non supprimé (1) : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\TDSSKiller.2.4.8.0_17.11.2010_18.51.14_log.txt
Non supprimé (1) : C:\TDSSKiller.2.5.1.0_23.05.2011_20.30.41_log.txt
Non supprimé (1) : C:\ZHPExportRegistry-22-05-2011-19-25-14.txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\MBR.exe
Non supprimé (1) : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\sed.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Non supprimé (1) : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\zip.exe
Supprimé : C:\Users\NICOLAS\Desktop\ComboFix.exe
Supprimé : C:\Users\NICOLAS\Desktop\hijackthis.txt
Supprimé : C:\Users\NICOLAS\Desktop\WareOut Removal Tool.bat
Supprimé : C:\Users\NICOLAS\Desktop\ZHPDiag.txt
Supprimé : C:\Users\NICOLAS\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\NICOLAS\Downloads\tdsskiller.exe
Supprimé : C:\Users\NICOLAS\Downloads\WORT (1).exe
Supprimé : C:\Users\NICOLAS\Downloads\WORT.exe
Supprimé : C:\Users\NICOLAS\Downloads\ZHPDiag2.exe
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cfxxe
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
Clé Supprimée : HKCU\console_combofixbackup
ACL -> [F] & Clé Supprimée : HKLM\SOFTWARE\Swearware
~~~~~~ Autre ~~~~~~
-> Prefetch vidé
########## EOF - "C:\DelFixSuppr.txt" - [3168 octets] ##########
Bonsoir, voici le lien du rapport combofix, désolé de ma réponse tardive mais j'ai eu beaucoup de probleme avec celui ci...
http://www.cijoint.fr/cjlink.php?file=cj201105/cijg2WNcrl.txt
http://www.cijoint.fr/cjlink.php?file=cj201105/cijg2WNcrl.txt
bonjour,
relance Zhpdiag, clique sur la flèche verte pour lancer une mise à jour,
une fois la mise à jour términée,
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://dl.free.fr
ou :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.terafiles.net/
si ça ne passe pas en mode normal, passe en mode sans echec avec la prise en charge du réseau .
relance Zhpdiag, clique sur la flèche verte pour lancer une mise à jour,
une fois la mise à jour términée,
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://dl.free.fr
ou :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.terafiles.net/
si ça ne passe pas en mode normal, passe en mode sans echec avec la prise en charge du réseau .
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonsoir, j'ai bien suivi toutes vos étapes, je vous poste le rapport cijoint :)
http://www.cijoint.fr/cjlink.php?file=cj201105/cijCIIJH51.txt
PS : merci du temps que vous me consacrez
http://www.cijoint.fr/cjlink.php?file=cj201105/cijCIIJH51.txt
PS : merci du temps que vous me consacrez
bonjour,
i y a toujours le détournement de DNS !
* /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Télécharge Smitfraudfix : (merci a S!RI pour ce petit programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
/!\Utilisateur de Vista : Clique droit sur le logo de smithfarudfix, « exécuter en tant qu'Administrateur »
Exécute le, Double click sur Smitfraudfix.exe choisit l'option 1,
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
il va générer un rapport : copie/colle le sur le poste stp.
Tuto:http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm
Note :
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
i y a toujours le détournement de DNS !
* /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Télécharge Smitfraudfix : (merci a S!RI pour ce petit programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
/!\Utilisateur de Vista : Clique droit sur le logo de smithfarudfix, « exécuter en tant qu'Administrateur »
Exécute le, Double click sur Smitfraudfix.exe choisit l'option 1,
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
il va générer un rapport : copie/colle le sur le poste stp.
Tuto:http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm
Note :
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
SmitFraudFix v2.424
Scan done at 21:55:13,10, 26/05/2011
Run from C:\Users\NICOLAS\Downloads\SmitfraudFix
OS: Microsoft Windows [version 6.0.6002] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\System32\ZoneLabs\vsmon.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\NVIDIA Corporation\Display\NvXDSync.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Microsoft\BingBar\SeaPort.EXE
C:\PROGRA~1\SQUEEZ~1\server\Bin\MSWIN3~1\mysqld.exe
C:\Windows\system32\svchost.exe
C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Windows Media Player\WMPSideShowGadget.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\Logitech Gaming Software\LCore.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Steam\Steam.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Squeezebox\SqueezeTray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\SLUI.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\svchost.exe
C:\Windows\ehome\ehmsas.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Logitech Gaming Software\plugins\LCDAppletsMono-1.00.027\Applets\x86\LCDClock.exe
C:\Program Files\Logitech Gaming Software\plugins\LCDAppletsColor-1.00.027\Applets\x86\LCDYT.exe
C:\Program Files\Logitech Gaming Software\plugins\LCDAppletsMono-1.00.027\Applets\x86\LCDPop3.exe
C:\Program Files\Common Files\Steam\SteamService.exe
c:\program files\windows defender\MpCmdRun.exe
C:\Users\NICOLAS\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\NICOLAS\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\NICOLAS\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\NICOLAS\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\NICOLAS\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\rundll32.exe
C:\Users\NICOLAS\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\NICOLAS\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\NICOLAS\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\NICOLAS\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\zabkat\xplorer2\xplorer2_uc.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows
»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\NICOLAS
»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\NICOLAS\AppData\Local\Temp
»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\NICOLAS\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\NICOLAS\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{E31004D1-A431-41B8-826F-E902F9D95C81}"="Windows DreamScene"
[HKEY_CLASSES_ROOT\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32]
@="%SystemRoot%\System32\DreamScene.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32]
@="%SystemRoot%\System32\DreamScene.dll"
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"RequireSignedAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"
»»»»»»»»»»»»»»»»»»»»»»»» RK
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: NVIDIA nForce Networking Controller
DNS Server Search Order: 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4396C8C4-E465-4D37-9CA9-E6C65AAFBA61}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{525AD30E-731C-4EFB-A046-10DB51087824}: DhcpNameServer=10.5.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{572314A4-62DD-4ABE-968F-A191B9BC8CF4}: DhcpNameServer=10.1.3.10 208.67.220.220 10.1.3.10 88.191.90.195
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4396C8C4-E465-4D37-9CA9-E6C65AAFBA61}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{525AD30E-731C-4EFB-A046-10DB51087824}: DhcpNameServer=10.5.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{572314A4-62DD-4ABE-968F-A191B9BC8CF4}: DhcpNameServer=10.1.3.10 208.67.220.220 10.1.3.10 88.191.90.195
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4396C8C4-E465-4D37-9CA9-E6C65AAFBA61}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4396C8C4-E465-4D37-9CA9-E6C65AAFBA61}: NameServer=85.255.112.114,85.255.112.115
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.112.114,85.255.112.115
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
Scan done at 21:55:13,10, 26/05/2011
Run from C:\Users\NICOLAS\Downloads\SmitfraudFix
OS: Microsoft Windows [version 6.0.6002] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\System32\ZoneLabs\vsmon.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\NVIDIA Corporation\Display\NvXDSync.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Microsoft\BingBar\SeaPort.EXE
C:\PROGRA~1\SQUEEZ~1\server\Bin\MSWIN3~1\mysqld.exe
C:\Windows\system32\svchost.exe
C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Windows Media Player\WMPSideShowGadget.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\Logitech Gaming Software\LCore.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Steam\Steam.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Squeezebox\SqueezeTray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\SLUI.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\svchost.exe
C:\Windows\ehome\ehmsas.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Logitech Gaming Software\plugins\LCDAppletsMono-1.00.027\Applets\x86\LCDClock.exe
C:\Program Files\Logitech Gaming Software\plugins\LCDAppletsColor-1.00.027\Applets\x86\LCDYT.exe
C:\Program Files\Logitech Gaming Software\plugins\LCDAppletsMono-1.00.027\Applets\x86\LCDPop3.exe
C:\Program Files\Common Files\Steam\SteamService.exe
c:\program files\windows defender\MpCmdRun.exe
C:\Users\NICOLAS\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\NICOLAS\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\NICOLAS\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\NICOLAS\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\NICOLAS\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\rundll32.exe
C:\Users\NICOLAS\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\NICOLAS\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\NICOLAS\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\NICOLAS\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\zabkat\xplorer2\xplorer2_uc.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows
»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\NICOLAS
»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\NICOLAS\AppData\Local\Temp
»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\NICOLAS\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\NICOLAS\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{E31004D1-A431-41B8-826F-E902F9D95C81}"="Windows DreamScene"
[HKEY_CLASSES_ROOT\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32]
@="%SystemRoot%\System32\DreamScene.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32]
@="%SystemRoot%\System32\DreamScene.dll"
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"RequireSignedAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"
»»»»»»»»»»»»»»»»»»»»»»»» RK
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: NVIDIA nForce Networking Controller
DNS Server Search Order: 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4396C8C4-E465-4D37-9CA9-E6C65AAFBA61}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{525AD30E-731C-4EFB-A046-10DB51087824}: DhcpNameServer=10.5.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{572314A4-62DD-4ABE-968F-A191B9BC8CF4}: DhcpNameServer=10.1.3.10 208.67.220.220 10.1.3.10 88.191.90.195
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4396C8C4-E465-4D37-9CA9-E6C65AAFBA61}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{525AD30E-731C-4EFB-A046-10DB51087824}: DhcpNameServer=10.5.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{572314A4-62DD-4ABE-968F-A191B9BC8CF4}: DhcpNameServer=10.1.3.10 208.67.220.220 10.1.3.10 88.191.90.195
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4396C8C4-E465-4D37-9CA9-E6C65AAFBA61}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4396C8C4-E465-4D37-9CA9-E6C65AAFBA61}: NameServer=85.255.112.114,85.255.112.115
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.112.114,85.255.112.115
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
bonjour,
redemarre ton pc en mode sans echec avec la prise en charge du réseau,
relance Smithfraudfix, en option 4 (mise à jour), puis en option 5, poste son rapport
@++
redemarre ton pc en mode sans echec avec la prise en charge du réseau,
relance Smithfraudfix, en option 4 (mise à jour), puis en option 5, poste son rapport
@++
SmitFraudFix v2.424
Rapport fait à 13:36:06,47, 29/05/2011
Executé à partir de C:\Users\NICOLAS\Downloads\SmitfraudFix
OS: Microsoft Windows [version 6.0.6002] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{E31004D1-A431-41B8-826F-E902F9D95C81}"="Windows DreamScene"
[HKEY_CLASSES_ROOT\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32]
@="%SystemRoot%\System32\DreamScene.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32]
@="%SystemRoot%\System32\DreamScene.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4396C8C4-E465-4D37-9CA9-E6C65AAFBA61}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{525AD30E-731C-4EFB-A046-10DB51087824}: DhcpNameServer=10.5.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{572314A4-62DD-4ABE-968F-A191B9BC8CF4}: DhcpNameServer=10.1.3.10 208.67.220.220 10.1.3.10 88.191.90.195
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4396C8C4-E465-4D37-9CA9-E6C65AAFBA61}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{525AD30E-731C-4EFB-A046-10DB51087824}: DhcpNameServer=10.5.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{572314A4-62DD-4ABE-968F-A191B9BC8CF4}: DhcpNameServer=10.1.3.10 208.67.220.220 10.1.3.10 88.191.90.195
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4396C8C4-E465-4D37-9CA9-E6C65AAFBA61}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4396C8C4-E465-4D37-9CA9-E6C65AAFBA61}: NameServer=85.255.112.114,85.255.112.115
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.112.114,85.255.112.115
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» RK.2
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{E31004D1-A431-41B8-826F-E902F9D95C81}"="Windows DreamScene"
[HKEY_CLASSES_ROOT\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32]
@="%SystemRoot%\System32\DreamScene.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32]
@="%SystemRoot%\System32\DreamScene.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Fin
désolé de la réponse tardive
Rapport fait à 13:36:06,47, 29/05/2011
Executé à partir de C:\Users\NICOLAS\Downloads\SmitfraudFix
OS: Microsoft Windows [version 6.0.6002] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{E31004D1-A431-41B8-826F-E902F9D95C81}"="Windows DreamScene"
[HKEY_CLASSES_ROOT\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32]
@="%SystemRoot%\System32\DreamScene.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32]
@="%SystemRoot%\System32\DreamScene.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4396C8C4-E465-4D37-9CA9-E6C65AAFBA61}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{525AD30E-731C-4EFB-A046-10DB51087824}: DhcpNameServer=10.5.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{572314A4-62DD-4ABE-968F-A191B9BC8CF4}: DhcpNameServer=10.1.3.10 208.67.220.220 10.1.3.10 88.191.90.195
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4396C8C4-E465-4D37-9CA9-E6C65AAFBA61}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{525AD30E-731C-4EFB-A046-10DB51087824}: DhcpNameServer=10.5.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{572314A4-62DD-4ABE-968F-A191B9BC8CF4}: DhcpNameServer=10.1.3.10 208.67.220.220 10.1.3.10 88.191.90.195
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4396C8C4-E465-4D37-9CA9-E6C65AAFBA61}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4396C8C4-E465-4D37-9CA9-E6C65AAFBA61}: NameServer=85.255.112.114,85.255.112.115
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.112.114,85.255.112.115
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» RK.2
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{E31004D1-A431-41B8-826F-E902F9D95C81}"="Windows DreamScene"
[HKEY_CLASSES_ROOT\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32]
@="%SystemRoot%\System32\DreamScene.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32]
@="%SystemRoot%\System32\DreamScene.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Fin
désolé de la réponse tardive
bonjour,
redemarre ton pc,
relance zhpdiag, clique sur la flèche verte pour lancer la mise à jour de l'outil,
une fois la mise à jour términée :
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://dl.free.fr
ou :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.terafiles.net/
redemarre ton pc,
relance zhpdiag, clique sur la flèche verte pour lancer la mise à jour de l'outil,
une fois la mise à jour términée :
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://dl.free.fr
ou :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.terafiles.net/
tu as trop de toolbars sur ton pc, sache qu'ils ne sont pas obligatoires !
plus de trace de détournement de DNS :-)
télécharge et enregistre ce fichier sur ton bureau ;
http://www.cijoint.fr/cjlink.php?file=cj201105/cijIubF9xt.txt
* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
fais un glisser/ Déposer du fichier dans la fenêtre de zhpfix.
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
plus de trace de détournement de DNS :-)
télécharge et enregistre ce fichier sur ton bureau ;
http://www.cijoint.fr/cjlink.php?file=cj201105/cijIubF9xt.txt
* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
fais un glisser/ Déposer du fichier dans la fenêtre de zhpfix.
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Bonjour, voici le rapport : Rapport de ZHPFix 1.12.3286 par Nicolas Coolman, Update du 23/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-30-05-2011-06-45-15.txt
Run by NICOLAS at 30/05/2011 06:45:15
Windows Vista Ultimate Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Logiciel(s) ==========
O42 - Logiciel: Widestream6 - (.Secure Digital Services.) [HKLM][64Bits] -- {835525BE-63BD-4EC4-9425-00CEAD4849C2} => Logiciel absent
O42 - Logiciel: iMesh - (.iMesh Inc..) [HKLM][64Bits] -- {8FB495A1-4A3F-4C1D-BD27-3F3AB2E66763} => Logiciel absent
========== Clé(s) du Registre ==========
HKCU\Software\AppDataLow\Software\PriceGong => Clé absente
HKCU\Software\AppDataLow\Software\imeshmediabartb => Clé absente
HKCU\Software\OfferBox => Clé absente
HKCU\Software\WideStream => Clé absente
HKLM\Software\OfferBox => Clé absente
HKLM\Software\OpenCandy NSIS SDK => Clé absente
HKLM\Software\widestream => Clé absente
HKCR\imweb.imwebcontrol => Clé absente
HKCR\nctaudiocdwriter2.audiocdwriter2 => Clé absente
HKCR\nctaudiocdwriter2.audiocdwriter2.1 => Clé absente
HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\ForceRenive => Clé absente
HKLM\Software\Classes\AppID\iMesh.exe => Clé absente
HKLM\Software\Classes\AppID\SoftwareUpdate.exe => Clé absente
HKLM\Software\Wow6432Node\Classes\AppID\SoftwareUpdate.exe => Clé absente
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} => Clé absente
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} => Clé absente
HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{872F3C0B-4462-424c-BB9F-74C6899B9F92} => Clé absente
HKCR\AppID\{969D2C61-9B16-407c-86B7-397BF4579BE6} => Clé absente
HKLM\Software\Classes\AppID\{969D2C61-9B16-407c-86B7-397BF4579BE6} => Clé absente
HKLM\Software\Wow6432Node\Classes\AppID\{969D2C61-9B16-407c-86B7-397BF4579BE6} => Clé absente
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} => Clé absente
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} => Clé absente
HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom => Clé absente
HKLM\Software\Wow6432Node\OfferBox => Clé absente
HKLM\Software\Wow6432Node\OpenCandy NSIS SDK => Clé absente
HKLM\Software\Wow6432Node\WideStream => Clé absente
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{835525BE-63BD-4EC4-9425-00CEAD4849C2} => Clé absente
========== Valeur(s) du Registre ==========
{DB60C3FF-40AD-4FA3-8CB9-F5EEBF1AF55E} => Valeur absente
{B65C7BC0-6033-429D-A6F5-EBFE08CFF703} => Valeur absente
{20BBC2E2-A5C3-477A-8CE6-E765BDC58B84} => Valeur absente
{B71F78B3-51AD-4EBA-B960-A73296B43194} => Valeur absente
{919AFEC7-44FC-405F-9C29-7FB4411AB874} => Valeur absente
{0E0B6DC6-0EA0-4FE6-B4F8-0B4E385EC9F5} => Valeur absente
{29C7D45C-0F7D-46AD-AA23-273E7BFDB41C} => Valeur absente
{73B366A2-5E11-4A62-8E5A-CA10F1D53B03} => Valeur absente
{63988D98-B449-460D-A18F-B0C7BD6BB5AA} => Valeur absente
{F43E44A5-41BA-45ED-8ED7-CFE249EF3342} => Valeur absente
[HKLM\Software\Mozilla\Firefox\Extensions]:widestream6@spointer.com => Valeur absente
========== Dossier(s) ==========
C:\Users\michel et claudine\AppData\Roaming\OfferBox => Dossier absent
C:\Users\michel et claudine\AppData\Roaming\widestream => Dossier absent
C:\Users\michel et claudine\Appdata\Local\widestream6 Air => Dossier absent
C:\Program Files (x86)\OfferBox => Dossier absent
Dossiers temporaires Windows supprimés: 99
========== Fichier(s) ==========
c:\programdata\microsoft\windows\start menu\programs\widestream6 => Fichier absent
c:\users\michel et claudine\appdata\roaming\offerbox => Fichier absent
c:\users\michel et claudine\appdata\roaming\widestream => Fichier absent
c:\users\michel et claudine\appdata\local\widestream6 air => Fichier absent
c:\users\michel et claudine\appdata\locallow\pricegong => Fichier absent
c:\documents and settings\michel et claudine\local settings\application data\widestream6 air => Fichier absent
c:\program files (x86)\offerbox => Fichier absent
Fichiers temporaires Windows supprimés : 26
========== Tache planifiée ==========
Task : {00151F31-3A68-4307-9FB3-B688D6E24B95} => Tache absente
Task : {3403E525-C560-4C0D-908B-A6774C0D1AE8} => Tache absente
Task : {447DA6C8-CFA2-4AB3-A307-572781D68B06} => Tache absente
========== Récapitulatif ==========
27 : Clé(s) du Registre
11 : Valeur(s) du Registre
5 : Dossier(s)
8 : Fichier(s)
2 : Logiciel(s)
3 : Tache planifiée
End of the scan
J'ai encore desproblèmes persistants :
- à chaque démarrage, un fichier nommé "desktop.ini" s'execute tout seul sans que je le veuille
- NOD32 est détécté sur mon PC, or je l'ai supprimé depuis belle lurette
- je crois bien qu'il y ai toujours un détournement de DNS : "Erreur 105 (net::ERR_NAME_NOT_RESOLVED) : Impossible de résoudre l'adresse DNS du serveur."
Fichier d'export Registre : C:\ZHPExportRegistry-30-05-2011-06-45-15.txt
Run by NICOLAS at 30/05/2011 06:45:15
Windows Vista Ultimate Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Logiciel(s) ==========
O42 - Logiciel: Widestream6 - (.Secure Digital Services.) [HKLM][64Bits] -- {835525BE-63BD-4EC4-9425-00CEAD4849C2} => Logiciel absent
O42 - Logiciel: iMesh - (.iMesh Inc..) [HKLM][64Bits] -- {8FB495A1-4A3F-4C1D-BD27-3F3AB2E66763} => Logiciel absent
========== Clé(s) du Registre ==========
HKCU\Software\AppDataLow\Software\PriceGong => Clé absente
HKCU\Software\AppDataLow\Software\imeshmediabartb => Clé absente
HKCU\Software\OfferBox => Clé absente
HKCU\Software\WideStream => Clé absente
HKLM\Software\OfferBox => Clé absente
HKLM\Software\OpenCandy NSIS SDK => Clé absente
HKLM\Software\widestream => Clé absente
HKCR\imweb.imwebcontrol => Clé absente
HKCR\nctaudiocdwriter2.audiocdwriter2 => Clé absente
HKCR\nctaudiocdwriter2.audiocdwriter2.1 => Clé absente
HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\ForceRenive => Clé absente
HKLM\Software\Classes\AppID\iMesh.exe => Clé absente
HKLM\Software\Classes\AppID\SoftwareUpdate.exe => Clé absente
HKLM\Software\Wow6432Node\Classes\AppID\SoftwareUpdate.exe => Clé absente
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} => Clé absente
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} => Clé absente
HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{872F3C0B-4462-424c-BB9F-74C6899B9F92} => Clé absente
HKCR\AppID\{969D2C61-9B16-407c-86B7-397BF4579BE6} => Clé absente
HKLM\Software\Classes\AppID\{969D2C61-9B16-407c-86B7-397BF4579BE6} => Clé absente
HKLM\Software\Wow6432Node\Classes\AppID\{969D2C61-9B16-407c-86B7-397BF4579BE6} => Clé absente
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} => Clé absente
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} => Clé absente
HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom => Clé absente
HKLM\Software\Wow6432Node\OfferBox => Clé absente
HKLM\Software\Wow6432Node\OpenCandy NSIS SDK => Clé absente
HKLM\Software\Wow6432Node\WideStream => Clé absente
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{835525BE-63BD-4EC4-9425-00CEAD4849C2} => Clé absente
========== Valeur(s) du Registre ==========
{DB60C3FF-40AD-4FA3-8CB9-F5EEBF1AF55E} => Valeur absente
{B65C7BC0-6033-429D-A6F5-EBFE08CFF703} => Valeur absente
{20BBC2E2-A5C3-477A-8CE6-E765BDC58B84} => Valeur absente
{B71F78B3-51AD-4EBA-B960-A73296B43194} => Valeur absente
{919AFEC7-44FC-405F-9C29-7FB4411AB874} => Valeur absente
{0E0B6DC6-0EA0-4FE6-B4F8-0B4E385EC9F5} => Valeur absente
{29C7D45C-0F7D-46AD-AA23-273E7BFDB41C} => Valeur absente
{73B366A2-5E11-4A62-8E5A-CA10F1D53B03} => Valeur absente
{63988D98-B449-460D-A18F-B0C7BD6BB5AA} => Valeur absente
{F43E44A5-41BA-45ED-8ED7-CFE249EF3342} => Valeur absente
[HKLM\Software\Mozilla\Firefox\Extensions]:widestream6@spointer.com => Valeur absente
========== Dossier(s) ==========
C:\Users\michel et claudine\AppData\Roaming\OfferBox => Dossier absent
C:\Users\michel et claudine\AppData\Roaming\widestream => Dossier absent
C:\Users\michel et claudine\Appdata\Local\widestream6 Air => Dossier absent
C:\Program Files (x86)\OfferBox => Dossier absent
Dossiers temporaires Windows supprimés: 99
========== Fichier(s) ==========
c:\programdata\microsoft\windows\start menu\programs\widestream6 => Fichier absent
c:\users\michel et claudine\appdata\roaming\offerbox => Fichier absent
c:\users\michel et claudine\appdata\roaming\widestream => Fichier absent
c:\users\michel et claudine\appdata\local\widestream6 air => Fichier absent
c:\users\michel et claudine\appdata\locallow\pricegong => Fichier absent
c:\documents and settings\michel et claudine\local settings\application data\widestream6 air => Fichier absent
c:\program files (x86)\offerbox => Fichier absent
Fichiers temporaires Windows supprimés : 26
========== Tache planifiée ==========
Task : {00151F31-3A68-4307-9FB3-B688D6E24B95} => Tache absente
Task : {3403E525-C560-4C0D-908B-A6774C0D1AE8} => Tache absente
Task : {447DA6C8-CFA2-4AB3-A307-572781D68B06} => Tache absente
========== Récapitulatif ==========
27 : Clé(s) du Registre
11 : Valeur(s) du Registre
5 : Dossier(s)
8 : Fichier(s)
2 : Logiciel(s)
3 : Tache planifiée
End of the scan
J'ai encore desproblèmes persistants :
- à chaque démarrage, un fichier nommé "desktop.ini" s'execute tout seul sans que je le veuille
- NOD32 est détécté sur mon PC, or je l'ai supprimé depuis belle lurette
- je crois bien qu'il y ai toujours un détournement de DNS : "Erreur 105 (net::ERR_NAME_NOT_RESOLVED) : Impossible de résoudre l'adresse DNS du serveur."
bonjour,
le fichier Desktop.ini est dans les processus ?
sur ton dernier rapport, je n'ai pas revu de détournement de DNS !
redemarre ton pc, relance zhpdiag, clique sur la flèche verte pour alncer une mise à jour,
clique sur la loupe pour lancer une mise à jour,
enregistre le rapport et héberge le sur cijoint, copie et colle le lien ici, on verra ce que c'est !
le fichier Desktop.ini est dans les processus ?
sur ton dernier rapport, je n'ai pas revu de détournement de DNS !
redemarre ton pc, relance zhpdiag, clique sur la flèche verte pour alncer une mise à jour,
clique sur la loupe pour lancer une mise à jour,
enregistre le rapport et héberge le sur cijoint, copie et colle le lien ici, on verra ce que c'est !
Bonjour,
concernement le détournement, ca dépend des fois en fait, ca peux me le faire dans 5 minutes comme dans une heure
concernant desktop.ini, je n'ai aucune trace dans les processus, cependant voici ce que ca met : "
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
"
après j'aurais un problème avec UXcore.dll comme je l'avais dit au tout début car je n'ai plus aucun logicil de la suite windows live qui fonctionne...
http://www.cijoint.fr/cjlink.php?file=cj201105/cijo5Jj9Bo.txt
concernement le détournement, ca dépend des fois en fait, ca peux me le faire dans 5 minutes comme dans une heure
concernant desktop.ini, je n'ai aucune trace dans les processus, cependant voici ce que ca met : "
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
"
après j'aurais un problème avec UXcore.dll comme je l'avais dit au tout début car je n'ai plus aucun logicil de la suite windows live qui fonctionne...
http://www.cijoint.fr/cjlink.php?file=cj201105/cijo5Jj9Bo.txt
* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie et colle les lignes suivantes en gras dans Zhpfix :
----------------------------------------------------------
O17 - HKLM\System\CS3\Services\Tcpip\..\{4396C8C4-E465-4D37-9CA9-E6C65AAFBA61}: NameServer = 85.255.112.114,85.255.112.115
MBRFIX
----------------------------------------------------------
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :
http://www.premiumorange.com/zeb-help-process/zhpfix.html
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie et colle les lignes suivantes en gras dans Zhpfix :
----------------------------------------------------------
O17 - HKLM\System\CS3\Services\Tcpip\..\{4396C8C4-E465-4D37-9CA9-E6C65AAFBA61}: NameServer = 85.255.112.114,85.255.112.115
MBRFIX
----------------------------------------------------------
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :
http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
O17 - HKLM\System\CS3\Services\Tcpip\..\{4396C8C4-E465-4D37-9CA9-E6C65AAFBA61}: NameServer = 85.255.112.114,85.255.112.115 => Clé absente
========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: WDC_WD2000JD-60KLB0 rev.08.05J08 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-4
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x86B201F8]<<
1 ntkrnlpa!IofCallDriver[0x83A82912] -> \Device\Harddisk0\DR0[0x86D6F300]
3 CLASSPNP[0x8B9CF8B3] -> ntkrnlpa!IofCallDriver[0x83A82912] -> [0x86BB7918]
5 acpi[0x8B1376BC] -> ntkrnlpa!IofCallDriver[0x83A82912] -> \Device\Ide\IdeDeviceP4T0L0-4[0x86B88030]
\Driver\atapi[0x86B6CA80] -> IRP_MJ_CREATE -> 0x86B201F8
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi -> 0x86b201f8
user & kernel MBR OK
Warning: possible MBR rootkit infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: WDC_WD2000JD-60KLB0 rev.08.05J08 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-4
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x86B201F8]<<
1 ntkrnlpa!IofCallDriver[0x83A82912] -> \Device\Harddisk0\DR0[0x86D6F300]
3 CLASSPNP[0x8B9CF8B3] -> ntkrnlpa!IofCallDriver[0x83A82912] -> [0x86BB7918]
5 acpi[0x8B1376BC] -> ntkrnlpa!IofCallDriver[0x83A82912] -> \Device\Ide\IdeDeviceP4T0L0-4[0x86B88030]
\Driver\atapi[0x86B6CA80] -> IRP_MJ_CREATE -> 0x86B201F8
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi -> 0x86b201f8
user & kernel MBR OK
Warning: possible MBR rootkit infection !
========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Master Boot Record
End of the scan
O17 - HKLM\System\CS3\Services\Tcpip\..\{4396C8C4-E465-4D37-9CA9-E6C65AAFBA61}: NameServer = 85.255.112.114,85.255.112.115 => Clé absente
========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: WDC_WD2000JD-60KLB0 rev.08.05J08 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-4
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x86B201F8]<<
1 ntkrnlpa!IofCallDriver[0x83A82912] -> \Device\Harddisk0\DR0[0x86D6F300]
3 CLASSPNP[0x8B9CF8B3] -> ntkrnlpa!IofCallDriver[0x83A82912] -> [0x86BB7918]
5 acpi[0x8B1376BC] -> ntkrnlpa!IofCallDriver[0x83A82912] -> \Device\Ide\IdeDeviceP4T0L0-4[0x86B88030]
\Driver\atapi[0x86B6CA80] -> IRP_MJ_CREATE -> 0x86B201F8
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi -> 0x86b201f8
user & kernel MBR OK
Warning: possible MBR rootkit infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: WDC_WD2000JD-60KLB0 rev.08.05J08 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-4
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x86B201F8]<<
1 ntkrnlpa!IofCallDriver[0x83A82912] -> \Device\Harddisk0\DR0[0x86D6F300]
3 CLASSPNP[0x8B9CF8B3] -> ntkrnlpa!IofCallDriver[0x83A82912] -> [0x86BB7918]
5 acpi[0x8B1376BC] -> ntkrnlpa!IofCallDriver[0x83A82912] -> \Device\Ide\IdeDeviceP4T0L0-4[0x86B88030]
\Driver\atapi[0x86B6CA80] -> IRP_MJ_CREATE -> 0x86B201F8
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi -> 0x86b201f8
user & kernel MBR OK
Warning: possible MBR rootkit infection !
========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Master Boot Record
End of the scan
bonjour,
Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe
/!\Utilisateur de Vista : Clique droit sur le logo de MBR, « exécuter en tant qu'Administrateur »
Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
Si c'est le cas, continue comme ça :
Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
Réactive tes protections
Poste ce rapport et supprimes-le ensuite.
Pour vérifier
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Relance mbr.exe
Réactive tes protections.
Le nouveau mbr.log devrait être celui-ci :
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
* Télécharge Dr Web CureIt sur ton Bureau :
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
- Double clique <drweb-cureit.exe> et ensuite clique sur <Analyse>;
- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
- De retour à la fenêtre principale : clique pour activer <Analyse complète>
- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
- Ferme Dr.Web Cureit
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse
Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe
/!\Utilisateur de Vista : Clique droit sur le logo de MBR, « exécuter en tant qu'Administrateur »
Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
Si c'est le cas, continue comme ça :
Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
Réactive tes protections
Poste ce rapport et supprimes-le ensuite.
Pour vérifier
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Relance mbr.exe
Réactive tes protections.
Le nouveau mbr.log devrait être celui-ci :
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
* Télécharge Dr Web CureIt sur ton Bureau :
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
- Double clique <drweb-cureit.exe> et ensuite clique sur <Analyse>;
- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
- De retour à la fenêtre principale : clique pour activer <Analyse complète>
- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
- Ferme Dr.Web Cureit
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse
Bonjour, j'ai eu
Le nouveau mbr.log devrait être celui-ci :
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
du premier coup, mais dweb ne marche pas sur mon PC, il plante sans cesse...
Le nouveau mbr.log devrait être celui-ci :
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
du premier coup, mais dweb ne marche pas sur mon PC, il plante sans cesse...
bonjour,
Comment va le pc ?
relance Zhpdiag, clique sur la flèche verte pour lancer une mise à jour,
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://dl.free.fr
ou :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.terafiles.net/
Comment va le pc ?
relance Zhpdiag, clique sur la flèche verte pour lancer une mise à jour,
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://dl.free.fr
ou :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.terafiles.net/
