harcelé par un pirate Résolu/Fermé

Question

Bonjour,
 mes cher amis je postule car j ai un enorme soucis de pc et je ni comprend rien! je suis harcelé par un pirate qui me desinstal tout sur mon pc et qui me laisse des mess en anglais et il se vente ! quel pauvre nul.... j ai un pc neuf que j ai acheté en decembre 2007 et kaspersky internet security 7 et j utilise mon pc que pour joué a world of warcraft!!! mais le soucis est que ce pauvre nul qui n a rien d autre a faire de ces journee me desinstalle tout y compris kaspersky!! en bref il a l air trop fort pour moi et me fait deprimé car j ai reformaté au moin 15 fois et sa continu! j utilise internet par cable donc pas de wifi  d activé sur ma free! donc si quelqu un voudrais bien m aidez se serais sympa car la je deprime d etre impuissante!!!!!!

romano599500 · Answer

salu' pour suivre

Blah! · Answer

Tu as activé le pare-feu Windows?

romano599500 · Answer

oui mais le faite d'avoir 100G ou autre ne gange rien 
as tu un pare-feu?

(:P¤$£îD¤N:) · Answer

Salut, fais des analyses anti spyware et anti virus active ton pare feu ou installe en un. un pirate peut contrôler ton ordinateur en installant un programme sur ton ordinateur a ton insu. c'est étrange que en formatant 15 fois il puisse toujours avoir accé à ton ordis. A mon avis c'est quelqu'un que tu connais qui fais sa

-Shadow- · Answer

Bonsoir,
Dans exécuter tapes "cmd". Une fenêtre apparaît et tapes "netstat -a > C:\connect.txt"

Télécharge avast, spybot, et RegistryBooster et coupe ta connexion.
Ensuite installe-les.

Redémarre en Mode sans échec et fais un scan avec tout les logiciels pour voir quels fichiers font un pont entre toi et le pirate.

Redémarre et reconnecte ton modem, ton adresse IP aura changé et ses fichiers pour t'espionner auront disparu.
Il ne pourra plus te pister et se connecter à toi.

Si jamais ces logiciels ne marchent pas en mode sans échec, tu peux faire à la limite en mode normal mais non-connecté à Internet.

http://www.infos-du-net.com/telecharger/Booster-Registry,0301-4656.html
https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/25899.html
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

@+

romano599500 · Answer

utilise le pare-feu windows

-Shadow- · Answer

Avast a un pare-feu intégré. Pas de problème de ce côté-là.
De plus il est gratuit et il faut juste s'enregistrer dans un délai de 40 jours.

-Shadow- · Answer

Possible, car s'il est en p2p alors il y a de fortes chances que tu aies été infectée.

melquior · Answer

voyez la gendarmerie national les militaires sont la pour vous aidez surtout avec une repetition de harcelement

lenna21 · Answer

y a t il quelqu un sur lyon pour me debarassé de tout ces truc qui me bloque?

melquior · Answer

aide et assistance contre les virus et pirates mais c est payant au mieux presentez vous a la gendarmerie national la plus proche  !

FillPCA · Answer

Salut,

Peux-tu éditer un rapport Hijackthis ?
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
Démo en image
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm


Fais un scan et poste l'analyse.

FillPCA

-Shadow- · Answer

Pour registry booster, ne corrige pas les erreurs de DLL partagées.

lenna21 · Answer

meme hijackthis ne marche pas......j ai pas de chance c est trop injuste

FillPCA · Answer

Salut,

Ne t'inquiète pas, on va faire autrement et on va trouver.

    *  Télécharge PCA (d'Evosla) : http://ww25.evosla.com/pca_cpt.php?agr=pca_securite
    * Dézippe-le dans un répertoire dédié comme c:\PCA au moyen d'un clic droit (Extraire...),
    * Clique sur l'onglet  "diagnostic du PC" puis "analyser".
    * Laisse l'analyse se dérouler. Cela ne prend que quelques secondes.
    * Clique sur "enregistrer le rapport" en bas à droite et sauvegarde-le sur le bureau.
    * Edite le contenu de ce rapport dans ta prochaine réponse. Il se nomme PCA_LOG.txt

FillPCA

lenna21 · Answer

ok merci voila le raport

# PCA Sécurité V 1.0.2, (fichier LOG).
# Rapport du  :01/03/2008 09:57:34
Windows Vista (TM) Home Premium  
 
==>> Processus <==
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\lenna\AppData\Local\Temp\Temp1_pca[1].zip\pca.exe
 
//pages de démarrage et de recherche d'Internet Explorer
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.msn.com/fr-fr/
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
RO - HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.google.fr/?gws_rd=ssl
RO - HKCU\Software\Microsoft\Internet Explorer\Toolbar\LinksFolderName = Links
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
//applications lancées depuis system.ini,win.ini 
//03 - Browser Helper Objects (BHOs)
//04 - applications chargées automatiquement
04 - HKLM\..\RUN: [Windows Defender] - %ProgramFiles%\Windows Defender\MSASCui.exe -hide
04 - HKLM\..\RUN: [NvSvc] - RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
04 - HKLM\..\RUN: [NvMediaCenter] - RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
04 - HKLM\..\RUN: [NvCplDaemon] - RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
04 - HKLM\..\RUN: [IAAnotif] - "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
04 - HKLU\..\RUN: [Sidebar] - C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
04 - HKLU\..\RUN: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
04 - HKLM\..\RunServices: [Sidebar] - C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
04 - HKLM\..\RunServices: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
04 - HKLU\..\RunServices: [Sidebar] - C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
04 - HKLU\..\RunServices: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
04 - HKUS\S-1-5-21-2039199306-4239844254-2581247415-1000\..\RUN: [Sidebar] - %ProgramFiles%\Windows Defender\MSASCui.exe -hide
04 - HKUS\S-1-5-21-2039199306-4239844254-2581247415-1000\..\RUN: [WindowsWelcomeCenter] - RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
//05 - Accès au panneau de contrôle d'Internet Explorer (control.ini) 
//06-  interdiction à l' accès au options (Internet Explorer) 
//07 -  blocage de l'exécution de Regedit 
//08 - lignes supplémentaires dans le menu contextuel d'Internet Explorer
//09 - boutons situés sur la barre d'outils principale d'Internet Explorer
//O10 - Pirates de Winsock
O10 - fichier inconnu - winsock lsp : @%SystemRoot%\system32
lasvc.dll,-1000 - %SystemRoot%\system32\NLAapi.dll
O10 - fichier inconnu - winsock lsp : @%SystemRoot%\system32
apinsp.dll,-1000 - %SystemRoot%\system32
apinsp.dll
O10 - fichier inconnu - winsock lsp : @%SystemRoot%\system32\pnrpnsp.dll,-1000 - %SystemRoot%\system32\pnrpnsp.dll
O10 - fichier inconnu - winsock lsp : @%SystemRoot%\system32\pnrpnsp.dll,-1001 - %SystemRoot%\system32\pnrpnsp.dll
//O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer) 
O11 - Options group: [INTERNATIONAL] - International*
//O12 - IE plugins
//013 : DefaultPrefix 
//014 - Option : (Rétablir les paramètres Web) 
//015 - Zone de confiance d'Internet Explorer
//O16 - Objets ActiveX
O16 - DPF :  Shockwave Flash Object - {D27CDB6E-AE6D-11CF-96B8-444553540000} - C:\Windows\system32\Macromed\Flash\Flash9e.ocx
//O17 - piratage de domaine Lop.com
//O18 - protocoles additionnels
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - 
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - 
//O19 - feuille de style de l'utilisateur
//O20 - valeur de Registre AppInit_DLLs et les sous-clés Winlogon Notify
//O21 - ShellServiceObjectDelayLoad
//O22 - SharedTaskScheduler
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
//O23 - services de XP,NT, 2000, et 2003
O23 - Service: [@%SystemRoot%\system32\Alg.exe,-112] - %SystemRoot%\System32\alg.exe
O23 - Service: [avast! Antivirus] - "C:\Program Files\Alwil Software\Avast4\ashServ.exe"
O23 - Service: [Microsoft .NET Framework NGEN v2.0.50727_X86] - %systemroot%\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Service: [@comres.dll,-947] - %SystemRoot%\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
O23 - Service: [@dfsrres.dll,-101] - %SystemRoot%\system32\DFSR.exe
O23 - Service: [@%SystemRoot%\ehome\ehrecvr.exe,-101] - %systemroot%\ehome\ehRecvr.exe
O23 - Service: [@%SystemRoot%\ehome\ehsched.exe,-101] - %systemroot%\ehome\ehsched.exe
O23 - Service: [@%SystemRoot%\system32\PresentationHost.exe,-3309] - %systemroot%\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
O23 - Service: [Intel(R) Matrix Storage Event Monitor] - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: [@comres.dll,-2797] - %SystemRoot%\System32\msdtc.exe
O23 - Service: [@%SystemRoot%\system32\msimsg.dll,-27] - %systemroot%\system32\msiexec /V
O23 - Service: [@%systemroot%\system32\Locator.exe,-2] - %SystemRoot%\system32\locator.exe
O23 - Service: [@%SystemRoot%\system32\sdrsvc.dll,-107] - %SystemRoot%\system32\svchost.exe -k SDRSVC
O23 - Service: [@%SystemRoot%\system32\SLsvc.exe,-101] - %SystemRoot%\system32\SLsvc.exe
O23 - Service: [@%SystemRoot%\system32\snmptrap.exe,-3] - %SystemRoot%\System32\snmptrap.exe
O23 - Service: [@%systemroot%\system32\spoolsv.exe,-1] - %SystemRoot%\System32\spoolsv.exe
O23 - Service: [@%SystemRoot%\system32\wiaservc.dll,-9] - %SystemRoot%\system32\svchost.exe -k imgsvc
O23 - Service: [@%SystemRoot%\System32\swprv.dll,-103] - %SystemRoot%\System32\svchost.exe -k swprv
O23 - Service: [@%SystemRoot%\servicing\TrustedInstaller.exe,-100] - %SystemRoot%\servicing\TrustedInstaller.exe
O23 - Service: [@%SystemRoot%\system32\ui0detect.exe,-101] - %SystemRoot%\system32\UI0Detect.exe
O23 - Service: [@%SystemRoot%\system32\vds.exe,-100] - %SystemRoot%\System32\vds.exe
O23 - Service: [@%systemroot%\system32\vssvc.exe,-102] - %systemroot%\system32\vssvc.exe
O23 - Service: [@%Systemroot%\system32\wbem\wmiapsrv.exe,-110] - %systemroot%\system32\wbem\WmiApSrv.exe
O23 - Service: [@%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101] - "%ProgramFiles%\Windows Media Player\wmpnetwk.exe"
O23 - Service: [@%systemroot%\system32\SearchIndexer.exe,-103] - %systemroot%\system32\SearchIndexer.exe /Embedding
O23 - Service: [X10 Device Network Service] - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

FillPCA · Answer

Salut,

J'aimerais savoir une chose. Ton Kaspersky, tu l'as acheté ou tu as utilisé un crack ?

1/ Commence par désactiver l'UAC. Regarde ici : https://www.zebulon.fr/astuces/pratique/220-desactiver-l-uac-dans-vista.html

2/     * Télécharge Elibagla en bas de cette page sur ton Bureau. Pour cela, clique sur "Descargar Elibagla" : http://www.zonavirus.com/datos/descargas/95/elibagla.asp
    * Lance-le de préférence en mode sans échec, ou en mode normal si le mode sans échec ne fonctionne pas.
    * Bagle peut bloquer le mode sans échec, donc il ne faut absolument pas forcer le mode sans échec en passant par MSconfig. Cela peut provoquer un redémarrage en boucles du PC.
    * Patiente pendant la durée du Scan.
    * Copie-colle le contenu du rapport qui doit se trouver ici : C:\Infosat.txt

FillPCA

FillPCA · Answer

OK. Peux-tu faire ce qui est demandé pour vérification ?

FillPCA

FillPCA · Answer

Re,

OK. On exclut donc cette piste et on creuse.

Si les manips qui suivent ne s'effectuent pas correctemment, fais un clic droit sur le programme et choisis "Exécuter en tant qu'administrateur".

1/     *  Télécharge DiagHelp.zip sur ton bureau(Merci Malekal)  : http://www.malekal.com/download/DiagHelp.zip
Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
    * Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout.
    * Un nouveau dossier chercher va être créé.
    * Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
    * Une fenêtre va s'ouvrir, choisis l'option 1
    * L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
    * Pendant l'analyse après le rapport CATCHME sur l'écran rouge, tu dois appuyer sue entrée pour que l'outil continue ses recherches. Suis les consignes écrites.
    * Une fenêtre avec le rapport s'ouvre alors. Copie/colle son contenu. (Il se trouve aussi ici : c:\resultat.txt)
    * Double-clique sur ce fichier, Fais CTRL+A puis CTRL+C.
    * Dans ta prochaine réponse, colle le rapport en faisant CTRL+V.

2/ # Télécharge SREng (de Smallfrogs) : http://www.kztechs.com/eng/download.html
# Dézippe tout son contenu sur ton bureau (clic droit >Extraire ici).
# Ouvre le dossier SReng2 et double-clique sur SREngPS.exe.
# Clique sur "smart scan".
# Clique sur le bouton "scan".
# Quand l'analyse est terminée, clique sur le bouton "save reports".
# Sauvegarde alors le rapport sur ton bureau.
# Copie/colle le contenu du rapport  SREnglLOG.log dans ta prochaine réponse.

Edite ces deux rapports.

lenna21 · Answer

DiagHelp version v1.4 - http://www.malekal.com excute le 01/03/2008 à 10:53:52,05 Liste des derniers fichies modifies/crees dans windir\system32 et prefetch C:\Windows\prefetch\CHCP.COM-950EAF32.pf -->01/03/2008 10:53:50 C:\Windows\prefetch\IEXPLORE.EXE-1B894AFB.pf -->01/03/2008 10:53:14 C:\Windows\prefetch\FIND.EXE-162DFE58.pf -->01/03/2008 10:52:31 C:\Windows\prefetch\GZIP.EXE-B35ACAFC.pf -->01/03/2008 10:52:28 C:\Windows\prefetch\NTVDM.EXE-42770598.pf -->01/03/2008 10:52:27 C:\Windows\prefetch\KPROCCHECK.EXE-B9827383.pf -->01/03/2008 10:52:26 C:\Windows\prefetch\CATCHME.EXE-02C6DF1B.pf -->01/03/2008 10:52:25 C:\Windows\prefetch\DUMPHIVE.EXE-2A0F13BC.pf -->01/03/2008 10:52:18 C:\Windows\prefetch\CMD.EXE-89305D47.pf -->01/03/2008 10:52:18 C:\Windows\prefetch\SWREG.EXE-18BD52B2.pf -->01/03/2008 10:52:13 C:\Windows\System32\drivers\lnsfw1.sys -->28/02/2008 21:41:12 C:\Windows\System32\drivers\lnsfw.sys -->28/02/2008 21:41:12 C:\Windows\System32\drivers\klin.dat -->28/02/2008 21:36:18 C:\Windows\System32\drivers\klick.dat -->28/02/2008 21:36:18 C:\Windows\System32\drivers\wanarp.sys -->28/02/2008 21:19:03 C:\Windows\System32\drivers dproxy.sys -->28/02/2008 21:19:03 C:\Windows\System32\drivers distapi.sys -->28/02/2008 21:19:03 C:\Windows\System32\PerfStringBackup.INI -->01/03/2008 10:36:06 C:\Windows\System32\perfh00C.dat -->01/03/2008 10:36:06 C:\Windows\System32\perfh009.dat -->01/03/2008 10:36:06 C:\Windows\System32\perfc00C.dat -->01/03/2008 10:36:06 C:\Windows\System32\perfc009.dat -->01/03/2008 10:36:06 C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 -->01/03/2008 10:31:13 C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 -->01/03/2008 10:31:13 C:\Windows\System32\config.nt -->29/02/2008 19:37:17 C:\Windows\System32\FNTCACHE.DAT -->28/02/2008 22:31:01 C:\Windows\System32\fwapi.dll -->28/02/2008 21:41:12 C:\Windows\System32 iched32.dll -->28/02/2008 21:19:05 C:\Windows\System32 iched20.dll -->28/02/2008 21:19:05 C:\Windows\System32 asser.dll -->28/02/2008 21:19:03 C:\Windows\System32 asdiag.dll -->28/02/2008 21:19:03 C:\Windows\System32 asctrnm.h -->28/02/2008 21:19:03 C:\Windows\System32 ascfg.dll -->28/02/2008 21:19:03 C:\Windows\System32 dptsp.tsp -->28/02/2008 21:19:03 C:\Windows\System32\kmddsp.tsp -->28/02/2008 21:19:03 C:\Windows\System32 asmxs.dll -->28/02/2008 21:19:02 C:\Windows\System32 etcfgx.dll -->28/02/2008 21:19:02 C:\Windows\System32\msftedit.dll -->28/02/2008 21:19:02 C:\Windows\System32\icsunattend.exe -->28/02/2008 21:19:02 C:\Windows\System32\wshqos.dll -->28/02/2008 21:19:01 C:\Windows\System32 raffic.dll -->28/02/2008 21:19:01 C:\Windows\System32\pacerprf.dll -->28/02/2008 21:19:01 C:\Windows\WindowsUpdate.log -->01/03/2008 10:34:08 C:\Windows\bootstat.dat -->01/03/2008 10:31:11 C:\Windows\WindowsShell.Manifest -->28/02/2008 22:33:03 C:\Windows\explorer.exe -->28/02/2008 21:17:45 C:\Windows\win.ini -->02/11/2006 14:04:04 C:\Windows\WMSysPr9.prx -->02/11/2006 13:35:57 C:\Windows wunk_32.exe -->02/11/2006 13:34:41 C:\Windows wunk_16.exe -->02/11/2006 13:34:41 C:\Windows wain_32.dll -->02/11/2006 13:34:41 C:\Windows wain.dll -->02/11/2006 13:34:41 C:\Windows otepad.exe -->02/11/2006 13:34:36 C:\Windows\winhlp32.exe -->02/11/2006 10:45:57 C:\Windows egedit.exe -->02/11/2006 10:45:35 C:\Windows\hh.exe -->02/11/2006 10:45:13 C:\Windows\HelpPane.exe -->02/11/2006 10:45:13 winlogon.exe Verified: Signed svchost.exe Verified: Signed ws2_32.dll Verified: Signed user32.dll Verified: Signed tcpip.sys Verified: Signed ndis.sys Verified: Signed null.sys Verified: Signed ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ explorer.exe pid: 320 Command line: C:\Windows\Explorer.EXE Base Size Version Path 0x00440000 0x2cd000 6.00.6000.16549 C:\Windows\Explorer.EXE 0x77320000 0x11e000 6.00.6000.16386 C:\Windows\system32 tdll.dll 0x75d50000 0xd8000 6.00.6000.16386 C:\Windows\system32\kernel32.dll 0x77190000 0xbf000 6.00.6000.16386 C:\Windows\system32\ADVAPI32.dll 0x770c0000 0xc3000 6.00.6000.16525 C:\Windows\system32\RPCRT4.dll 0x76180000 0x4b000 6.00.6000.16386 C:\Windows\system32\GDI32.dll 0x76d20000 0x9e000 6.00.6000.16438 C:\Windows\system32\USER32.dll 0x76dc0000 0xaa000 7.00.6000.16386 C:\Windows\system32\msvcrt.dll 0x761f0000 0x55000 6.00.6000.16386 C:\Windows\system32\SHLWAPI.dll 0x76250000 0xace000 6.00.6000.16513 C:\Windows\system32\SHELL32.dll 0x75f00000 0x144000 6.00.6000.16386 C:\Windows\system32\ole32.dll 0x77000000 0x8c000 6.00.6000.16609 C:\Windows\system32\OLEAUT32.dll 0x727b0000 0x107000 6.00.6000.16386 C:\Windows\system32\SHDOCVW.dll 0x745d0000 0x3f000 6.00.6000.16386 C:\Windows\system32\UxTheme.dll 0x74f40000 0x1a000 6.00.6000.16386 C:\Windows\system32\POWRPROF.dll 0x73260000 0xc000 6.00.6000.16386 C:\Windows\system32\dwmapi.dll 0x73a00000 0x1aa000 5.02.6000.16386 C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127\gdiplus.dll 0x75630000 0x39000 6.00.6000.16509 C:\Windows\system32\slc.dll 0x74610000 0xb7000 6.00.6000.16386 C:\Windows\system32\PROPSYS.dll 0x72660000 0x145000 6.00.6000.16386 C:\Windows\system32\BROWSEUI.dll 0x761d0000 0x1e000 6.00.6000.16386 C:\Windows\system32\IMM32.dll 0x77250000 0xc7000 6.00.6000.16386 C:\Windows\system32\MSCTF.dll 0x74720000 0x30000 6.00.6000.16386 C:\Windows\system32\DUser.dll 0x77450000 0x9000 6.00.6000.16386 C:\Windows\system32\LPK.DLL 0x774e0000 0x7d000 1.626.6000.16386 C:\Windows\system32\USP10.dll 0x74990000 0x194000 6.10.6000.16386 C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6000.16386_none_5d07289e07e1d100\comctl32.dll 0x73490000 0xb2000 6.00.6000.16493 C:\Windows\system32\WindowsCodecs.dll 0x72a30000 0x6000 6.00.6000.16386 C:\Windows\system32\IconCodecService.dll 0x75a70000 0x14000 6.00.6000.16386 C:\Windows\system32\Secur32.dll 0x75c30000 0x84000 2001.12.6930.16386 C:\Windows\system32\CLBCatQ.DLL 0x75200000 0x38000 6.00.6000.16386 C:\Windows\system32 saenh.dll 0x725a0000 0xb2000 6.00.6000.16549 C:\Windows\system32 imedate.cpl 0x74be0000 0x14000 3.05.2284.0000 C:\Windows\system32\ATL.DLL 0x758e0000 0x6a000 6.00.6000.16386 C:\Windows\system32\NETAPI32.dll 0x75bd0000 0x7000 6.00.6000.16386 C:\Windows\system32\PSAPI.DLL 0x736b0000 0x38000 4.02.5406.0000 C:\Windows\system32\OLEACC.dll 0x724e0000 0x53000 6.00.6000.16386 C:\Windows\system32\actxprxy.dll 0x75a90000 0x1e000 6.00.6000.16386 C:\Windows\system32\USERENV.dll 0x72540000 0x2b000 6.00.6000.16386 C:\Windows\system32\msutb.dll 0x75000000 0xd7000 6.00.6000.16386 C:\Windows\system32\WINBRAND.dll 0x756b0000 0x11000 6.00.6000.16386 C:\Windows\System32\SAMLIB.dll 0x75a10000 0x2c000 6.00.6000.16386 C:\Windows\system32\apphelp.dll 0x72460000 0x38000 6.00.6000.16386 C:\Windows\System32\msshsq.dll 0x722c0000 0xc5000 6.00.6000.16386 C:\Windows\System32\NaturalLanguage6.dll 0x754f0000 0xf1000 6.00.6000.16425 C:\Windows\System32\CRYPT32.dll 0x75690000 0x12000 6.00.6000.16386 C:\Windows\System32\MSASN1.dll 0x71da0000 0x28c000 6.00.6000.16386 C:\Windows\System32\NLSData000c.dll 0x711a0000 0x5f4000 6.00.6000.16386 C:\Windows\System32\NLSLexicons000c.dll 0x73d60000 0x1e7000 6.00.6000.16513 C:\Windows\system32\authui.dll 0x74b40000 0x5000 6.00.6000.16386 C:\Windows\system32\MSIMG32.dll 0x76050000 0x127000 7.00.6000.16609 C:\Windows\system32\urlmon.dll 0x75be0000 0x45000 7.00.6000.16386 C:\Windows\system32\iertutil.dll 0x76e70000 0x189000 6.00.6000.16609 C:\Windows\system32\SETUPAPI.dll 0x74f60000 0x21000 6.00.6000.16386 C:\Windows\system32\NTMARTA.DLL 0x75cc0000 0x49000 6.00.6000.16386 C:\Windows\system32\WLDAP32.dll 0x77090000 0x2d000 6.00.6000.16386 C:\Windows\system32\WS2_32.dll 0x77440000 0x6000 6.00.6000.16386 C:\Windows\system32\NSI.dll 0x74d90000 0x2d000 6.00.6000.16386 C:\Windows\system32\WINTRUST.dll 0x75d20000 0x29000 6.00.6000.16470 C:\Windows\system32\imagehlp.dll 0x717d0000 0x5cd000 7.00.6000.16609 C:\Windows\system32\ieframe.dll 0x72a60000 0x9000 6.00.6000.16386 C:\Windows\system32\LINKINFO.dll 0x75e30000 0xcf000 7.00.6000.16609 C:\Windows\system32\WININET.dll 0x75d10000 0x3000 6.00.6000.16386 C:\Windows\system32\Normaliz.dll 0x736f0000 0x33000 6.00.6000.16386 C:\Windows\system32\WINMM.dll 0x73620000 0x30000 6.00.6000.16386 C:\Windows\system32\wdmaud.drv 0x736a0000 0x4000 6.00.6000.16386 C:\Windows\system32\ksuser.dll 0x75290000 0x7000 6.00.6000.16386 C:\Windows\system32\AVRT.dll 0x74ca0000 0x27000 6.00.6000.16386 C:\Windows\system32\MMDevAPI.DLL 0x735c0000 0x21000 6.00.6000.16386 C:\Windows\System32\audioses.dll 0x73550000 0x66000 6.00.6000.16386 C:\Windows\System32\audioeng.dll 0x729f0000 0x9000 6.00.6000.16386 C:\Windows\system32\ExplorerFrame.dll 0x75950000 0x5f000 6.00.6000.16386 C:\Windows\system32\SXS.DLL 0x70d60000 0x212000 6.00.6000.16386 C:\Windows\system32\oobefldr.dll 0x73690000 0x9000 6.00.6000.16386 C:\Windows\system32\msacm32.drv 0x73600000 0x15000 6.00.6000.16386 C:\Windows\system32\MSACM32.dll 0x735f0000 0x7000 6.00.6000.16386 C:\Windows\system32\midimap.dll 0x70480000 0x4a000 6.00.6000.16386 C:\Windows\system32 tshrui.dll 0x70970000 0xa000 6.00.6000.16386 C:\Windows\system32\cscapi.dll 0x728c0000 0x126000 8.90.1101.0000 C:\Windows\System32\msxml3.dll 0x737c0000 0x30000 6.00.6000.16386 C:\Windows\system32\MLANG.dll 0x6f2f0000 0x62000 6.00.6000.16386 C:\Windows\system32\mscms.dll 0x72dd0000 0x41000 6.00.6000.16386 C:\Windows\system32\WINSPOOL.DRV 0x6f230000 0x60000 6.00.6000.16386 C:\Windows\system32\WinSATAPI.dll 0x74e50000 0x14000 6.00.6000.16386 C:\Windows\system32\Cabinet.dll 0x6ee80000 0x92000 6.00.6000.16386 C:\Windows\system32\stobject.dll 0x6f370000 0xb6000 6.00.6000.16386 C:\Windows\system32\BatMeter.dll 0x74f30000 0x9000 6.00.6000.16553 C:\Windows\system32\WTSAPI32.dll 0x74c00000 0x24000 6.00.6000.16386 C:\Windows\system32\WINSTA.dll 0x746d0000 0x45000 2001.12.6930.16386 C:\Windows\system32\es.dll 0x6fb30000 0x30000 6.00.6000.16386 C:\Windows\System32\SndVolSSO.dll 0x6fb00000 0x21000 6.00.6000.16386 C:\Windows\ehome\ehSSO.dll 0x74c80000 0x9000 6.00.6000.16386 C:\Windows\system32\HID.DLL 0x6e7f0000 0x30b000 6.00.6000.16386 C:\Windows\System32 etshell.dll 0x75490000 0x19000 6.00.6000.16386 C:\Windows\System32\IPHLPAPI.DLL 0x75450000 0x35000 6.00.6000.16512 C:\Windows\System32\dhcpcsvc.DLL 0x756e0000 0x2b000 6.00.6000.16386 C:\Windows\System32\DNSAPI.dll 0x75610000 0x7000 6.00.6000.16386 C:\Windows\System32\WINNSI.DLL 0x75430000 0x20000 6.00.6000.16512 C:\Windows\System32\dhcpcsvc6.DLL 0x74f20000 0xf000 6.00.6000.16386 C:\Windows\System32 laapi.dll 0x74e70000 0x63000 6.00.6000.16501 C:\Windows\system32\FirewallAPI.dll 0x75400000 0x8000 6.00.6000.16386 C:\Windows\system32\VERSION.dll 0x6ec50000 0x1bf000 6.00.6000.16386 C:\Windows\system32\pnidui.dll 0x73740000 0x17000 6.00.6000.16386 C:\Windows\system32\QUtil.dll 0x754b0000 0x3e000 6.00.6000.16386 C:\Windows\system32\wevtapi.dll 0x73780000 0x6000 6.00.6000.16386 C:\Windows\system32\wlanutil.dll 0x70310000 0x8000 6.00.6000.16386 C:\Windows\System32 pmproxy.dll 0x72580000 0xe000 6.00.6000.16551 C:\Windows\system32\Wlanapi.dll 0x723d0000 0x2d000 6.00.6000.16386 C:\Windows\system32\OneX.DLL 0x72570000 0xd000 6.00.6000.16386 C:\Windows\system32\eappprxy.dll 0x723a0000 0x28000 6.00.6000.16386 C:\Windows\system32\eappcfg.dll 0x75360000 0x44000 6.00.6000.16386 C:\Windows\system32\bcrypt.dll 0x702e0000 0xd000 6.00.6000.16386 C:\Windows\System32\AltTab.dll 0x6eb90000 0x23000 6.00.6000.16386 C:\Windows\system32\wpdshserviceobj.dll 0x73d00000 0x5f000 6.00.6000.16386 C:\Windows\system32\WINHTTP.dll 0x6eb10000 0x40000 6.00.6000.16386 C:\Windows\System32\srchadmin.dll 0x6e6e0000 0x3c000 7.00.6000.16386 C:\Windows\system32\webcheck.dll 0x6f6c0000 0x21c000 6.00.6000.16386 C:\Windows\System32\SyncCenter.dll 0x6eb50000 0x39000 6.00.6000.16386 C:\Windows\system32\wscntfy.dll 0x73730000 0xb000 6.00.6000.16386 C:\Windows\system32\WSCAPI.dll 0x6fd10000 0xb000 6.00.6000.16386 C:\Windows\system32\mssprxy.dll 0x6e620000 0x51000 6.00.6000.16386 C:\Windows\system32\imapi2.dll 0x73790000 0x2b000 6.00.6000.16386 C:\Windows\system32\PortableDeviceTypes.dll 0x70740000 0x46000 6.00.6000.16386 C:\Windows\system32\PortableDeviceApi.dll 0x6fd20000 0x2c000 6.00.6000.16386 C:\Windows\System32\QAgent.dll 0x73c10000 0x8a000 6.00.6000.16386 C:\Windows\System32\fwpuclnt.dll 0x6d270000 0xf9000 6.00.6000.16386 C:\Windows\system32\bthprops.cpl 0x6cdd0000 0x12f000 2001.12.6930.16386 C:\Windows\system32\comsvcs.dll 0x755f0000 0x14000 6.00.6000.16386 C:\Windows\system32\MPR.dll 0x70230000 0x12000 6.00.6000.16386 C:\Windows\system32 humbcache.dll 0x6d450000 0x56000 6.00.6000.16386 C:\Windows\system32\zipfldr.dll 0x73650000 0x15000 1.01.1505.0000 C:\Program Files\Windows Defender\MpOav.dll 0x6e580000 0x60000 6.00.6000.16386 C:\Program Files\Common Files\microsoft shared\ink iptsf.dll 0x74470000 0x22000 1.01.1002.0000 C:\Windows\system32\xmllite.dll 0x6c3e0000 0x223000 6.00.6000.16386 C:\Windows\system32\NetworkExplorer.dll 0x730f0000 0x8000 4.00.6000.16386 C:\Windows\system32\MSISIP.DLL 0x6e3e0000 0x11000 5.07.0000.6000 C:\Windows\system32\wshext.dll ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ winlogon.exe pid: 964 Command line: winlogon.exe Base Size Version Path 0x00ad0000 0x4e000 6.00.6000.16386 C:\Windows\system32\winlogon.exe 0x77320000 0x11e000 6.00.6000.16386 C:\Windows\system32 tdll.dll 0x75d50000 0xd8000 6.00.6000.16386 C:\Windows\system32\kernel32.dll 0x77190000 0xbf000 6.00.6000.16386 C:\Windows\system32\ADVAPI32.dll 0x770c0000 0xc3000 6.00.6000.16525 C:\Windows\system32\RPCRT4.dll 0x76d20000 0x9e000 6.00.6000.16438 C:\Windows\system32\USER32.dll 0x76180000 0x4b000 6.00.6000.16386 C:\Windows\system32\GDI32.dll 0x76dc0000 0xaa000 7.00.6000.16386 C:\Windows\system32\msvcrt.dll 0x75a70000 0x14000 6.00.6000.16386 C:\Windows\system32\Secur32.dll 0x74c00000 0x24000 6.00.6000.16386 C:\Windows\system32\WINSTA.dll 0x75bd0000 0x7000 6.00.6000.16386 C:\Windows\system32\PSAPI.DLL 0x75a90000 0x1e000 6.00.6000.16386 C:\Windows\system32\USERENV.dll 0x761d0000 0x1e000 6.00.6000.16386 C:\Windows\system32\IMM32.DLL 0x77250000 0xc7000 6.00.6000.16386 C:\Windows\system32\MSCTF.dll 0x77450000 0x9000 6.00.6000.16386 C:\Windows\system32\LPK.DLL 0x774e0000 0x7d000 1.626.6000.16386 C:\Windows\system32\USP10.dll 0x75a10000 0x2c000 6.00.6000.16386 C:\Windows\system32\apphelp.dll 0x74f60000 0x21000 6.00.6000.16386 C:\Windows\system32\NTMARTA.DLL 0x75cc0000 0x49000 6.00.6000.16386 C:\Windows\system32\WLDAP32.dll 0x77090000 0x2d000 6.00.6000.16386 C:\Windows\system32\WS2_32.dll 0x77440000 0x6000 6.00.6000.16386 C:\Windows\system32\NSI.dll 0x756b0000 0x11000 6.00.6000.16386 C:\Windows\system32\SAMLIB.dll 0x75f00000 0x144000 6.00.6000.16386 C:\Windows\system32\ole32.dll 0x74810000 0x3e000 6.00.6000.16386 C:\Windows\system32\SHSVCS.dll 0x745d0000 0x3f000 6.00.6000.16386 C:\Windows\system32\uxtheme.dll 0x75200000 0x38000 6.00.6000.16386 C:\Windows\system32 saenh.dll 0x73490000 0xb2000 6.00.6000.16493 C:\Windows\system32\WindowsCodecs.dll 0x758e0000 0x6a000 6.00.6000.16386 C:\Windows\system32\NETAPI32.dll 0x75630000 0x39000 6.00.6000.16509 C:\Windows\system32\slc.dll 0x755f0000 0x14000 6.00.6000.16386 C:\Windows\system32\MPR.dll Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 20C5-CF1A Répertoire de C:\Windows\system32 02/11/2006 10:45 7 680 csrss.exe 1 fichier(s) 7 680 octets 0 Rép(s) 967 977 013 248 octets libres Contenu de Downloaded Program Files Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 20C5-CF1A Répertoire de C:\Windows\Downloaded Program Files 01/03/2008 09:45 . 01/03/2008 09:45 .. 18/09/2006 22:26 65 desktop.ini 20/11/2007 16:04 1 523 536 FP_AX_CAB_INSTALLER.exe 20/11/2007 15:50 247 swflash.inf 3 fichier(s) 1 523 848 octets Total des fichiers listés : 3 fichier(s) 1 523 848 octets 2 Rép(s) 967 977 013 248 octets libres Recherche de rootkit! (Merci S!Ri) Recherche d'infections connues Export des clefs sensibles.. dword:00000000 présent dans la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - Possible infection [b]Trojan.DNS/Wareout/b Liste des fichiers en exception sur le pare-feu XP SP2 Export de la clef SharedTaskScheduler [SharedTaskScheduler] exports des policies REGEDIT4 [System] "ConsentPromptBehaviorAdmin"=dword:00000002 "ConsentPromptBehaviorUser"=dword:00000001 "EnableInstallerDetection"=dword:00000001 "EnableSecureUIAPaths"=dword:00000001 "EnableVirtualization"=dword:00000001 "PromptOnSecureDesktop"=dword:00000001 "ValidateAdminCodeSignatures"=dword:00000000 "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "scforceoption"=dword:00000000 "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 "FilterAdministratorToken"=dword:00000000 [System\UIPI] [System\UIPI\Clipboard] [System\UIPI\Clipboard\ExceptionFormats] "CF_TEXT"=dword:00000001 "CF_BITMAP"=dword:00000002 "CF_OEMTEXT"=dword:00000007 "CF_DIB"=dword:00000008 "CF_PALETTE"=dword:00000009 "CF_UNICODETEXT"=dword:0000000d "CF_DIBV5"=dword:00000011 Export des clefs sensibles.. Rechercher adresses sensibles dans le fichier HOSTS... catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-01 10:54:00 Windows 6.0.6000 NTFS scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden services: 0 hidden files: 0 KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Sorry, this version supports only Win2K/XP KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Sorry, this version supports only Win2K/XP Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 20C5-CF1A Répertoire de C:\Program Files 01/03/2008 10:44 . 01/03/2008 10:44 .. 29/02/2008 19:37 Alwil Software 01/03/2008 10:44 CCleaner 29/02/2008 17:55 Common Files 28/02/2008 19:42 Intel 28/02/2008 22:29 Internet Explorer 28/02/2008 19:31 Marvell 02/11/2006 13:37 Microsoft Games 02/11/2006 13:42 Movie Maker 02/11/2006 13:37 MSBuild 02/11/2006 13:37 MSN 02/11/2006 13:37 Reference Assemblies 28/02/2008 21:41 Soft4Ever 01/03/2008 10:31 Spybot - Search & Destroy 29/02/2008 21:28 Trend Micro 28/02/2008 22:29 Windows Calendar 02/11/2006 13:42 Windows Collaboration 28/02/2008 22:29 Windows Defender 02/11/2006 13:42 Windows Journal 28/02/2008 22:29 Windows Mail 28/02/2008 22:29 Windows Media Player 28/02/2008 19:23 Windows NT 02/11/2006 13:42 Windows Photo Gallery 28/02/2008 22:29 Windows Sidebar 01/03/2008 10:44 Yahoo! 0 fichier(s) 0 octets 26 Rép(s) 967 976 747 008 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 20C5-CF1A Répertoire de C:\Program Files\fichiers communs Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 20C5-CF1A Répertoire de C:\Program Files\common files 29/02/2008 17:55 . 29/02/2008 17:55 .. 28/02/2008 19:37 InstallShield 02/11/2006 13:42 microsoft shared 02/11/2006 12:18 Services 02/11/2006 12:18 SpeechEngines 28/02/2008 22:29 System 28/02/2008 19:34 X10 0 fichier(s) 0 octets 8 Rép(s) 967 976 747 008 octets libres c:\Users\lenna\Documents\DiagHelp[1]\DiagHelp\catchme.exe c:\Users\lenna\Documents\DiagHelp[1]\DiagHelp\diff.exe c:\Users\lenna\Documents\DiagHelp[1]\DiagHelp\dumphive.exe c:\Users\lenna\Documents\DiagHelp[1]\DiagHelp\FilesInfoCmd.exe c:\Users\lenna\Documents\DiagHelp[1]\DiagHelp\find2.exe c:\Users\lenna\Documents\DiagHelp[1]\DiagHelp\Fport.exe c:\Users\lenna\Documents\DiagHelp[1]\DiagHelp\grep.exe c:\Users\lenna\Documents\DiagHelp[1]\DiagHelp\gzip.exe c:\Users\lenna\Documents\DiagHelp[1]\DiagHelp\KProcCheck.exe c:\Users\lenna\Documents\DiagHelp[1]\DiagHelp\LFiles.exe c:\Users\lenna\Documents\DiagHelp[1]\DiagHelp\LISTDLLS.exe c:\Users\lenna\Documents\DiagHelp[1]\DiagHelp\md5sums.exe c:\Users\lenna\Documents\DiagHelp[1]\DiagHelp\pslist.exe c:\Users\lenna\Documents\DiagHelp[1]\DiagHelp\sigcheck.exe c:\Users\lenna\Documents\DiagHelp[1]\DiagHelp\streams.exe c:\Users\lenna\Documents\DiagHelp[1]\DiagHelp\swreg.exe c:\Users\lenna\Documents\DiagHelp[1]\DiagHelp ar.exe c:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-2.3.2.7741-to-2.3.3.7799-frFR-downloader.exe c:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-2.3.2.7741-to-2.3.3.7799-frFR-patch.exe ****** Fin du rapport DiagHelp Veuillez svp envoyer le fichier C:\upload_moi_PC-de-lenna.tar.gz a l'adresse http://upload.malekal.com

FillPCA · Answer

Re,

Imprime ceci.

1/ Ouvre ccleaner, clique sur "lancer le nettoyage".

2/ Télécharge et installe Malwarebyte's Anti-Malware
http://www.malwarebytes.org/mbam/program/mbam-setup.exe


A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée. >>> clique sur "Terminer"
Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur le bureau.
Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur ok

Laisse les Mises à jour se télécharger

*** Referme le programme ***

Redémarre en "Mode sans échec"

Lance Malwarebyte's Anti-Malware
Onglet "Recherche" >>> coche Exécuter un examen complet >>> Rechercher
Sélectionne ton disque dur >>> clic sur Lancer l'examen

A la fin du scan >>> clique sur Afficher les résultats >>> Enregistrer le Rapport
Suppression des éléments détectés >>>> clique sur Supprimer la sélection


S'il t'es demandé de redémarrer >>> clique sur "Yes"

Un rapport de scan s'ouvre, poste le rapport. 

3/     *  Fais un scan en ligne en cliquant ici : http://assiste.com.free.fr/...
    * Choisis Kaspersky.
    * Tu dois réaliser le scan en utilisant Internet explorer. Une information apparait en haut, près de la barre d'état. Tu dois accepter et installer l'activeX proposé. La mise à jour de l'antivirus se lance.
    * Réalise un scan complet du système.
    * Sauvegarde le rapport en mode texte à l'issue du scan.

4/ Edite le rapport MalwareByte's et le rapport Kaspersky.

FillPCA

FillPCA · Answer

Re,

    *  Télécharge combofix.exe (par sUBs) sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    * Double clique combofix.exe et suis les invites.
    * Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

FillPCA

FillPCA · Answer

Re,

As-tu essayé d'utiliser Combofix en faisant un clic droit "Exécuter en tant qu'administrateur" ?

FillPCA

FillPCA · Answer

Re,

Essaie de le télécharger à partir de ce lien : https://spaces.hightail.com/resolve/ufid/7A56547F3F3ADD08

J'ai changé le nom mais c'est le même programme.

Fais un clic droit, puis "Exécuter en tant qu'administrateur".

Edite ensuite le rapport généré.

FillPCA

FillPCA · Answer

Re,

    *  Télécharge OTMoveIt2  (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
    * Double-clique sur OTMoveIt.exe pour lancer le programme,
    * Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\poof
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LEGACY_poof


    * Clique sur MoveIt! pour lancer la suppression,
    * Le résultat appraraîtra dans le cadre Results.
    * Clique sur Exit pour fermer le programme.
    * Poste le rapport qui est situé ici : C:\\_OTMoveIt\MovedFiles
    * Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

Edite ce rapport.

Je dois m'absenter mais je reviens en fin d'après-midi.

FillPCA

FillPCA · Answer

Re,

1/     *  Télécharge IceSword sur ton Bureau : http://202.38.64.10/%7Ejfpan/download/IceSword120_en.zip
    * Fais un clic droit sur cette archive et choisis "Extraire ici".
    * Double clique sur ce dossier, puis fais un clic droit sur IceSword.exe afin de lancer l'outil avec des privilèges administrateurs.
    * Agrandis la fenêtre de l'outil en plein écran, en cliquant sur le petit carré (au haut, à droite).


    * A gauche, vers le haut, clique sur le bouton Registry (juste sous Functions) ;
          o Par l'arborescence fournie, retrouve cette clé :

                                    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\poof

          o Dans la fenêtre de gauche, fais un clic droit sur le petit dossier nommé poof et clique Delete

Fais la même chose avec celle-ci si tu la trouves.

                                    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LEGACY_poof

          o Dans la fenêtre de gauche, fais un clic droit sur le petit dossier nommé LEGACY_poof et clique Delete

2/ Redémarre le pc.

3/ Refais un scan complet avec malwarebytes's et poste le rapport d'analyse.

4/ Vérifie que ces réglages sont corrects.
Démarrer-->Parametres-->Panneau de configuration-->Options Internet ou Sur la fenetre du navigateur Internet,Outils-->Options Internet

Dans la fenêtre qui s'ouvre, sélectionnez l'onglet Sécurité. Après cela,
cliquez sur le bouton Personnaliser le niveau...

Une nouvelle fenêtre s'ouvre, dans la partie qui se nomme Parametres de securité,
effectuez alors les réglages suivants :

A la ligne : Contrôles ActiveX reconnus sûrs pour l'écriture de scripts,
cochez la case Activer.

Puis, à la ligne : Contrôles d'initialisation et de scripts ActiveX non
marqués comme sécurisés, cochez la case Désactiver.

Maintenant, à la ligne : Exécuter les contrôles ActiveX et les plugins,
cochez la case Activer.

Après cela, à la ligne : Télécharger les contrôles ActiveX non signés,
cochez la case Désactiver.

Et pour finir, à la ligne : Télécharger les contrôles ActiveX signés,
cochez la case Demander.

cliquez sur le bouton OK, afin que les modifications soient
prises en compte.

5/ Retente le scan en ligne avec Kaspersky. Si ça ne marche, désactive Avast le temps du scan et tente le scan en ligne avec Panda.

6/ Edite le rapport Malwarebyte's et le rapport antivirus (Kaspersky ou Panda).

Je reviens plus tard.

FillPCA

lenna21 · Answer

quelqu un pour s interessé a mon probleme?

-Shadow- · Answer

À propos, est-ce que tu as bien tapé la commande que je t'ai demandée de faire, c'était pour récupérer l'adresse IP
du type. Si t'as pas fait ça, ben tu ne pourras jamais savoir qui c'est.

FillPCA · Answer

Il me semble t'avoir répondu

Blah! · Answer

Tu as quoi comme connexion (modem, fournisseur, etc...)?

FillPCA · Answer

Bon. De 2 choses l'une :
Ou tu me fournis les rapports que je t'ai demandés pour que je puisse t'aider,
ou j'abandonne ce sujet et je te laisse te débrouiller.

Dans ma réponse, datée d'hier à 13 h 11 et 59 s, je t'ai demandé 2 rapports. Il me les faut, ou j'abandonne.

FillPCA

-Shadow- · Answer

C'est moi qui fait tout ça... lol!

Ben déconnecte-toi d'Internet et regarde si ça le fait encore. Pendant la déconnexion, change ton PC de nom
et refais des scans avec tout les logiciels antispyware que t'as. Ensuite, tu te reconnectes et tu rafraîchis l'adresse DNS de ton PC. L'adresse IP aura aussi changé.

Si y'a pas de solutions, je crois que je vais laisser tomber aussi.
C'est quasiment impossible qu'il puisse te pister même après avoir fait 5 scans ou plus d'antivirus et tout,
que tu changes d'adresse IP et DNS et que tu désinstalles ton truc en p2p. J'espère que tu as fait tout ça?

Retapes encore une fois "netstat -a" dans l'invite de commandes pour voir qui est connecté à toi
et si tu repères un nom d'ordinateur autre que le tiens, donne-moi l'adresse IP qui correspond au nom du PC.
Après, je te donnerai une technique signée shadow qui utilise ping pour le déconnecter.

FillPCA · Answer

Non !

Je t'ai demandé de re-scanner ton pc avec malwarebyte's et dele scanner en ligne avec Kaspersky ou panda (en ayant pris soin avec ce dernier de désactiver temporairement Avast).

Je ne sais pas comment te le dire, mais il me faut ces rapports.

FillPCA

FillPCA · Answer

Re,

1/ Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur le bureau.
Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur ok

Laisse les Mises à jour se télécharger


Onglet "Recherche" >>> coche Exécuter un examen complet >>> Rechercher
Sélectionne ton disque dur >>> clic sur Lancer l'examen

A la fin du scan >>> clique sur Afficher les résultats >>> Enregistrer le Rapport
Suppression des éléments détectés >>>> clique sur Supprimer la sélection


S'il t'es demandé de redémarrer >>> clique sur "Yes"

Un rapport de scan s'ouvre, poste le rapport. 

2/ Désactive temporairement ton antivirus.

3/     *  Fais un scan en ligne en cliquant ici : http://assiste.com.free.fr/...
    * Choisis Panda
    * Tu dois réaliser le scan en utilisant Internet explorer. Une information apparait en haut, près de la barre d'état. Tu dois accepter et installer l'activeX proposé. La mise à jour de l'antivirus se lance.
    * Réalise un scan complet du système.
    * Sauvegarde le rapport en mode texte à l'issue du scan.

4/ Edite les 2 rapports précédents.

FillPCA

FillPCA · Answer

OK.

Donc, ce rootkit a disparu. J'attends Panda.

FillPCA

FillPCA · Answer

Re,

Vérifie si ces paramètres sont bons et ré-essaie :

Démarrer-->Parametres-->Panneau de configuration-->Options Internet ou Sur la fenetre du navigateur Internet,Outils-->Options Internet

Dans la fenêtre qui s'ouvre, sélectionnez l'onglet Sécurité. Après cela,
cliquez sur le bouton Personnaliser le niveau...

Une nouvelle fenêtre s'ouvre, dans la partie qui se nomme Parametres de securité,
effectuez alors les réglages suivants :

A la ligne : Contrôles ActiveX reconnus sûrs pour l'écriture de scripts,
cochez la case Activer.

Puis, à la ligne : Contrôles d'initialisation et de scripts ActiveX non
marqués comme sécurisés, cochez la case Désactiver.

Maintenant, à la ligne : Exécuter les contrôles ActiveX et les plugins,
cochez la case Activer.

Après cela, à la ligne : Télécharger les contrôles ActiveX non signés,
cochez la case Désactiver.

Et pour finir, à la ligne : Télécharger les contrôles ActiveX signés,
cochez la case Demander.

cliquez sur le bouton OK, afin que les modifications soient
prises en compte.


FillPCA

FillPCA · Answer

Re,

Essaie celui-là, sinon, on fera utrement :

    *  Fais un scan en ligne en cliquant ici : https://www.bitdefender.com/toolbox/
    * Tu dois réaliser le scan en utilisant Internet explorer. Une information apparait en haut, près de la barre d'état. Tu dois accepter et installer l'activeX proposé. La mise à jour de l'antivirus se lance.
    * Réalise un scan complet du système.
    * Sauvegarde le rapport en mode texte à l'issue du scan et édite-le.

FillPCA

FillPCA · Answer

Re,

1/ Essaie d'installer le pare-feu Comodo : https://infomars.fr/forum/index.php?showtopic=389

2/ Désinstalle Avast et installe Antivir à la place : https://www.avira.com/

3/ Fais un scan complet avec Antivir et sauvegarde le rapport.

4/     *  Télécharge GenProc (de Lazzzy et Narco4) sur ton bureau : http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip
    * Dézippe-le sur ton bureau (Clic droit>Extraire ici).
    * Double-clique sur GenProc.bat et édite le rapport généré par le programme.
    * Tu trouveras une aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

5/ Edite le rapport Antivir et GenProc.

6/ Dans l'onglet Activité>connexion de Comodo, regarde si tu vois un programme inconnu qui accède au net. Dis-moi ce qui apparait.

FillPCA

FillPCA · Answer

OK. Fais les autres étapes. On verra cela après.

FillPCA

FillPCA · Answer

Re,

OK. Notes-tu un programme anormal connecté à Internet avec Comodo ?

FillPCA

FillPCA · Answer

Re,

Télécharge la v2.4, qui existe en français : http://www.personalfirewall.comodo.com/download_firewall.html#fw2.4

Sur ce lien, tu as un tuto et une vidéo qui explique comment configurer le soft : https://infomars.fr/forum/index.php?showtopic=389

Ne ré-installe pas ton jeu.

Dis-moi si tu notes une activité particulière dans le bouton activité>Connexion.

Je coupe pour ce soir mais je regarde ta réponse demain matin.

Dis-moi aussi si tes problèmes persistent.

FillPCA

-Shadow- · Answer

Donc, as-tu tapé netstat -a dans l'invite de commandes?
Fais-le et regarde s'il y a pas de nom de PC que tu ne connais pas.

FillPCA · Answer

Salut,

    *  Télécharger smitfraudfix (de S!Ri) sur le bureau : http://siri.urz.free.fr/Fix/SmitfraudFix.exe
    * Fais un clic droit>Exécuter en mode administrateur.
    * Choisis l'option 1 et colle dans ta réponse le rapport généré par smitfraudfix. Ce rapport se trouve dans la fenêtre du bloc-note qui s’ouvre.
    * Ferme l'application en tapant sur la touche Q.

Edite le rapport. Je reviens en fin de soirée.

FillPCA

lenna21 · Answer

SmitFraudFix v2.300

Scan done at 19:41:28,63, 03/03/2008
Run from C:\Users\serial killeurs\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Windows\System32undll32.exe
C:\Windows\System32undll32.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\vssvc.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\System32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\serial killeurs


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\serial killeurs\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\SERIAL~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=" "
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) 82566DC-2 Gigabit Network Connection
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5A27FE82-257A-41B0-838F-AB4DE73A4E08}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5A27FE82-257A-41B0-838F-AB4DE73A4E08}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{5A27FE82-257A-41B0-838F-AB4DE73A4E08}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

FillPCA · Answer

Salut,

C'est curieux. Les rapports n'indiquent rien de particulier. Peux-tu m'indiquer plus précisément les symptomes, en t'aidant si besoin de capture d'écrans pour que je comprenne.
Peux-tu éditer aussi un rapport Hijackthis complet ? Le dernier s'arrêtait aux lignes 20.

FillPCA

afideg · Answer

Bonsoir Fill
Juste pour lire, SVP
Merci
Al.

-Shadow- · Answer

Tu as tapé "netstat -a" dans l'invite de commandes pour voir qui t'as fait le coup?
Si tu veux pas le retrouver c'est ton affaire.

Apparemment, le type qui te fait des misères a l'air de s'y connaître un bon rayon.
Si tu vois un nom de PC inconnu à côté d'une adresse IP, tu vas dans notepad, tu tapes ça:

@echo off
:KILL
ping -f -l 1300 -t adresse_ip -n 1 -w 200
goto KILL

Tu enregistres sous "IP.BAT" sur ton bureau. Tu ouvres le fichier et tu laisse quelques minutes.

FillPCA · Answer

Salut,

Je dois dire que je ne comprends pas. Les rapports n'indiquent rien. Quand tu auras fait ce que Shadow préconise, pourras-tu confimrer si tu ne vois aucune connexion inconnue dans l'onglet activité de Comodo ?

FillPCA

-Shadow- · Answer

Ben non ils utilisent ton PC en tant qu'intermédiaire entre eux et live hotmail c'est pour l'envoi des message par ton PC.
On peut dire qu'ils sont culottés et sans gêne, ces pirates te font des malheurs et ils croient qu'en s'excusant
ça va acheter leurs rêves. Déconnecte-toi pour les faire ch*er, ils pourront plus utiliser ton PC.

-Shadow- · Answer

Ok,tapes "netstat -a > C:\Z.TXT" sans les guillemets et poste le contenu de Z.TXT qui est dans C: dans ton
prochain post pour voir toutes les connexions.

Vendre le PC ne résoudra rien. ^^

Révoltek · Answer

quand sa chie connexion déconnexion connexion déconnexion connexion déconnexion ..... lol  sa les emmerdera unpeut ^^
enfin sinon désolé pour toi c'est quand même bien un truc de fou!
Mais sa me parait quand même très étrange qu'après un formatage complet du DD ils parviennent encore a s'introduire dans ton pc.
Normalement pour cela il faut qu'ils arrivent a mettre un petit logiciel qui leur permettre d'entrer dans ton pc... j'ai aussi déja entendu parler de truc malveillant capable de rester sur les barrette mémoire, au pire au prochain formatage tu les enlève et tu attend 2 ou 3 bonne heure (pendant ce temps la profite en pour débrancher le pc et enlever la pile du bios) mais fait tout cela après le formatage afin que le DD soit vide. Sa sert peut etre a rien mais bon... qui sait...

C'est toi qui a formater et réinstallé ton pc? si c'est quelqu'un d'autre est-il de confiance? ton cd windows est il honnête ou téléchagé?

-Shadow- · Answer

Hum, un Windows cracké ou unattented serait peut-être une hypothèse valable.
Un trojan caché dans un fichier vital du système indétectable serait peut-être à l'origine du problème.

Reformate le disque mais avec un petit utilitaire qui efface les clusters,
à noter que les clusters sont des endroits alloués du disque qui te sont totalement inutiles et qui laissent des traces de fichiers avant formatage. Eraser les effacent tous sans endommager ton disque dur.
Pense à sauvegarder tes données avant d'utiliser ce genre de logiciel!

http://www.bugbrother.com/eraser/

Révoltek · Answer

O_o  Mirci shadow je prend ^^ , sa pourrais bien m'ettre utile pour mon prochain formatage lol

-Shadow- · Answer

@lenna21, moi je peux pas t'aider je suis dans la banlieue parisienne ^^

@révoltek, toi aussi tu fais des co***ries sur ton PC? LoL

-Shadow- · Answer

Pas besoin, tu veux faire quoi comme ça? Changer le mot de passe et le nom identificateur de ton BIOS?
Parce que, madame, ces paramètres sont accessibles et modifiables par le BIOS lui-même!
Il suffit d'appuyer sur F12 ou SUPPR à l'ouverture du PC.

Révoltek · Answer

euhh la je ne sais pas très bien comment l'expliquer ...
ouvrir le boitier c'est simple il y a 4 ou 6 vis derrière tu tire la coque et le voila ouvert
les barrette mémoire je suppose que tu doit savoir ce que c'est^^ il y a un clips a chaque bout que tu baisse pour libérer la barrette
et la pile du bios c'est une pile bouton de la taille d'une pièce de 5 centime sur la carte mère qui doit etre visible tu comprendra surement vite comment l'enlever

EDIT: non c'est moi qui avais dit sa mais comme je l'est dit c'est peut etre inutile, je disais juste sa pour absolument tout mettre a zero

Révoltek · Answer

je sais pas je disais sa surtou pour qu'il n'y est plus rien en mémoire nul part

-Shadow- · Answer

Pour ça, y'a le formatage, après je crois que la solution pour le BIOS, ce serait de le flasher.

Dommage je connaissais un logiciel plus puissant que ERASER mais j'ai oublié le nom, ce logiciel était sur ce site.
Un truc comme darkboot, je sais plus du tout. Je connais une autre technique qui est le flush mais c'est hyper puissant
ça dure 1 seconde même pas, ça efface tout sans laisser une trace, mais je sais pas ce qu'il se passe après.
(explosion du disque? lol)

FillPCA · Answer

Salut,

Je sais qu'il y a killDisk : https://www.killdisk.com/eraser.html
https://www.cnetfrance.fr/telecharger/kill-disk-11009431s.htm

Je n'ai jamais utilisé, mais c'est un produit performant.

Quand tu auras fait ceci, débranche toute connexion, ré-installe windows, installe un pare-feu.

Révoltek · Answer

si après tout sa il t'emmerde encore tu n'a plus cas te pendre ^^ (fais pas la con je plésante hin! lol)

-Shadow- · Answer

Moi je crois que c'est une bonne solution ton truc. C'est pas un nom de virus? W32/DISKKILLER Comme définition
de virus?

Harcelé par un pirate

61 réponses

Discussions similaires

Newsletters