Trojan:Win32/Sirefef.O

Résolu/Fermé
PML - 28 oct. 2011 à 22:59
 PML - 1 nov. 2011 à 00:09
Bonjour,

Mon ordinateur est infecté par ce virus (problème de redirection sur Google notamment). J'ai déjà passé un certain nombre d'antivirus (Dummy Creator, TSSKiller, Malwarebytes, Atizeroaccess...), mais rien à faire, le virus est toujours là...

Est-ce que quelqu'un sait comment s'en débarrasser (sachant que je suis vraiment pas très douée en informatique....).

(J'ai Windows Vista pour info).

Merci d'avance pour votre aide !!!

PML
A voir également:

17 réponses

kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
28 oct. 2011 à 23:19
Bonsoir,

Les dernières variantes de cette infection sont assez récalcitrantes.
Et tu as déjà essayé pas mal de choses....As tu les DVD de Vista ?

Sauvegarde tes documents les plus importants.

Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!

Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme
● Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.

!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
(risque de plantage complet de l'ordinateur)

● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
● il est possible que ComboFix est besoin de redémarre l'ordinateur.
● Héberge le rapport et donne moi le lien.

!! Réactive les protections résidentes de ton PC !!

Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt

A +
0
Merci Kalimusic pour ta réponse. J'ai donc lancé Combofix il y a plus d'une demie-heure, mais j'ai pas l'impression que ça avance beaucoup (il affiche "Recherche de fichiers infectés", puis "le temps d'analyse... peut facilement doubler" mais rien d'autre).
Je vais le laisser toute la nuit. qu'en penses--tu ?

ps : je t'écris d'un autre ordinateur ;-)

PML
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
29 oct. 2011 à 00:30
Toute la nuit, non, mais le soucis maintenant c'est qu'il est très risqué d'arrêter cet outil. Tu vois les étapes qui s'incrémentent dans la fenêtre bleu ou pas ?

A +
0
non, il se passe rien, je sais que c'est complique de l arrêter maintenant, tu as une autre solution? :-S
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
29 oct. 2011 à 00:42
Bon, il faut l'arrêter alors.

C'est une 32 ou 64 bits ta version de Vista ?

A +
0
C'est 32, je l arrête alors et je le relancerai demain. J espère qu il va pas faire planter l ordi, tant pis :-(
0
J ai essaye de l arrêter, et il m'a montre un erreur du type.

ComboFix a détecté la présence d une activité de rootkit et a besoin de faire redémarrer le PC
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
29 oct. 2011 à 00:52
Ok autorise et laisse le faire.

A +
0
Finalement le rapport a été fait et mon ordinateur marche encore :-)

Voici le rapport (auquel je ne comprends pas grand chose...)

ComboFix 11-10-28.04 - Pia 29/10/2011 0:55.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.2939.2187 [GMT 2:00]
Lancé depuis: c:\users\Pia\Desktop\ComboFix.exe
AV: Lavasoft Ad-Watch Live! Anti-Virus *Disabled/Updated* {9FF26384-70D4-CE6B-3ECB-E759A6A40116}
AV: Panda Cloud Antivirus *Disabled/Updated* {86971480-9989-6750-B122-681A86518D59}
SP: Lavasoft Ad-Watch Live! *Disabled/Updated* {24938260-56EE-C1E5-047B-DC2BDD234BAB}
SP: Panda Cloud Antivirus *Disabled/Updated* {3DF6F564-BFB3-68DE-8B92-5368FDD6C7E4}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\$NtUninstallKB22875$
c:\windows\$NtUninstallKB22875$\2324442152\@
c:\windows\$NtUninstallKB22875$\2324442152\L\qnbwvoto
c:\windows\$NtUninstallKB22875$\2324442152\loader.tlb
c:\windows\$NtUninstallKB22875$\2324442152\U\@00000001
c:\windows\$NtUninstallKB22875$\2324442152\U\@000000c0
c:\windows\$NtUninstallKB22875$\2324442152\U\@000000cb
c:\windows\$NtUninstallKB22875$\2324442152\U\@000000cf
c:\windows\$NtUninstallKB22875$\2324442152\U\@80000000
c:\windows\$NtUninstallKB22875$\2324442152\U\@800000c0
c:\windows\$NtUninstallKB22875$\2324442152\U\@800000cb
c:\windows\$NtUninstallKB22875$\2324442152\U\@800000cf
c:\windows\$NtUninstallKB22875$\4056002049
c:\windows\1758069620
c:\windows\assembly\GAC_MSIL\desktop.ini
c:\windows\system32\
.
c:\windows\system32\drivers\cdrom.sys était absent
Copie restaurée à partir de - c:\windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_cdrom.inf_31bf3856ad364e35_6.0.6002.18005_none_6194d4eea0e93596\cdrom.sys
.
Une copie infectée de c:\program files\Panda Security\Panda Cloud Antivirus\PSANHost.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\combofix\HarddiskVolumeShadowCopy9_!Program Files!Panda Security!Panda Cloud Antivirus!PSANHost.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-09-28 au 2011-10-28 ))))))))))))))))))))))))))))))))))))
.
.
2011-10-28 23:09 . 2011-10-28 23:14 -------- d-----w- c:\users\Pia\AppData\Local\temp
2011-10-28 23:09 . 2011-10-28 23:09 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-10-28 23:09 . 2009-04-11 04:39 67072 ----a-w- c:\windows\system32\drivers\cdrom.sys
2011-10-28 20:29 . 2011-10-28 20:49 -------- d-----w- C:\tdsskiller
2011-10-28 19:57 . 2011-10-28 19:57 75264 ----a-w- c:\windows\system32\drivers\tsk1776.tmp
2011-10-28 19:55 . 2011-10-28 20:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-10-28 19:39 . 2011-10-18 00:28 6668624 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{E32B13BB-DE73-410F-AA3C-4A927A538C4C}\mpengine.dll
2011-10-27 23:03 . 2011-10-27 23:03 101720 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2011-10-27 23:03 . 2011-10-28 11:18 -------- d-----w- c:\program files\Spybot - Search & Destroy
2011-10-27 23:03 . 2011-10-27 23:24 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2011-10-27 22:58 . 2011-10-27 22:59 -------- d-----w- c:\users\Pia\AppData\Local\adaware
2011-10-27 22:58 . 2011-10-28 23:14 -------- d-----w- c:\programdata\Ad-Aware Browsing Protection
2011-10-27 22:58 . 2011-10-27 22:58 -------- d-----w- c:\program files\Toolbar Cleaner
2011-10-27 22:58 . 2011-10-27 22:58 -------- d-----w- c:\program files\adawaretb
2011-10-27 22:57 . 2011-10-27 14:03 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys
2011-10-27 22:57 . 2011-10-27 22:57 -------- dc----w- c:\windows\system32\DRVSTORE
2011-10-27 22:57 . 2011-10-27 22:57 -------- d-----w- c:\program files\Lavasoft
2011-10-27 22:57 . 2011-10-27 22:57 -------- d-----w- c:\programdata\Lavasoft
2011-10-27 22:23 . 2011-10-28 20:44 48016 --sha-w- c:\windows\system32\c_12931.nl_
2011-10-27 22:06 . 2011-10-27 22:06 -------- d-----w- c:\users\Pia\AppData\Roaming\Malwarebytes
2011-10-27 22:06 . 2011-10-27 22:06 -------- d-----w- c:\programdata\Malwarebytes
2011-10-27 22:06 . 2011-10-28 20:52 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-10-27 22:06 . 2011-08-31 15:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-10-26 19:53 . 2011-10-28 20:12 -------- d-sh--w- c:\users\Pia\AppData\Local\8a8c2c28
2011-10-24 17:42 . 2011-05-24 17:14 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-10-09 12:14 . 2011-10-09 12:14 -------- d-----w- c:\users\Pia\AppData\Roaming\Panda Security
2011-10-09 12:13 . 2011-10-09 12:13 -------- d-----w- c:\users\Pia\AppData\Local\panda2_0dn
2011-10-09 12:13 . 2011-10-28 23:14 -------- d-----w- c:\programdata\Panda Security URL Filtering
2011-10-09 12:12 . 2011-10-09 12:13 -------- d-----w- c:\program files\Panda Security
2011-10-09 12:12 . 2011-10-09 12:12 -------- d-----w- c:\programdata\Panda Security
2011-10-09 12:12 . 2011-10-23 18:18 -------- d-----w- C:\temp
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-28 20:44 . 2008-01-21 02:24 71680 ----a-w- c:\windows\system32\drivers\tdx.sys
2011-10-28 20:03 . 2008-01-21 02:23 35384 ----a-w- c:\windows\system32\drivers\kbdclass.sys
2011-10-28 18:52 . 2011-06-15 17:53 75264 ----a-w- c:\windows\system32\drivers\dfsc.sys
2011-10-27 22:26 . 2008-01-21 02:25 66560 ----a-w- c:\windows\system32\drivers\smb.sys
2011-10-27 22:20 . 2008-08-07 15:35 129632 ----a-w- c:\windows\system32\toddsrv.exe
2011-10-26 19:57 . 2008-08-07 15:14 9216 ----a-w- c:\windows\system32\agrsmsvc.exe
2011-08-21 15:44 . 2011-08-21 15:23 21361 ----a-w- c:\windows\system32\drivers\AegisP.sys
2011-08-01 11:23 . 2011-08-01 11:23 143624 ----a-w- c:\windows\system32\drivers\PSINAflt.sys
2011-09-29 07:16 . 2011-10-27 22:02 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6c97a91e-4524-4019-86af-2aa2d567bf5c}]
2011-10-21 09:10 87440 ----a-w- c:\program files\adawaretb\adawareDx.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}]
2011-06-24 17:37 86696 ----a-w- c:\program files\Panda Security\Panda Security Toolbar\PandaSecurityDx.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}"= "c:\program files\Panda Security\Panda Security Toolbar\PandaSecurityDx.dll" [2011-06-24 86696]
"{6c97a91e-4524-4019-86af-2aa2d567bf5c}"= "c:\program files\adawaretb\adawareDx.dll" [2011-10-21 87440]
.
[HKEY_CLASSES_ROOT\clsid\{b821bf60-5c2d-41eb-92dc-3e4ccd3a22e4}]
.
[HKEY_CLASSES_ROOT\clsid\{6c97a91e-4524-4019-86af-2aa2d567bf5c}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe" [2008-04-24 430080]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-12-06 1029416]
"NDSTray.exe"="NDSTray.exe" [BU]
"Toshiba TEMPO"="c:\program files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe" [2008-04-24 103824]
"topi"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-07-10 581632]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-06-25 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-06-25 170520]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-06-25 145944]
"RtHDVCpl"="RtHDVCpl.exe" [2008-04-08 6037504]
"Skytel"="Skytel.exe" [2007-11-20 1826816]
"TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2008-01-17 431456]
"SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2008-06-24 509816]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2008-05-09 716800]
"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaRegistration.exe" [2008-01-11 574864]
"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2008-04-29 417792]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"PSUNMain"="c:\program files\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" [2011-04-28 439616]
"Panda Security URL Filtering"="c:\programdata\Panda Security URL Filtering\Panda_URL_Filtering.exe" [2011-06-29 217256]
"Ad-Aware Browsing Protection"="c:\programdata\Ad-Aware Browsing Protection\adawarebp.exe" [2011-10-28 195984]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2011-08-31 1047208]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
TRDCReminder.lnk - c:\program files\TOSHIBA\TRDCReminder\TRDCReminder.exe [2008-3-5 393216]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
.
R0 02114038;02114038;c:\windows\system32\drivers\19476830.sys [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
S2 ConfigFree Service;ConfigFree Service;c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe [2011-10-27 42768]
.
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearch Bar = hxxp://g.msn.fr/0SEFRFR/SAOS02
uDefault_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA;
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA
IE: E&xportar a Microsoft Excel - e:\micros~1\OFFICE11\EXCEL.EXE/3000
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.254
FF - ProfilePath - c:\users\Pia\AppData\Roaming\Mozilla\Firefox\Profiles\hg12w1il.default\
.
- - - - ORPHELINS SUPPRIMES - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKCU-Run-ISUSPM - c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe
HKCU-Run-TomTomHOME.exe - c:\program files\TomTom HOME 2\TomTomHOMERunner.exe
HKLM-Run-cfFncEnabler.exe - cfFncEnabler.exe
HKLM-Run-Google EULA Launcher - c:\program files\Google\Google EULA\GoogleEULALauncher.exe
HKLM-Run-ICSDCLT - c:\windows\rundll32.exe
SafeBoot-02114038.sys
SafeBoot-62998502.sys
SafeBoot-84160017.sys
SafeBoot-88139419.sys
SafeBoot-88838691.sys
.
.
.
**************************************************************************
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
TOSCDSPD = c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe?/i?????v8?o9???P?<?x?<???<???<??
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés:
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DfsC]
"ImagePath"="system32\drivers\tsk1776.tmp"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(2064)
c:\programdata\Ad-Aware Browsing Protection\adawarebp.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Toshiba TEMPRO\TempoSVC.exe
c:\program files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
c:\windows\system32\TODDSrv.exe
c:\program files\TOSHIBA\Power Saver\TosCoSrv.exe
c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\program files\Spybot - Search & Destroy\SDWinSec.exe
c:\program files\TOSHIBA\SmartFaceV\SmartFaceVWatchSrv.exe
c:\windows\system32\conime.exe
c:\program files\TOSHIBA\ConfigFree\NDSTray.exe
c:\windows\RtHDVCpl.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\igfxext.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Heure de fin: 2011-10-29 01:19:10 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-10-28 23:19
.
Avant-CF: 18 183 118 848 octets libres
Après-CF: 18 032 037 888 octets libres
.
- - End Of File - - 446F60A07E83BD343EEEED92C1029D69
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
29 oct. 2011 à 09:28
Bonjour,

On a bien avancé, désinstalle ces logiciels obsolète et inefficace :
Ad-Adware et Spybot S&D
L'infection avait corrompu ton anti-virus Panda, on devra peut-être le réinstaller par la suite.
Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.

Télécharge OTL (de OldTimer) sur ton Bureau.

Ferme toutes tes applications en cours

● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

netsvcs 
/md5start
volsnap.*
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%temp%\smtmp\*.* /s
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\assembly\tmp\*.* /s 
hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
SAVEMBR:0 
CREATERESTOREPOINT 

● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://www.cijoint.fr/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

A +
0
Voila, j ai désinstallé les programmes mentionnes :-)

Voici les liens demandes

http://cjoint.com/?3JDt5wBf5M6 -> OTL.Txt

http://cjoint.com/?3JDuaiN3pxO -> Extras.Txt

Merci bcp pour ton aide :-)

p.s. je ne suis plus redirigée vers des sites bidons quand je fais un recherche dans google ;-)
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
29 oct. 2011 à 21:50
PML,

Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

:OTL
SRV - (RoxLiveShare9) --  File not found
SRV - (gupdatem) Service Google Update (gupdatem) --  File not found
SRV - (gupdate) Google Update Service (gupdate) --  File not found
DRV - (DfsC) -- C:\Windows\System32\drivers\tsk1776.tmp (Microsoft Corporation) 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.     
O3 - HKU\S-1-5-21-3453431966-1508245001-549088769-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.     
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present 
O9 - Extra Button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr File not found     
O9 - Extra Button: Amazon.fr - {8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/259-2669412-0293300?ie=UTF8&%3Bsite=home&link_code=hom&tag=Toshibafrbholink-21 File not found     
[2011/10/28 01:03:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy     
[2011/10/28 01:03:18 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy     
[2011/10/28 00:58:45 | 000,000,000 | ---D | C] -- C:\ProgramData\Ad-Aware Browsing Protection 
[2011/10/28 00:58:41 | 000,000,000 | ---D | C] -- C:\Program Files\Toolbar Cleaner 
[2011/10/26 21:53:20 | 000,000,000 | -HSD | C] -- C:\Users\Pia\AppData\Local\8a8c2c28 
[2 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ] 
[1 C:\Windows\System32\drivers\*.tmp files -> C:\Windows\System32\drivers\*.tmp -> ] 
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] 
[2011/10/28 22:44:55 | 000,048,016 | -HS- | M] () -- C:\Windows\System32\c_12931.nl_ 
[2011/10/16 00:28:04 | 000,000,000 | ---- | C] () -- C:\0x0304A000.sfl 

:Files
ipconfig /flushdns /c

:Commands 
[createrestorepoint]
[emptytemp]

● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)

2. Lance une analyse complète avec Malwarebytes, sans oublier de faire la mise à jour au préalable.

3. Héberge les 2 rapports de donne moi les liens.

4. Que reste t-il comme soucis apparents ?

A +
0
Salut Kalimusic

Je pense qu'il n'a plus de soucis, tout semble marche correctement, merci! :-)

Voila ci les dernier liens demandes

http://cjoint.com/?3JDxTAZVfrl -> 10292011_232549.log

http://cjoint.com/?3JEbAg9LgRL -> Malwarbytes log

Je pense que tout est correct maintenant no? tu penses quoi c toi l'expert :-)
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
30 oct. 2011 à 09:01
Bonjour,

Oui, je sais, tu n'es plus infecté. Mais ce genre d'infections fait parfois des dommages collatéraux pas forcement visibles sur les rapports.

1. Vérifie l'intégrité des fichiers avec la commande sfc /verifyonly
http://www.vista-xp.fr/forum/topic346.html

2. Télécharge Security Check (by screen317 ) sur ton Bureau.

● Double-clic sur l'icône SecurityCheck.exe
● Continue en appuyant sur une touche et patiente pendant l'analyse
● Le rapport checkup.txt doit s'ouvrir spontanément à la fin du scan.
● Copie/colle le rapport dans ton prochain message.


A +
0
Bonjour,

Voilà le dernier rapport que tu m'as demandé :

Results of screen317's Security Check version 0.99.24
Windows Vista Service Pack 1 x86 (UAC is enabled)
[url=http://support.microsoft.com/kb/935791][color=red][b]Out of date service pack!!/color/url/b
Internet Explorer 7 [color=red][b]Out of date!/b/color
[b]''''''''''''''''''''''''''''''
[u]Antivirus/Firewall Check:/u/b
[size=1]WMI entry may not exist for antivirus; attempting automatic update./size
[b]'''''''''''''''''''''''''''''''
[u]Anti-malware/Other Utilities Check:/u/b
Malwarebytes' Anti-Malware
Java(TM) 6 Update 6
[color=red][b]Out of date Java installed!/b/color
Adobe Flash Player ( 10.1.82.76) [b][color=red]Flash Player Out of Date!/color/b
Mozilla Firefox (x86 fr..)
[b]''''''''''''''''''''''''''''''''
Process Check:
[u]objlist.exe by Laurent/u/b
[b]''''''''''End of Log''''''''''''/b


Merci :-).
PML
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
31 oct. 2011 à 00:01
Bonsoir,

1. Désinstalle ComboFix comme indiqué

2. Lance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie du bas "Personnalisation", copie/colle:

:commands
[clearallrestorepoints]

● Clique sur le bouton Correction.

3. Relance OTL en tant qu'administrateur
● Clique sur le bouton Purge outils
● Clique ensuite sur OK dans la boite de dialogue qui t'invite à redémarrer le système.

4. Mise à jour de Windows et de IE via WindowsUpdate

5. Désinstalle les versions obsolètes de Java :

Java(TM) 6 Update 6 

6. Mises à jour de logiciels pouvant présenter des failles de sécurité.

● Télécharge et installe JRE 6 Update 29

● Télécharge et installe Adobe Flash Player 11.0.1.152

!! Décoche les cases proposant des logiciels partenaires pendant les installations !!

== == == == == == == == == == == == == == == == == == == == == ==

les choses simples qui font la différence

Maintenir Windows à jour

Maintenir les logiciels à jour avec Secunia OSI (merci australien)
Ou en utilisant leur logiciel Secunia Personal Software Inspector
Ou celui-ci : Update Checker

Ne pas surfer en droits administrateurs

Ne pas installer n'importe quel logiciel sur son PC (surtout via des liens publicitaires), toujours se renseigner avant. Les télécharger dans la mesure du possible sur le site de l'éditeur. Éviter d'installer les diverses barres d'outils ou de recherches, etc....proposées lors de l'installation.

Bannir les sites à risques (pornographiques, etc...) et les comportements à risques (P2P, cracks, warez....)

Ne pas cliquer aveuglement sur des liens contenus dans les e-mails, les messageries instantanées, les réseaux sociaux, etc ...même si l'expéditeur est connu et à plus forte raison s'il est inconnu ou suspect.

Utiliser un navigateur alternatif et le sécuriser (par exemple Firefox avec des modules complémentaires comme AdBlock, Noscript, WOT, etc...)

== == == == == == == == == == == == == == == == == == == == == ==

La sécurité de son PC, c'est quoi ? (par Malekal)

== == == == == == == == == == == == == == == == == == == == == ==

Bonne continuation
0
Merci pour tout ! J'ai suivi tous tes conseils, j'espère que ça va aller mais pour le moment tout fonctionne bien !
Bonne soirée et encore merci !
PML
0