Infection par outerinfo

joebarteam Messages postés 51 Statut Membre -  
chrifleur Messages postés 1099 Statut Contributeur -
Bonjour,

suite à un probleme de disque dur, j'ai telecharger un logiciel de récupération de données en version gratuite. Bref, il me demande un N° de série, que je trouve via un crack.

Depuis, j'ai "outerinfo" qui est apparu dans Démarrer->Tous les programmes et des pages IE se lançaient.

J'ai fais un nettoyage avec Panda antivirus, et j'ai désinstaller "outerinfo" depuis le panneau de configuration->Installater/desinstaller.

Bref, je crois que le probleme n'est pas résolu car Windows m'averti que mon pc est infecté, le curseur de la souris est souvent en mode "travail" (le petit sablier) et l'ordinateur galère à fond.

J'ai vite fais survoler un post ayant le même soucis, et je vous envoie donc le rapport de GenProc :

Rapport GenProc 0.72 [1] effectué le 08/10/2007 à 22:20:46,09 - SystemRoot = D:\WINDOWS

# Etape 1/ Télécharge :

- CCleaner https://www.ccleaner.com/ccleaner/download
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

- VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau

- combofix.exe (par [b]sUBs[/b]) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau

- SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.exe
* double-clique sur le fichier "smitfraudfix.exe" et choisis l’option 1, il va lister tous les éléments nuisibles dans un rapport : poste le maintenant.

- SDfix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

- Purity.zip http://www.alt-shift-return.org/Info/Fichiers/Purity.zip et décompresse-le sur le bureau.

***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://docs.microsoft.com/en-us/?mfr=true (choisis ta session courante "admin") *****

# Etape 2/

Double-clique sur le fichier Purity.bat qui se trouve dans le dossier Purity, sur ton bureau, et patiente.

# Etape 3/

* Double-clique VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo
Lorsque le scan est complété, clique sur le bouton "Remove Vundo"
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué Yes, le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo

* Double clique [b]combofix.exe[/b].
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra

# Etape 4/

Double-clique sur le fichier "SmitfraudFix.exe" et choisis l’option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.

# Etape 5/

Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur "RunThis.bat" pour lancer le script.
- Appuie sur "Y" pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom "Report.txt".
~ Le fichier "SDFIX_README.htm" (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
~ Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésite donc pas à télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir.

# Etape 6/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 7/

Redémarre normalement et poste :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
- Le contenu du rapport situé dans D:\vundofix.txt ;
- Le contenu du rapport situé dans D:\Combofix.txt ;
- Le rapport SmitfraudFix que tu as sauvegardé sur ton bureau ;
- Le contenu du fichier Report.txt ;
- Le contenu du rapport Purity.txt situé dans le dossier Purity, sur ton Bureau ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

En vous remerciant par avance de votre aide,

A+

toma
Configuration: Windows XP
Firefox 2.0.0.7

9 réponses

  1. chrifleur Messages postés 1099 Statut Contributeur 18
     
    bonsoir
    les dangers du crack!!!je ne vais pas t'enfoncer plus!!je pense que la leçon va servir....
    suis les consignes de GenProc et poste les rapports obtenus

    et prends le temps de lire cela
    dans celui-ci, tesgaz t'explique les risques du P2P
    https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/

    dans celui-là, les risques du crack
    https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/

    0
  2. joebarteam Messages postés 51 Statut Membre
     
    Salut,

    merci pour ton aide.

    Oui, la je crois que ça me servira de leçon. Je ne le fais pourtant pas régulièrement, mais là face à l'urgence de sauver mon disque dur, j'ai fais ça salement.

    Bref, voici le rapport SmithFraud:

    SmitFraudFix v2.239

    Rapport fait à 23:08:49,42, 08/10/2007
    Executé à partir de D:\Documents and Settings\admin\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{112B543B-CF62-49B7-A101-ED7021A4B405}: DhcpNameServer=192.168.1.1 0.0.0.0
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{112B543B-CF62-49B7-A101-ED7021A4B405}: DhcpNameServer=192.168.1.1 0.0.0.0
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{112B543B-CF62-49B7-A101-ED7021A4B405}: DhcpNameServer=192.168.1.1 0.0.0.0
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Suivi du rapport PurityBat :

    fix lancé en mode sans echec
    Rapport Purity 0.02 lancé [1] fois! le 08/10/2007 à 22:51:45,87
    Liste des éléments rencontrés au cours de la Recherche...

    Aucun élément nuisible rencontré.

    Fin du rapport

    Suivi du rapport de ComboFix :

    ComboFix 07-10-07.2 - admin 2007-10-08 23:03:41.2 - NTFSx86 MINIMAL
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.369 [GMT 2:00]
    Running from: D:\Documents and Settings\admin\Bureau\ComboFix.exe
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2007-09-08 to 2007-10-08 ))))))))))))))))))))))))))))))))))))
    .

    2007-10-08 22:38 51,200 --a------ D:\WINDOWS\NirCmd.exe
    2007-10-08 22:28 <REP> d-------- D:\Program Files\Yahoo!
    2007-10-08 22:28 <REP> d-------- D:\Program Files\CCleaner
    2007-10-08 19:33 9,728 --a------ D:\Program Files\hlpsrv.exe
    2007-10-08 19:32 33,792 --a------ D:\WINDOWS\system32\jkkhggh.dll
    2007-10-08 19:32 15,360 --a------ D:\WINDOWS\system32\drvzazr.dll
    2007-10-08 19:32 101,376 --a------ D:\WINDOWS\system32\drvzaz.dll
    2007-10-08 14:25 <REP> d-a------ D:\Documents and Settings\All Users\Application Data\TEMP
    2007-10-08 14:25 <REP> d-------- D:\Program Files\GetData
    2007-10-07 22:40 <REP> d-------- D:\WINDOWS\system32\NtmsData
    2007-10-01 19:49 1,324 --a------ D:\WINDOWS\system32\d3d9caps.dat
    2007-09-17 11:01 <REP> d-------- D:\Program Files\iTunes
    2007-09-17 11:01 <REP> d-------- D:\Program Files\iPod
    2007-09-17 11:01 <REP> d-------- D:\Program Files\Apple Software Update
    2007-09-17 11:00 <REP> d-------- D:\Program Files\Fichiers communs\Apple
    2007-09-12 11:30 <REP> d-------- D:\Program Files\Lavasoft
    2007-09-12 11:30 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Lavasoft
    2007-09-12 11:29 <REP> d-------- D:\Program Files\Fichiers communs\Wise Installation Wizard
    2007-09-11 20:31 <REP> d--h----- D:\Program Files\Fichiers communs\Carlson
    2007-09-08 14:29 <REP> d-------- D:\Documents and Settings\admin\Application Data\WinRAR
    2007-09-08 14:29 <REP> d-------- D:\Documents and Settings\admin\Application Data\WinRAR
    2007-09-08 14:29 <REP> d-------- D:\Documents and Settings\admin\Application Data\WinRAR

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-10-08 22:55 --------- d-------- D:\Program Files\Wanadoo
    2007-10-08 14:24 --------- d--h----- D:\Program Files\InstallShield Installation Information
    2007-10-05 00:30 --------- d-------- D:\Documents and Settings\admin\Application Data\LimeWire
    2007-10-05 00:30 --------- d-------- D:\Documents and Settings\admin\Application Data\LimeWire
    2007-10-05 00:30 --------- d-------- D:\Documents and Settings\admin\Application Data\LimeWire
    2007-09-17 11:02 --------- d-------- D:\Documents and Settings\admin\Application Data\Apple Computer
    2007-09-17 11:02 --------- d-------- D:\Documents and Settings\admin\Application Data\Apple Computer
    2007-09-17 11:02 --------- d-------- D:\Documents and Settings\admin\Application Data\Apple Computer
    2007-09-17 11:01 --------- d-------- D:\Documents and Settings\All Users\Application Data\Apple Computer
    2007-09-15 12:00 --------- d-------- D:\Program Files\eMule
    2007-09-13 18:48 --------- d-------- D:\Program Files\DivX
    2007-09-13 16:40 --------- d-------- D:\Program Files\Google
    2007-09-13 13:04 --------- d-------- D:\Program Files\Free Audio Pack
    2007-09-13 09:07 --------- d-------- D:\Program Files\Fichiers communs\Real
    2007-09-13 09:07 --------- d-------- D:\Documents and Settings\admin\Application Data\Real
    2007-09-13 09:07 --------- d-------- D:\Documents and Settings\admin\Application Data\Real
    2007-09-13 09:07 --------- d-------- D:\Documents and Settings\admin\Application Data\Real
    2007-09-12 11:32 9344 --a------ D:\WINDOWS\system32\drivers\NSDriver.sys
    2007-09-12 11:32 8320 --a------ D:\WINDOWS\system32\drivers\AWRTRD.sys
    2007-09-12 10:25 46080 --a------ D:\WINDOWS\system32\ftp.exe
    2007-09-01 18:12 --------- d-------- D:\Program Files\Beneton Movie GIF
    2007-08-23 14:03 348160 --a------ D:\WINDOWS\system32\MSVCR71.DLL
    2007-07-30 19:19 92504 --a------ D:\WINDOWS\system32\cdm.dll
    2007-07-30 19:19 549720 --a------ D:\WINDOWS\system32\wuapi.dll
    2007-07-30 19:19 53080 --a------ D:\WINDOWS\system32\wuauclt.exe
    2007-07-30 19:19 43352 --a------ D:\WINDOWS\system32\wups2.dll
    2007-07-30 19:19 325976 --a------ D:\WINDOWS\system32\wucltui.dll
    2007-07-30 19:19 203096 --a------ D:\WINDOWS\system32\wuweb.dll
    2007-07-30 19:19 1712984 --a------ D:\WINDOWS\system32\wuaueng.dll
    2007-07-30 19:18 33624 --a------ D:\WINDOWS\system32\wups.dll
    2007-07-27 01:06 200704 --a------ D:\WINDOWS\system32\ssldivx.dll
    2007-07-27 01:06 1044480 --a------ D:\WINDOWS\system32\libdivx.dll
    .

    ((((((((((((((((((((((((((((( snapshot@2007-10-08_22.49.11.12 )))))))))))))))))))))))))))))))))))))))))
    .
    ----a-w 53,942 2007-10-08 20:59:51 D:\WINDOWS\system32\perfc009.dat
    ----a-w 64,930 2007-10-08 20:59:51 D:\WINDOWS\system32\perfc00C.dat
    ----a-w 383,588 2007-10-08 20:59:51 D:\WINDOWS\system32\perfh009.dat
    ----a-w 448,428 2007-10-08 20:59:51 D:\WINDOWS\system32\perfh00C.dat
    .
    ----a-w 53,942 2007-10-08 20:22:46 D:\WINDOWS\system32\perfc009.dat
    ----a-w 64,930 2007-10-08 20:22:46 D:\WINDOWS\system32\perfc00C.dat
    ----a-w 383,588 2007-10-08 20:22:46 D:\WINDOWS\system32\perfh009.dat
    ----a-w 448,428 2007-10-08 20:22:47 D:\WINDOWS\system32\perfh00C.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "WOOWATCH"="D:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49]
    "WOOTASKBARICON"="D:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55]
    "Adobe Reader Speed Launcher"="D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
    "QuickTime Task"="D:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24]
    "iTunesHelper"="D:\Program Files\iTunes\iTunesHelper.exe" [2007-09-07 16:55]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MsnMsgr"="D:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
    "ctfmon.exe"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
    "WMPNSCFG"="D:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:59]
    "Cciidrcr"="D:\WINDOWS\??curity\?ti2evxx.exe" []
    "Surr"="D:\DOCUME~1\admin\APPLIC~1\FNTS~1\wucrtupd.exe" []

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
    avldr.dll 2006-07-14 13:46 45056 D:\WINDOWS\system32\avldr.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DVD Check.lnk]
    path=D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\DVD Check.lnk
    backup=D:\WINDOWS\pss\DVD Check.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
    AGRSMMSG.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APVXDWIN]
    "D:\Program Files\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpqset]
    D:\Program Files\HPQ\Default Settings\cpqset.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla]
    D:\WINDOWS\system32\dla\tfswctrl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eabconfg.cpl]
    D:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
    D:\WINDOWS\system32\hkcmd.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant]
    D:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
    D:\WINDOWS\system32\igfxtray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
    "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
    D:\WINDOWS\system32\igfxpers.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
    D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
    D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PTHOSTTR]
    D:\Program Files\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
    D:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
    D:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    D:\Program Files\Java\jre1.5.0\bin\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
    D:\Program Files\Synaptics\SynTP\SynTPEnh.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]
    "D:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WatchDog]
    D:\Program Files\InterVideo\DVD Check\DVDCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]
    D:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
    D:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
    D:\PROGRA~1\Wanadoo\Watch.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "SoundMAX Agent Service (default)"=2 (0x2)
    "PSIMSVC"=2 (0x2)
    "PAVSRV"=2 (0x2)
    "Panda Software Controller"=2 (0x2)
    "ose"=3 (0x3)
    "MDM"=2 (0x2)
    "hpqwmi"=3 (0x3)
    "FTRTSVC"=2 (0x2)

    S1 ClntMgmt.sys;ClntMgmt.sys;D:\WINDOWS\system32\Drivers\ClntMgmt.sys
    S3 LcdMini;Digital Audio Player(Model : PA30B);D:\WINDOWS\system32\DRIVERS\LcdMini.sys

    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2007-10-03 21:50:04 D:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    .
    **************************************************************************

    catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-10-08 23:06:25
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    **************************************************************************
    .
    Completion time: 2007-10-08 23:07:50
    D:\ComboFix-quarantined-files.txt ... 2007-10-08 23:07
    D:\ComboFix2.txt ... 2007-10-08 22:50
    .
    --- E O F ---

    Suivi du rapport de SDFix :

    SDFix: Version 1.107

    Run by admin on 08/10/2007 at 23:11

    Microsoft Windows XP [version 5.1.2600]

    Running From: D:\DOCUME~1\admin\Bureau\SDFIX\SDFix

    Safe Mode:
    Checking Services:

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting...

    Normal Mode:
    Checking Files:

    Trojan Files Found:

    D:\Program Files\Fichiers communs\Carlson\carlton - Deleted

    Folder D:\Program Files\Fichiers communs\Carlson - Removed

    Removing Temp Files...

    ADS Check:

    D:\WINDOWS
    No streams found.

    D:\WINDOWS\system32
    No streams found.

    D:\WINDOWS\system32\svchost.exe
    No streams found.

    D:\WINDOWS\system32\ntoskrnl.exe
    No streams found.

    Final Check:

    Remaining Services:
    ------------------

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

    Remaining Files:
    ---------------

    File Backups: - D:\DOCUME~1\admin\Bureau\SDFIX\SDFix\backups\backups.zip

    Files with Hidden Attributes:

    Mon 30 Apr 2007 4,348 A.SH. --- "D:\Documents and Settings\All Users\DRM\DRMv1.bak"
    Wed 22 Dec 2004 76,568 ..SHR --- "D:\Program Files\Autodesk\Autodesk DWF Viewer\Setup.exe"
    Wed 22 Dec 2004 16,384 A.SHR --- "D:\Program Files\Autodesk\Autodesk DWF Viewer\_Setup.dll"
    Thu 20 Jan 2005 11,344 A.SHR --- "D:\Program Files\Autodesk\Autodesk DWF Viewer\_Setupx.dll"
    Sat 28 Apr 2007 0 A.SH. --- "D:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

    Finished!

    Je n'ai pas réussi à télécharger VundoFix, je n'ai donc pas de rapport...

    Merci beaucoup de cette aide,

    bon courage,

    A+
    0
  3. chrifleur Messages postés 1099 Statut Contributeur 18
     
    il me faut un rapport hijack this stp
    0
  4. joebarteam Messages postés 51 Statut Membre
     
    Salut,

    excuse je croyais l'avoir posté...

    Le voici donc :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:19, on 09/10/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\svchost.exe
    D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\Explorer.EXE
    D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\svchost.exe
    D:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    D:\Program Files\iTunes\iTunesHelper.exe
    D:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\WINDOWS\system32\ctfmon.exe
    D:\Program Files\Windows Media Player\WMPNSCFG.exe
    D:\Program Files\iPod\bin\iPodService.exe
    D:\Program Files\MSN Messenger\usnsvc.exe
    D:\Program Files\iTunes\iTunes.exe
    D:\Program Files\Mozilla Firefox\firefox.exe
    D:\Documents and Settings\admin\Bureau\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - D:\WINDOWS\system32\dla\tfswshx.dll
    O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [WMPNSCFG] D:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKCU\..\Run: [Cciidrcr] D:\WINDOWS\??curity\?ti2evxx.exe
    O4 - HKCU\..\Run: [Surr] "D:\DOCUME~1\admin\APPLIC~1\FNTS~1\wucrtupd.exe" -vt ndrv
    O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = D:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Autodesk Licensing Service - Autodesk - D:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. chrifleur Messages postés 1099 Statut Contributeur 18
     
    lance hijack this pour un scan et coche les lignes suivantes
    O4 - HKCU\..\Run: [Cciidrcr] D:\WINDOWS\??curity\?ti2evxx.exe
    O4 - HKCU\..\Run: [Surr] "D:\DOCUME~1\admin\APPLIC~1\FNTS~1\wucrtupd.exe" -vt ndrv
    ferme toutes tes applications y compis internet sauf hijack this et clique sur fixer objet (fix checked)

    tu n'as pas d'antivirus!!!
    installe en un très vite, c'est la priorité ainsi qu'un pare feu!!
    voici un lien pour antivir
    https://www.pcastuces.com/logitheque/antivir.htm
    et un tuto pour la paramétrer
    http://mr.dodo.perso.cegetel.net/tuto21.htm
    et un lien pour un pare feu
    https://www.pcastuces.com/logitheque/zonealarm.htm
    et un tuto pour le paramétrer
    http://securite-facile.ovh.org/zonealarm.php

    dès que c'est fait tu redémarres en mode sans échec
    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisi la première option : Sans Échec, et valide avec "Entrée"
    5) Choisi ton compte régulier, et non Administrateur

    et tu scannes ton Pc (poste de travil complet, avec périfériques externes branchés) avec antivir
    tu me copies colles le rapport obtenu avec un rapport hijack this

    0
  7. joebarteam Messages postés 51 Statut Membre
     
    Bonjour,

    voici le rapport d'Antivir :

    AntiVir PersonalEdition Classic
    Report file date: mercredi 10 octobre 2007 09:40

    Scanning for 870686 virus strains and unwanted programs.

    Licensed to: Avira AntiVir PersonalEdition Classic
    Serial number: 0000149996-ADJIE-0001
    Platform: Windows XP
    Windows version: (Service Pack 2) [5.1.2600]
    Username: admin
    Computer name: PROJIXI-DA144A6

    Version information:
    BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
    AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29
    AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51
    LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47
    LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20
    ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 13:27:15
    ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 13:26:55
    ANTIVIR2.VDF : 7.0.0.57 446464 Bytes 07/10/2007 07:26:21
    ANTIVIR3.VDF : 7.0.0.69 43520 Bytes 10/10/2007 07:26:21
    AVEWIN32.DLL : 7.6.0.20 2753024 Bytes 10/10/2007 07:26:21
    AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
    AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17
    AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
    AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 07:46:00
    AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06
    AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33
    AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18
    NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
    RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13
    RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21

    Configuration settings for the scan:
    Jobname..........................: Manual Selection
    Configuration file...............: D:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
    Logging..........................: low
    Primary action...................: interactive
    Secondary action.................: ignore
    Scan master boot sector..........: off
    Scan boot sector.................: on
    Boot sectors.....................: H:,
    Scan memory......................: on
    Process scan.....................: on
    Scan registry....................: on
    Search for rootkits..............: off
    Scan all files...................: Intelligent file selection
    Scan archives....................: on
    Recursion depth..................: 20
    Smart extensions.................: on
    Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
    Macro heuristic..................: on
    File heuristic...................: medium

    Start of the scan: mercredi 10 octobre 2007 09:40

    The scan of running processes will be started
    Scan process 'avscan.exe' - '1' Module(s) have been scanned
    Scan process 'avcenter.exe' - '1' Module(s) have been scanned
    Scan process 'explorer.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'aawservice.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'lsass.exe' - '1' Module(s) have been scanned
    Scan process 'services.exe' - '1' Module(s) have been scanned
    Scan process 'winlogon.exe' - '1' Module(s) have been scanned
    Scan process 'csrss.exe' - '1' Module(s) have been scanned
    Scan process 'smss.exe' - '1' Module(s) have been scanned
    12 processes with 12 modules were scanned

    Start scanning boot sectors:
    Boot sector 'C:\'
    [NOTE] No virus was found!
    Boot sector 'D:\'
    [NOTE] No virus was found!
    Boot sector 'E:\'
    [NOTE] No virus was found!
    Boot sector 'G:\'
    [NOTE] No virus was found!
    Boot sector 'H:\'
    [NOTE] No virus was found!

    Starting to scan the registry.
    The registry was scanned ( '31' files ).

    Starting the file scan:

    Begin scan in 'C:\' <DOS>
    C:\g7n4l2o4i4v4.exe
    [DETECTION] Is the Trojan horse TR/Dialer.US.1
    [INFO] The file was moved to '477a824e.qua'!
    C:\System Volume Information\_restore{ABF29095-C6DB-40C1-925C-0465392F502E}\RP138\A0012506.exe
    [DETECTION] Is the Trojan horse TR/Dialer.US.1
    [INFO] The file was moved to '473c85c4.qua'!
    Begin scan in 'D:\'
    D:\pagefile.sys
    [WARNING] The file could not be opened!
    D:\Documents and Settings\admin\Bureau\ComboFix.exe
    [0] Archive type: RAR SFX (self extracting)
    --> setpath.cfexe
    [DETECTION] Contains suspicious code HEUR/Malware
    [INFO] The file was moved to '4779863d.qua'!
    D:\Documents and Settings\admin\Bureau\MSNFix\13092007_13330273.zip
    [0] Archive type: ZIP
    --> backup/services.exe
    [DETECTION] Contains detection pattern of the worm WORM/SdBot.563712.1
    --> backup/W139_jpg.zip
    [1] Archive type: ZIP
    --> www.W139_jpg-msn.com
    [DETECTION] Contains detection pattern of the worm WORM/SdBot.563712.1
    [INFO] The file was moved to '473c860e.qua'!
    D:\Documents and Settings\admin\Bureau\SDFIX\SDFix\backups\backups.zip
    [0] Archive type: ZIP
    --> backups/carlton
    [DETECTION] Is the Trojan horse TR/Dialer.US.1
    [INFO] The file was moved to '476f8642.qua'!
    D:\Program Files\hlpsrv.exe
    [DETECTION] Is the Trojan horse TR/Dldr.Nonaco.A.1
    [INFO] The file was moved to '477c8908.qua'!
    D:\Program Files\Panda Software\Panda Antivirus 2007\Pskavs.dll
    [DETECTION] Contains detection pattern of the Windows virus W95/Blumblebee.1738
    [INFO] The file was moved to '47778ea9.qua'!
    D:\qoobox\Quarantine\catchme2007-10-08_224754.98.zip
    [0] Archive type: ZIP
    --> jkkli.dll
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
    --> jkkli.dll.1
    [DETECTION] Is the Trojan horse TR/Trash.Gen
    --> urqqpqo.dll
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] The file was moved to '47808f28.qua'!
    D:\qoobox\Quarantine\D\Documents and Settings\admin\Application Data\FNTS~1\wucrtupd.exe.vir
    [DETECTION] Is the Trojan horse TR/Dldr.PuritySca.A
    [INFO] The file was moved to '476f8f3c.qua'!
    D:\qoobox\Quarantine\D\Program Files\Fichiers communs\Yazzle1162OinAdmin.exe.vir
    [DETECTION] Is the Trojan horse TR/Dldr.PurityScan.EG.8
    [INFO] The file was moved to '47868f29.qua'!
    D:\qoobox\Quarantine\D\WINDOWS\avp.exe.vir
    [DETECTION] Is the Trojan horse TR/Dldr.Alphabet.LH1
    [INFO] The file was moved to '477c8f3e.qua'!
    D:\qoobox\Quarantine\D\WINDOWS\mgrs.exe.vir
    [DETECTION] Is the Trojan horse TR/Dldr.Alphabet.11776.68
    [INFO] The file was moved to '477e8f30.qua'!
    D:\qoobox\Quarantine\D\WINDOWS\system32\jkkli.dll.vir
    [DETECTION] Is the Trojan horse TR/Trash.Gen
    [INFO] The file was moved to '47778f35.qua'!
    D:\qoobox\Quarantine\D\WINDOWS\system32\urqqpqo.dll.vir
    [DETECTION] Is the Trojan horse TR/Trash.Gen
    [INFO] The file was moved to '477d8f3c.qua'!
    D:\qoobox\Quarantine\D\WINDOWS\system32\winzwr32.dll.vir
    [DETECTION] Is the Trojan horse TR/Crypt.PEC2X.Gen
    [INFO] The file was moved to '477a8f34.qua'!
    D:\WINDOWS\system32\drvzaz.dll
    [DETECTION] Is the Trojan horse TR/Crypt.PEC2X.Gen
    [INFO] The file was moved to '47829323.qua'!
    Begin scan in 'E:\' <SDV>
    Begin scan in 'F:\'
    Search path F:\ could not be opened!
    Le périphérique n'est pas prêt.

    Begin scan in 'G:\'
    Search path G:\ could not be opened!
    Le volume ne contient pas de système de fichiers connu. Vérifiez si tous les pilotes de système
    de fichiers nécessaires sont chargés et si le volume n'est pas endommagé.

    Begin scan in 'H:\' <Tomatous'>

    End of the scan: mercredi 10 octobre 2007 11:37
    Used time: 1:57:01 min

    The scan has been done completely.

    8426 Scanning directories
    277076 Files were scanned
    18 viruses and/or unwanted programs were found
    1 Files were classified as suspicious:
    0 files were deleted
    0 files were repaired
    16 files were moved to quarantine
    0 files were renamed
    1 Files cannot be scanned
    277058 Files not concerned
    1181 Archives were scanned
    1 Warnings
    0 Notes

    Et celui d'HijackThis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:43, on 10/10/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Safe mode

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\Explorer.EXE
    D:\Documents and Settings\admin\Bureau\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - D:\WINDOWS\system32\dla\tfswshx.dll
    O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [WMPNSCFG] D:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = D:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Autodesk Licensing Service - Autodesk - D:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
    0
  8. chrifleur Messages postés 1099 Statut Contributeur 18
     
    comment se comporte le PC? des dysfonctionnements encore?
    0
  9. joebarteam Messages postés 51 Statut Membre
     
    Salut,

    le pc est redevenu stable et tout a l'air dans l'ordre.

    La procédure est terminée?

    En tout cas merci beaucoup de cette aide,

    A+
    0
  10. chrifleur Messages postés 1099 Statut Contributeur 18
     
    Maintenant il te reste ceci à effectuer

    1/
    Supprime tous les outils utilisés:
    HijackThis, qui sont spécifiques pour des infections et ne te serviront plus!
    Supprime aussi tous les rapports obtenus ainsi que les pages htm enregistrées, la suppression du fichier .htm supprime en même temps le dossier correspondant !

    Tu peux néanmoins conserver Ccleaner et AVG antispyware, mis à jour régulièrement, ils te serviront, l'un, Ccleaner, pour le nettoyage quotidien de ton PC, l'autre, AVG Antispyware, pour la recherche d'éventuelles infections...

    2/
    Restauration système
    Désactive ta restauration
    Clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer, OK
    Redémarre ton PC
    Réactive ta restauration
    Clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer, OK
    Redémarre ton PC

    3/
    Nettoyage et Défragmentation de tes Disques
    Nettoyage
    Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général"
    Clique sur le bouton "nettoyage de disque", OK
    tu le fais pour chacun de tes disques

    Vérifications des erreurs
    Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil"
    "Vérifier maintenant", une boîte s'ouvre, cocher les cases
    réparer automatiquement les erreurs...
    rechercher et tenter une récupération...
    Démarrer, ok
    tu le fais pour chacun de tes disques

    ensuite toujours dans le même onglet tu choisis
    Défragmentation
    "défragmenter maintenant", OK
    une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK
    tu le fais pour chacun de tes disques

    ==>

    Tu as été infecté, et je pense qu'au travers des différentes manoeuvres données, tu as compris que tu étais mal protégé...

    Je te conseille donc de lire attentivement ce qui suit et de suivre les conseils prodigués

    ==>

    Tu trouveras sur ce lien les différentes mises à jour de sécurité à effectuer, suivant les logiciels que tu possèdes.
    https://forum.pcastuces.com/sujet.asp?f=25&s=25842

    ==>

    La protection de ton Pc

    La sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...
    Outre la parfaite mise à jour du système d'exploitation, désormais, pour surfer tranquillement et sans soucis sur "le Net", il faut se protéger au maximum!
    Pour cela il faut :

    1. en résident : Il est résident sur ton PC, c'est à dire qu'il fonctionne dès la mise en route de ton Système.
    /- un bon antivirus, gratuit ou payant, mis régulièrement à jour, qui te protège en temps réel!
    /- un pare feu autre que celui fourni par Windows, comme Zone Alarm ou Kerio qui te protège aussi en temps réel!
    /- un anti spyware efficace, type Spybot Search and Destroy, avec sa protection résidente, Tea Timer, activée!!
    Tu scannes ton PC toutes les semaines environ avec, après l'avoir mis à jour, et tu as aussi sa protection en temps réel qui te protège.

    2. pour scanner régulièrement ton PC
    /- un anti trojan efficace, comme AVG antispyware .A la fin d'une période d'essai du logiciel, il est proposé une version payante que tu n'es pas obligé d'acheter. Il perd alors sa fonction "résident" et tu dois faire les mises à jour manuellement. Il reste néanmoins très utile pour scanner régulièrement ton PC et le nettoyer d'éventuelles infections.

    3. un logiciel comme Spyware Blaster qui empêche l'installation d'ActiveX nuisibles.
    Il faut régulièrement le mettre à jour pour inscrire les ActiveX dangereux dans sa base de données, et ainsi être protégés contre eux, puisque son rôle est d'empêcher leur installation.

    4. un bon navigateur tel Firefox ou Opera pour remplacer IE, que tu ne conserves que pour effectuer les mises à jour de Windows!

    Tu trouveras dans ce tuto, "Sécuriser son PC de Philae", de quoi satisfaire tous tes désirs en matière de logiciels gratuits et performants
    https://forum.pcastuces.com/default.asp

    dans celui-ci, tesgaz t'explique les risques du P2P
    https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/

    dans celui-là, les risques du crack
    https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/

    Nous voulons aider avec de plus en plus d'efficacité et lutter contre les malwares pour qu'enfin tout le monde puisse surfer tranquille !
    Avec un peu de prévention, il est possible d'être à l'abri des menaces !
    S'il te plaît, fais passer le mot autour de toi !
    S'il te plaît, s'il y a des internautes infectés autour de toi, envoie les nous sur ce forum !
    Une bonne protection permet d'être à abri ! L'ennuyeux est que la protection vaut ce que vaut le maillon le plus faible et donc, il ne faut rien oublier!

    ==>

    Dénonce ton infection pour faire condamner les auteurs.

    Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :
    - Voir les règles du forum : https://malwarecomplaints.info/
    - Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
    Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
    Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

    Tu as alors, sous forme de liste, un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

    *** Ton infection : tu as le choix dans ton rappot antivir
    >> https://malwarecomplaints.info/

    Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections, conforme au règle du forum (âge, ville, département etc..)

    bonne continuation
    0