Infections par des troyens - Demande de vérif

Question

Bonjour,
J'ai récemment été infecté par divers troyens dont Hupigon et Mohbpork, je requiers donc votre aide pour me dire si d'autres petites bestioles indésirables se promènent dans mon pc.
Un autre problème que je vous explique également ici (je ne sais pas si je dois créer un autre sujet ?) est lorsque je fais un scan avec PestPatrol, il m'indique que SystemDoctor 2006 est présent mais ce fichier est impossible à effacer.
Je colle donc ci-dessous les rapports de HijackThis et de F-Secure Blacklight.

Merci d'avance.

Logfile of HijackThis v1.99.1
Scan saved at 00:00:46, on 16/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
D:\Logiciels\blbeta.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWSeminder\fsc-reminder.exe 2453489 14
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.downloadcontrol.com/files/installers/cab/SystemDoctor2006FreeInstall_fr.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - https://www.afternic.com/domains/drivecleaner.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by15fd.bay15.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://62.16.100.201/activex/AxisCamControl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{32F474EF-AB1F-4B93-8B40-500E20BE65A5}: NameServer = 85.255.115.78,85.255.112.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D6BD165-F2E0-429B-BB88-84B188D0BE3F}: NameServer = 85.255.115.78,85.255.112.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{8884133F-5A99-4B98-A873-D560433077C2}: NameServer = 85.255.115.78,85.255.112.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB345175-FBA9-4469-8DAB-B729DEB3B8D6}: NameServer = 85.255.115.78,85.255.112.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9E7CB72-291F-4F86-A6ED-C389D94E4AF6}: NameServer = 85.255.115.78,85.255.112.176
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.78 85.255.112.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.78 85.255.112.176
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: navdqu - navdqu.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe


-------------------------------------------------------------------

11/15/06 23:45:54 [Info]: BlackLight Engine 1.0.47 initialized
11/15/06 23:45:54 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/15/06 23:45:54 [Note]: 7019 4
11/15/06 23:45:54 [Note]: 7005 0
11/15/06 23:45:55 [Note]: 7006 0
11/15/06 23:45:55 [Note]: 7011 2032
11/15/06 23:45:55 [Note]: 7026 0
11/15/06 23:45:55 [Note]: 7026 0
11/15/06 23:45:57 [Note]: FSRAW library version 1.7.1020

Utilisateur anonyme · Answer

Bonjour

Rien avec BlackLight.
Tu reste sur ce sujet pour SystemDoctor 

On commence avec la première infection.


Télécharge FixWareout de l'un de ces deux liens :
http://downloads.subratam.org/Fixwareout.exe
https://www.bleepingcomputer.com/download/linux/

Sauvegarde-le sur ton Bureau, puis lance-le.
Clique Next, puis Install, et assure-toi que "Run fixit" soit coché, puis clique Finish.
Suis les directives à l'écran.
L'outil va te demander de redémarrer ton PC; fais-le s'il te plaît.
Le redémarrage risque de prendre un peu plus de temps; ceci est normal.

Lorsque redémarré, un fichier texte apparaîtra (report.txt); copie/colle ce rapport dans ta prochaine réponse.

Renomme HijackThis.exe en Scanner.exe. Ensuite, fais un scan et postes le rapport.

Fab272 · Answer

Salut,
Tout d'abord merci pour ton aide si rapide.
J'ai fait ce que tu m'as demandé et première chose (en rapport ou non ?) ma page d'acceuil Internet explorer vient de passer du blanc à celle de msn.fr. Normal ?

Voici les 2 logs :


Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please 
 
Reg Entries that were deleted 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM 
...
 
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
 
»»»»» Searching by size/names... 
 
»»»»» 
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\DMGOG.EXE       60 990 2004-08-10
 
Other suspects.
Directory of C:\WINDOWS\system32
 
»»»»» Misc files. 
 
»»»»» Checking for older varients covered by the Rem3 tool.




-----------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 04:17:44, on 16/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\HijackThis\Scanner.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWSeminder\fsc-reminder.exe 2453489 14
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.downloadcontrol.com/files/installers/cab/SystemDoctor2006FreeInstall_fr.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - https://www.afternic.com/domains/drivecleaner.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by15fd.bay15.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://62.16.100.201/activex/AxisCamControl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{32F474EF-AB1F-4B93-8B40-500E20BE65A5}: NameServer = 85.255.115.78,85.255.112.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D6BD165-F2E0-429B-BB88-84B188D0BE3F}: NameServer = 85.255.115.78,85.255.112.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{8884133F-5A99-4B98-A873-D560433077C2}: NameServer = 85.255.115.78,85.255.112.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB345175-FBA9-4469-8DAB-B729DEB3B8D6}: NameServer = 85.255.115.78,85.255.112.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9E7CB72-291F-4F86-A6ED-C389D94E4AF6}: NameServer = 85.255.115.78,85.255.112.176
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.78 85.255.112.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.78 85.255.112.176
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: navdqu - navdqu.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

Voilà encore merci et à bientôt.

Fab272 · Answer

Bon et puis Internet rame beaucoup aussi. Pas mal de pages "non affichable". Normal ?

Utilisateur anonyme · Answer

Bonjour

On continue le ménage. Quand le PC sera propre, on verra ce que donne la connection.

Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les  manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer

1 Télécharge 
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

AVG Anti-Spyware
https://www.avg.com/en-ww/free-antivirus-download
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente.

clean.zip 
http://www.malekal.com/download/clean.zip 
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

2 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows. 
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

3 Relance un scan HijackThis et coche les lignes ci-dessous :

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll 
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osboot  
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll 
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll 
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) 
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) 
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.downloadcontrol.com/ 
O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - https://www.afternic.com/domains/drivecleaner.com 
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab 
O17 - HKLM\System\CCS\Services\Tcpip\..\{32F474EF-AB1F-4B93-8B40-500E20BE65A5}: NameServer = 85.255.115.78,85.255.112.176 
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D6BD165-F2E0-429B-BB88-84B188D0BE3F}: NameServer = 85.255.115.78,85.255.112.176 
O17 - HKLM\System\CCS\Services\Tcpip\..\{8884133F-5A99-4B98-A873-D560433077C2}: NameServer = 85.255.115.78,85.255.112.176 
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB345175-FBA9-4469-8DAB-B729DEB3B8D6}: NameServer = 85.255.115.78,85.255.112.176 
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9E7CB72-291F-4F86-A6ED-C389D94E4AF6}: NameServer = 85.255.115.78,85.255.112.176 
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.78 85.255.112.176 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.78 85.255.112.176 
O20 - Winlogon Notify: navdqu - navdqu.dll (file missing) 

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

4 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\WINDOWS\SYSTEM32\DMGOG.EXE 

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

6 Lance le nettoyage avec CCleaner

7 Lance Lance AVG Anti-Spyware
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas. 
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

8 Ouvre le dossier Clean qui se trouve sur ton bureau, et double-clic sur clean.cmd.
Une fenêtre noire va apparaître pendant un instant, laisse la ouverte. 

9 Redémarre normalement

Poste un nouveau log HijackThis avec le rapport d'AVG Anti-Spyware et le rapport qui se trouve ici C:apport_clean.txt

Fab272 · Answer

Salut,
Il est tard et je pense que les scans vont prendre pas mal de temps donc je ferai ça demain soir (vendredi soir).
Fause alerte pour la connexion Internet qui marche très bien, juste un petit ralentissement hier.
Aussi curieux que cela puisse paraître, je ne peux pas redémarrer en mode sans échec à partir de la touche F8 (ou F5), cela m'envoie dans le BIOS, c'est tout sans aucune option de redémarrage sans échec. Cela pose-t-il un problème si je redémarre en mode sans échec à partir de l'utilitaire de configuration système (msconfig) en cochant la case /SAFEBOOT ?
Merci encore pour ton aide.
A demain.

Fab272 · Answer

Petit problème ! Lorsque j'essaye d'ouvrir le fichier clean, mon antivirus détecte un virus : SPR/Tool.PsKill.2
De même sur https://virusscan.jotti.org/ :

AntiVir  Found SecurityPrivacyRisk/Tool.PsKill.2 riskware  
ArcaVir  Found Riskware.Risktool.Pskill.K  
Avast  Found nothing 
AVG Antivirus  Found nothing 
BitDefender  Found nothing 
ClamAV  Found nothing 
Dr.Web  Found Tool.ProcessKill.7  
F-Prot Antivirus  Found nothing 
F-Secure Anti-Virus  Found not-a-virus:RiskTool.Win32.PsKill.k (6, 2, 611)  
Fortinet  Found HackerTool/PSKill  
Kaspersky Anti-Virus  Found not-a-virus:RiskTool.Win32.PsKill.k  
NOD32  Found nothing 
Norman Virus Control  Found nothing 
VirusBuster  Found nothing 
VBA32  Found nothing

Utilisateur anonyme · Answer

Bonjour

Ce n'est pas un fichier infectieux.
Mais c'est un processus qui peut être utilisé par des créateurs de malware. Ce qui explique la réaction des antivirus.

Désactive temporairement le tien le temps de l'utilisation de cet utilitaire.
A faire hors connection.

Utilisateur anonyme · Answer

Bonjour

As tu bien fait la manip hors connection ?

Toutes les lignes indiquées ne provoquent pas ce genre de dysfonctionnement. Mais l'infection, oui.

Recommence la manip avec Fixwareout.
Poste son rapport avec un nouveau HijackThis.

Fab272 · Answer

Bonsoir,
J'ai tout suivi à la lettre et hors connexion.
Je viens de repasser Fixwareout et comme la première fois cela m'a changé ma page d'accueil Internet Explorer en msn.fr (http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome exactement). Normal ?

Voici les logs :


Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please 
 
Reg Entries that were deleted 
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM 
...
 
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
 
»»»»» Searching by size/names... 
 
»»»»» 
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
 
Other suspects.
Directory of C:\WINDOWS\system32
 
»»»»» Misc files. 
 
»»»»» Checking for older varients covered by the Rem3 tool.

-------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 22:06:28, on 19/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\HijackThis\Scanner.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2453489 14
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by15fd.bay15.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://62.16.100.201/activex/AxisCamControl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{32F474EF-AB1F-4B93-8B40-500E20BE65A5}: NameServer = 85.255.115.78,85.255.112.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D6BD165-F2E0-429B-BB88-84B188D0BE3F}: NameServer = 85.255.115.78,85.255.112.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{8884133F-5A99-4B98-A873-D560433077C2}: NameServer = 85.255.115.78,85.255.112.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB345175-FBA9-4469-8DAB-B729DEB3B8D6}: NameServer = 85.255.115.78,85.255.112.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9E7CB72-291F-4F86-A6ED-C389D94E4AF6}: NameServer = 85.255.115.78,85.255.112.176
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.78 85.255.112.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.78 85.255.112.176
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: navdqu - navdqu.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

Utilisateur anonyme · Answer

Oui, Fixwareout fait le ménage dans les fichiers infectieux et les DNS (c'est à dire les 017).
Ce qui explique ce changement de page.


Relance un scan HijackThis et coche les lignes ci-dessous :

O17 - HKLM\System\CCS\Services\Tcpip\..\{32F474EF-AB1F-4B93-8B40-500E20BE65A5}: NameServer = 85.255.115.78,85.255.112.176 
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D6BD165-F2E0-429B-BB88-84B188D0BE3F}: NameServer = 85.255.115.78,85.255.112.176 
O17 - HKLM\System\CCS\Services\Tcpip\..\{8884133F-5A99-4B98-A873-D560433077C2}: NameServer = 85.255.115.78,85.255.112.176 
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB345175-FBA9-4469-8DAB-B729DEB3B8D6}: NameServer = 85.255.115.78,85.255.112.176 
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9E7CB72-291F-4F86-A6ED-C389D94E4AF6}: NameServer = 85.255.115.78,85.255.112.176 
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.78 85.255.112.176 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.78 85.255.112.176 
O20 - Winlogon Notify: navdqu - navdqu.dll (file missing) 

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »


Télécharge DiagHelp.zip (de Malekal_Morte) sur ton bureau 
http://www.malekal.com/download/DiagHelp.zip
- Fais un clic droit sur le fichier et extraire tout 
- Un nouveau dossier chercher va être créé DiagHelp 
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître) 
- Une fenêtre va s'ouvrir, choisis l'option 1 
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande 
- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela : 
-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout 
-- A nouveau menu Edition / copier 
-- Dans un nouveau message ici, faire un clic droit / coller

Utilisateur anonyme · Answer

Bonjour

Je ne vois rien dans ce rapport.

Pour effacer ces posts, tu ne peux pas. Demande  si un modérateur mais précise bien uniquement ces deux messages.


Pour les 017.
Vas dans Demarrer > Connections > clic droit sur ta connection > Propriétés > onglet Gestion de réseau 
Mets en surbrillance Protocole internet (tcp/ip) puis clic sur le bouton Propriétés 

Effaces les 2 IP dans Serveur DNS préfèré  et Serveur DNS auxiliaire. 
Coches Obtenir les adresses des serveurs DNS automatiquement. 
Valides avec OK. 

Efface les lignes 017 avec HijackThis.

Redémarres le PC.

Fab272 · Answer

Bonjour,
J'ai fait comme tu m'as dit même toujours le même problème : obliger de restaurer les O17 et de rajouter les DNS.

Utilisateur anonyme · Answer

Bonjour

Je vais te donner plusieurs outils. Tu vas essayer avec chacun.

$$ Télécharge MCRepair.exe sur ton Bureau
http://download.microsoft.com/... 
 * Fixes ces lignes 017
* Sur le Bureau, double-clique sur le fichier MCRepair.exe. 
* Redémarre l'ordinateur lorsque tu y es invité. 

Sinon

$$ Télécharge WinSockFix
https://www.softpedia.com/get/Tweak/Network-Tweak/WinSockFix.shtml
Même manip.

Sinon

$$ Télécharge LSPfix sur le Bureau
http://www.cexx.org/lspfix.htm

Fixes ces lignes 017
Lances LSPfix et agrandis la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton.
Déconnecte toi d'Internet et ferme toutes les instances (fenêtres) Internet Explorer.
Coche la case "I know what I'm doing" ("Je sais ce que je fais").
Redémarre

Fab272 · Answer

Bonjour,
Avant de commencer toutes ces manips, je voudrais te demander si ces logiciels sont pourvus de fonction de restauration car si ce n'est pas le cas et si cela entraîne une impossibilité d'accès à Internet, je suis pas bien...
Merci.

PS : Lorsque que tu dis "Fixes ces lignes 017", je fais cette manipulation avec Hijack This ?

Utilisateur anonyme · Answer

Ce sont des utilitaires pour réparer les problèmes de connection.
Certains réparent même des connections inexistantes.

Fab272 · Answer

Donc aucun risque de perte de connexion Internet ?

Utilisateur anonyme · Answer

Non.

Avec le deuxième, j'ai même rendu la connection internet à quelqu'un qui l'avais perdu suite à une mausaise manip de sa part.

Fab272 · Answer

Ok ! Je ferai tout ça demain car il est déjà tard. En revanche, j'ai repassé un coup de AVG Anti-spyware et le Backdoor Haxdoor et le troyen Small.fb sont tous deux revenus ! Un rapport avec les O17 ? Problème avec le système de restauration ? Faut-il que je désactive la restauration du système pour effacer tous les points de restauration ?
Et par exemple la clé de registre – [HKLM\SYSTEM\CurrentControlSet\Control\Lsa] 
   • "restrictanonymous"=dword:00000001 
est présente.
http://www.avira.com/fr/threats/section/fulldetails/id_vir/1391/bds_wallz.html


AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	01:34:15 22/11/2006

 + Résultat de l'analyse:	



C:\System Volume Information\_restore{2CE7165B-DF2C-4EBA-8BE6-FD05C21F621C}\RP745\A0179044.exe -> Backdoor.Haxdoor : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Costanza\Cookies\costanza@axa.addcontrol[2].txt -> TrackingCookie.Addcontrol : Nettoyé.
C:\Documents and Settings\Costanza\Cookies\costanza@adopt.euroclick[2].txt -> TrackingCookie.Euroclick : Nettoyé.
C:\Documents and Settings\Costanza\Cookies\costanza@komtrack[2].txt -> TrackingCookie.Komtrack : Nettoyé.
C:\Documents and Settings\Costanza\Cookies\costanza@ppms.popularix[1].txt -> TrackingCookie.Popularix : Nettoyé.
C:\System Volume Information\_restore{2CE7165B-DF2C-4EBA-8BE6-FD05C21F621C}\RP748\A0179817.exe -> Trojan.Small.fb : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport


Autre problème SPR/Tool.PsKill.2 (du logiciel clean) se retrouve dans pas mal de fichiers dont celui-ci (C:\Documents and Settings\Costanza\Local Settings\Temp\AAWTMP\C2053578\1D6040\clean\pskill.exe) alors que j'avais tout supprimé. 3 alertes lors du dernier scans avec Antivir.

Utilisateur anonyme · Answer

Bonjour

$$ Les fichiers qui se trouvent dans le système de restauration ont été nettoyés.
Il vaut mieux laisser le système de restauration tranquille, cela permet d'avoir un possibilité de restauration en cas de dysfonctionnement.
Quand le PC sera propre, oui, on la nettoyera.

$$ La clé de registre peut aussi être légitime.
http://www.microsoft.com/france/msdn/securite/secmod95.mspx
Vérifiez que les sessions NULL sont désactivées pour interdire la création de sessions anonymes (non authentifiées) sur votre serveur. Pour ce faire, exécutez Regedt32.exe et confirmez que la valeur de la clé RestrictAnonymous est 1, comme indiqué ci-dessous.

HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous=1
Clean n'est pas infectieux, mais le processus est puissant et peut être utilisé par des créateurs de malwares.
C'est pour cela que les antivirus ne l'aiment pas.

Fab272 · Answer

Bonjour,
Bon première victoire je pense ! mcrepair n'a rien donné (j'ai cliqué "non" lorsqu'il m'a demandé si je voulais remplacer certains de mes fichiers plus récents par des fichiers plus vieux, je ne sais pas si c'est ce qu'il fallait faire) mais winsockfix a l'air d'avoir réglé le problème, les O17 ne sont plus et le navigateur marche encore. Je les garde quand même dans le backups au cas où. Merci !
Je vais refaire un scan avec avg pour voir s'il repère encore Haxdoor et Small.fb.

Fab272 · Answer

C'est bon du coté de Haxdoor et Small.fb. Plus de traces.

Fab272 · Answer

Par contre mon adresse IP n'est plus fixe mais est sur "obtenir une adresse Ip automatiquement" et dès que je remets celle (la fixe)d'avant le navigateur ne marche plus. Je ne me rappelle plus, faut-il préciser quelque chose dans les champs serveur DNS préféré et auxilliaire ?

Utilisateur anonyme · Answer

Bonsoir

Donc le PC est propre.

Si la connection fonctionne avec l'adresse IP automatique, pourquoi désires tu le faire manuellement ?

Fab272 · Answer

Bonjour,
Problème réglé avec l'IP fixe. Bon, je pense que tout est nettoyé maintenant donc je tiens à sincèrement te remercier pour ta précieuse aide. Merci et a+

Utilisateur anonyme · Answer

Encore une petite chose.

Dénonce ton infection pour faire condamner les auteurs.
Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :
- Voir les règles du forum : https://malwarecomplaints.info/
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
La tienne   =  Wareout
Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)
Indique aussi le nom du Forum qui t'a aidé.
---> https://malwarecomplaints.info/

Plus d'informations ici
http://forum.zebulon.fr/index.php?showtopic=88688

Fab272 · Answer

ça sera fait. Encore merci.

Infections par des troyens - Demande de vérif

26 réponses

Votre réponse

Discussions similaires

Newsletters