Virus affectant la base de registre Fermé

Question

Bonjour tout le monde,
je viens vous expliquer mon probleme.

Il y a environ 1 mois de cela je pense avoir attrapé un virus qui a désactivé l'accés au regedit et qui a modifié de nombreux attributs de windows comme l'affichage des extensions des fichiers..
Ensuite lorsque j'essaie par exemple de télécharger un fichier via firefox comme un .exe mon ordi reboot tout seul.
J'ai aussi des applications qui se rajoute toute seul dans le msconfig / démarrage sous le nom de "empty".
Lorsque je veux me rendre dans l'option des dossiers windows via outils / options des dossiers, je n'ai plus l'options des dossiers.

Bref beaucoup de petite chose bizard.
Du coup apres n'avoir trouvé aucune aide, j'ai formaté mon pc mais ça vient de recommencer il ya 2 jours..

Si quelqun peut m'éclairer, merci d'avance.

FillPCA · Answer

Salut,

Peux-tu éditer un rapport Hijackthis ?
https://forum.pcastuces.com/tutoriel_hijackthis_v_2002___tutoriel-f31s8.htm

FillPCA

jfkpresident · Answer

bonsoir kevin ; salut fill !

juste pour suivre ....

Bonne continuation . @+

FillPCA · Answer

Salut jfk !

FillPCA

avrel820 · Answer

Salut va chez bitdefender et fait un scan en ligne c'gratiss   met a jour ton pc + bios.

FillPCA · Answer

Salut,

Je préfère terminer par le scan en ligne. Je veux d'abord le rapport Hijackthis.

FillPCA

Kevin · Answer

Bonsoir tout le monde,
merci pour vos réponses.

FillPCA lorsque je me rend sur ton site mon PC reboot.

Je me suis aussi apperçu qu'il rebooté lors de l'ouverture d'une fenetre MSDOS

FillPCA · Answer

Salut,

Télécharge le logiciel HijackThis v 2.0.2
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
Démo en image
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm


Fais un scan et poste l'analyse.

FillPCA

Kevin · Answer

mon pc reboot lors du téléchargement de l'exe.
J'ai voulu passer par un download manager mais je ne peux pas télécharger d'install d'un download manager non plus..

FillPCA · Answer

Re,

    *  Télécharge PCA (d'Evosla) : http://ww25.evosla.com/pca_cpt.php?agr=pca_securite
    * Dézippe-le dans un répertoire dédié comme c:\PCA au moyen d'un clic droit (Extraire...),
    * Clique sur l'onglet  "diagnostic du PC" puis "analyser".
    * Laisse l'analyse se dérouler. Cela ne prend que quelques secondes.
    * Clique sur "enregistrer le rapport" en bas à droite et sauvegarde-le sur le bureau.
    * Edite le contenu de ce rapport dans ta prochaine réponse. Il se nomme PCA_LOG.txt

FillPCA

Kevin · Answer

Merci bien j'ai pu télécharger le .zip

Voici le log

# PCA Sécurité V 1.2.10, (fichier LOG).
# Rapport du  :18/06/2008 23:46:23
Microsoft Windows XP  Service Pack 2
 
==>> Processus <==
\SystemRoot\System32\smss.exe
\??\C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Steam\Steam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\IcoSauve.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\services.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\services.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\lsass.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PCA\pca.exe
 
//pages de démarrage et de recherche d'Internet Explorer
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.msn.com/fr-fr/?ocid=iehp
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
RO - HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.google.fr/?gws_rd=ssl
RO - HKCU\Software\Microsoft\Internet Explorer\Toolbar\LinksFolderName = Liens
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Search Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
//applications lancées depuis system.ini,win.ini 
//03 - Browser Helper Objects (BHOs)
02 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
02 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL
02 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
02 - BHO:  - {7E853D72-626A-48EC-A868-BA8D5E23E045} - 
02 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
02 - BHO: IeMonitorBho Class - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O3 - Toolbar : Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar : Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL
//04 - applications chargées automatiquement
04 - HKLM\..\RUN: [SoundMan] - SOUNDMAN.EXE
04 - HKLM\..\RUN: [Bron-Spizaetus] - "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
04 - HKCU\..\RUN: [MsnMsgr] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKCU\..\RUN: [Steam] - C:\Program Files\Steam\Steam.exe -silent
04 - HKCU\..\RUN: [Tok-Cirrhatus-1266] - "C:\Documents and Settings\Kev\Local Settings\Application Data\br3555on.exe"
04 - HKCU\..\RUN: [Tok-Cirrhatus] - 
04 - HKCU\..\RUN: [ctfmon.exe] - C:\WINDOWS\system32\ctfmon.exe
04 - HKLM\..\RunServices: [Microsoft Update Machine] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKCU\..\RunServices: [Microsoft Update Machine] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKUS\S-1-5-19\..\RunOnce: [nltide1] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKUS\S-1-5-19\..\RunOnce: [nltide2] - C:\Program Files\Steam\Steam.exe -silent
04 - HKUS\S-1-5-20\..\RunOnce: [nltide1] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKUS\S-1-5-20\..\RunOnce: [nltide2] - C:\Program Files\Steam\Steam.exe -silent
04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [MsnMsgr] - SOUNDMAN.EXE
04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [Steam] - "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [Tok-Cirrhatus-1266] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [Tok-Cirrhatus] - C:\Program Files\Steam\Steam.exe -silent
04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [ctfmon.exe] - "C:\Documents and Settings\Kev\Local Settings\Application Data\br3555on.exe"
04 - Startup: IcoSauve.lnk= C:\Documents and Settings\Kev\Menu Démarrer\Programmes\Démarrage\IcoSauve.lnk
//05 - Accès au panneau de contrôle d'Internet Explorer (control.ini) 
//06-  interdiction à l' accès au options (Internet Explorer) 
//07 -  blocage de l'exécution de Regedit 
//08 - lignes supplémentaires dans le menu contextuel d'Internet Explorer
08 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbaresources\en-US\local\search.html
08 - Extra context menu item: Download Link Using Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
//09 - boutons situés sur la barre d'outils principale d'Internet Explorer
09 - Extra button:  - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
09 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
09 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
09 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
09 - Extra button:  - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
09 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
//O10 - Pirates de Winsock
O10 - fichier inconnu - winsock lsp : mdnsNSP - C:\Program Files\Bonjour\mdnsNSP.dll
//O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer) 
O11 - Options group: [INTERNATIONAL] - International*
O11 - Options group: [TABS] - Tabbed Browsing
//O12 - IE plugins
//013 : DefaultPrefix 
//014 - Option : (Rétablir les paramètres Web) 
//015 - Zone de confiance d'Internet Explorer
//O16 - Objets ActiveX
//O17 - piratage de domaine Lop.com
//O18 - protocoles additionnels
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - 
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
//O19 - feuille de style de l'utilisateur
//O20 - valeur de Registre AppInit_DLLs et les sous-clés Winlogon Notify
//O21 - ShellServiceObjectDelayLoad
//O22 - SharedTaskScheduler
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
//O23 - services de XP,NT, 2000, et 2003
O23 - Service: [Service de la passerelle de la couche Application] - %SystemRoot%\System32\alg.exe
O23 - Service: [Service d'état ASP.NET] - %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## - "C:\Program Files\Bonjour\mDNSResponder.exe"
O23 - Service: [Gestionnaire de l'Album] - %SystemRoot%\system32\clipsrv.exe
O23 - Service: [.NET Runtime Optimization Service v2.0.50727_X86] - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Service: [Application système COM+] - C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
O23 - Service: [FLEXnet Licensing Service] - "C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe"
O23 - Service: [Service COM de gravage de CD IMAPI] - 
O23 - Service: [Macromedia Licensing Service] - "C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe"
O23 - Service: [Partage de Bureau à distance NetMeeting] - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: [Distributed Transaction Coordinator] - C:\WINDOWS\system32\msdtc.exe
O23 - Service: [Gestionnaire de session d'aide sur le Bureau à distance] - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: [Localisateur d'appels de procédure distante (RPC)] - %SystemRoot%\system32\locator.exe
O23 - Service: [QoS RSVP] - %SystemRoot%\system32svp.exe
O23 - Service: [Spouleur d'impression] - %SystemRoot%\system32\spoolsv.exe
O23 - Service: [MS Software Shadow Copy Provider] - C:\WINDOWS\system32\dllhost.exe /Processid:{94ADE9D7-B1B1-43A4-8470-2F2FCA8A3608}
O23 - Service: [Journaux et alertes de performance] - %SystemRoot%\system32\smlogsvc.exe
O23 - Service: [Telnet] - C:\WINDOWS\system32	lntsvr.exe
O23 - Service: [Onduleur] - %SystemRoot%\System32\ups.exe
O23 - Service: [Service Messenger Sharing Folders USN Journal Reader] - "C:\Program Files\Windows Live\Messenger\usnsvc.exe"
O23 - Service: [Cliché instantané de volume] - %SystemRoot%\System32\vssvc.exe
O23 - Service: [Windows Live Setup Service] - "C:\Program Files\Windows Live\installer\WLSetupSvc.exe"
O23 - Service: [Carte de performance WMI] - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: [Service Partage réseau du Lecteur Windows Media] - "C:\Program Files\Windows Media Player\WMPNetwk.exe"

FillPCA · Answer

Bonjour,

Belle infection.

1/     *  Télécharge SDFix (créé par Andy Manchesta) et sauvegarde le sur ton Bureau : http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    * Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

    * Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
          o Redémarre ton ordinateur.
          o Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (ou F5).
          o A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
          o Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
          o Choisis ton compte.
    * Déroule la liste des instructions ci-dessous :
          o En mode sans échec, double-clique sur le fichier SDFix.exe et clique sur install,
          o Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
          o Appuie sur Y pour commencer le script.
          o Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
          o Appuie sur une touche pour redémarrer le PC.
          o Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
          o Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
          o Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
          o Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis ou un nouveau rapport PCA si tu n'y parviens pas.

2/     *  Télécharge DiagHelp.zip sur ton bureau(Merci Malekal) : http://www.malekal.com/download/DiagHelp.zip
 Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
    * Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout.
    * Un nouveau dossier chercher va être créé.
    * Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
    * Une fenêtre va s'ouvrir, choisis l'option 1
    * L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
    * Pendant l'analyse après le rapport CATCHME sur l'écran rouge, tu dois appuyer sue entrée pour que l'outil continue ses recherches. Suis les consignes écrites.
    * Une fenêtre avec le rapport s'ouvre alors. Copie/colle son contenu. (Il se trouve aussi ici : c:\resultat.txt)
    * Double-clique sur ce fichier, Fais CTRL+A puis CTRL+C.
    * Dans ta prochaine réponse, colle le rapport en faisant CTRL+V.

3/ # Télécharge SREng (de Smallfrogs) : http://www.kztechs.com/eng/download.html
# Dézippe tout son contenu sur ton bureau (clic droit >Extraire ici).
# Ouvre le dossier SReng2 et double-clique sur SREngPS.exe.
# Clique sur "smart scan".
# Clique sur le bouton "scan".
# Quand l'analyse est terminée, clique sur le bouton "save reports".
# Sauvegarde alors le rapport sur ton bureau.
# Copie/colle le contenu du rapport  SREnglLOG.log dans ta prochaine réponse.

FillPCA

Kevin · Answer

Bonjour, désolé pour le temps de retard.
voici le contenu de Report.txt de SDFix


[b]SDFix: Version 1.194 [/b]
Run by Kev on 20/06/2008 at 13:16

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service 

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS\system32\1.exe - Deleted
C:\WINDOWS\system32\2.exe - Deleted
C:\WINDOWS\system32\1.exe  - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-20 13:22:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Fri 23 Feb 2007        45,417 ...H. --- "C:\WINDOWS\KesenjanganSosial.exe"
Fri 23 Feb 2007        45,417 ...H. --- "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
Wed  5 Jul 2006     1,386,496 ..SHR --- "C:\WINDOWS\system32\msvbvm60.dll"
Wed 13 Jun 2007       337,999 ..SHR --- "C:\WINDOWS\system32\xiwuja.exe"
Mon 26 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\02418795bf9ae0332d2724a0721b3b6a\BITAA.tmp"

[b]Finished![/b]




Le nouveau log PCA


# PCA Sécurité V 1.2.10, (fichier LOG).
# Rapport du  :20/06/2008 13:46:54
Microsoft Windows XP  Service Pack 2
 
==>> Processus <==
\SystemRoot\System32\smss.exe
\??\C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32
otepad.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\IcoSauve.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\services.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\services.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\lsass.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\PCA\pca.exe
 
//pages de démarrage et de recherche d'Internet Explorer
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.msn.com/fr-fr/?ocid=iehp
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
RO - HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.google.fr/?gws_rd=ssl
RO - HKCU\Software\Microsoft\Internet Explorer\Toolbar\LinksFolderName = Liens
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Search Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
//applications lancées depuis system.ini,win.ini 
//03 - Browser Helper Objects (BHOs)
02 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
02 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL
02 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
02 - BHO:  - {7E853D72-626A-48EC-A868-BA8D5E23E045} - 
02 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
02 - BHO: IeMonitorBho Class - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O3 - Toolbar : Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar : Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL
//04 - applications chargées automatiquement
04 - HKLM\..\RUN: [SoundMan] - SOUNDMAN.EXE
04 - HKLM\..\RUN: [Bron-Spizaetus] - "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
04 - HKCU\..\RUN: [MsnMsgr] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKCU\..\RUN: [Steam] - C:\Program Files\Steam\Steam.exe -silent
04 - HKCU\..\RUN: [Tok-Cirrhatus-1266] - "C:\Documents and Settings\Kev\Local Settings\Application Data\br3555on.exe"
04 - HKCU\..\RUN: [Tok-Cirrhatus] - 
04 - HKCU\..\RUN: [ctfmon.exe] - C:\WINDOWS\system32\ctfmon.exe
04 - HKUS\S-1-5-19\..\RunOnce: [nltide1] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKUS\S-1-5-19\..\RunOnce: [nltide2] - C:\Program Files\Steam\Steam.exe -silent
04 - HKUS\S-1-5-20\..\RunOnce: [nltide1] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKUS\S-1-5-20\..\RunOnce: [nltide2] - C:\Program Files\Steam\Steam.exe -silent
04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [MsnMsgr] - SOUNDMAN.EXE
04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [Steam] - "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [Tok-Cirrhatus-1266] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [Tok-Cirrhatus] - C:\Program Files\Steam\Steam.exe -silent
04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [ctfmon.exe] - "C:\Documents and Settings\Kev\Local Settings\Application Data\br3555on.exe"
04 - Startup: IcoSauve.lnk= C:\Documents and Settings\Kev\Menu Démarrer\Programmes\Démarrage\IcoSauve.lnk
//05 - Accès au panneau de contrôle d'Internet Explorer (control.ini) 
//06-  interdiction à l' accès au options (Internet Explorer) 
//07 -  blocage de l'exécution de Regedit 
//08 - lignes supplémentaires dans le menu contextuel d'Internet Explorer
08 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbaresources\en-US\local\search.html
08 - Extra context menu item: Download Link Using Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
//09 - boutons situés sur la barre d'outils principale d'Internet Explorer
09 - Extra button:  - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
09 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
09 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
09 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
09 - Extra button:  - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
09 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
//O10 - Pirates de Winsock
O10 - fichier inconnu - winsock lsp : mdnsNSP - C:\Program Files\Bonjour\mdnsNSP.dll
//O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer) 
O11 - Options group: [INTERNATIONAL] - International*
O11 - Options group: [TABS] - Tabbed Browsing
//O12 - IE plugins
//013 : DefaultPrefix 
//014 - Option : (Rétablir les paramètres Web) 
//015 - Zone de confiance d'Internet Explorer
//O16 - Objets ActiveX
//O17 - piratage de domaine Lop.com
//O18 - protocoles additionnels
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - 
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
//O19 - feuille de style de l'utilisateur
//O20 - valeur de Registre AppInit_DLLs et les sous-clés Winlogon Notify
//O21 - ShellServiceObjectDelayLoad
//O22 - SharedTaskScheduler
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
//O23 - services de XP,NT, 2000, et 2003
O23 - Service: [Service de la passerelle de la couche Application] - %SystemRoot%\System32\alg.exe
O23 - Service: [Service d'état ASP.NET] - %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## - "C:\Program Files\Bonjour\mDNSResponder.exe"
O23 - Service: [Gestionnaire de l'Album] - %SystemRoot%\system32\clipsrv.exe
O23 - Service: [.NET Runtime Optimization Service v2.0.50727_X86] - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Service: [Application système COM+] - C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
O23 - Service: [FLEXnet Licensing Service] - "C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe"
O23 - Service: [Service COM de gravage de CD IMAPI] - 
O23 - Service: [Macromedia Licensing Service] - "C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe"
O23 - Service: [Partage de Bureau à distance NetMeeting] - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: [Distributed Transaction Coordinator] - C:\WINDOWS\system32\msdtc.exe
O23 - Service: [Gestionnaire de session d'aide sur le Bureau à distance] - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: [Localisateur d'appels de procédure distante (RPC)] - %SystemRoot%\system32\locator.exe
O23 - Service: [QoS RSVP] - %SystemRoot%\system32svp.exe
O23 - Service: [Spouleur d'impression] - %SystemRoot%\system32\spoolsv.exe
O23 - Service: [MS Software Shadow Copy Provider] - C:\WINDOWS\system32\dllhost.exe /Processid:{94ADE9D7-B1B1-43A4-8470-2F2FCA8A3608}
O23 - Service: [Journaux et alertes de performance] - %SystemRoot%\system32\smlogsvc.exe
O23 - Service: [Telnet] - C:\WINDOWS\system32	lntsvr.exe
O23 - Service: [Onduleur] - %SystemRoot%\System32\ups.exe
O23 - Service: [Service Messenger Sharing Folders USN Journal Reader] - "C:\Program Files\Windows Live\Messenger\usnsvc.exe"
O23 - Service: [Cliché instantané de volume] - %SystemRoot%\System32\vssvc.exe
O23 - Service: [Windows Live Setup Service] - "C:\Program Files\Windows Live\installer\WLSetupSvc.exe"
O23 - Service: [Carte de performance WMI] - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: [Service Partage réseau du Lecteur Windows Media] - "C:\Program Files\Windows Media Player\WMPNetwk.exe"

FillPCA · Answer

Salut,

Tu n'as pas édité tous les rapports.

1/     *  Télécharge OTMoveIt2  (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
    * Double-clique sur OTMoveIt.exe pour lancer le programme,
    * Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste List of Files/Folders to Move" :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Bron-Spizaetus
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus-1266
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus
C:\WINDOWS\ShellNew\RakyatKelaparan.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\br3555on.exe
C:\WINDOWS\KesenjanganSosial.exe
C:\WINDOWS\system32\xiwuja.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\services.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\lsass.exe
EmptyTemp

    * Clique sur MoveIt! pour lancer la suppression,
    * Le résultat appraraîtra dans le cadre Results.
    * Clique sur Exit pour fermer le programme.
    * Poste le rapport qui est situé ici : C:\\_OTMoveIt\MovedFiles
    * Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

2/ Edite le rapport OTMoveIt et un rapport Hijackthis. Si Hijackthis ne fonctionne pas, édite un rapport PCA à la place.

3/ Edite aussi le rapport Diaghelp et le rapport SREnG que tu n'as pas édité dans ton message précédent. Coupe-les en plusieurs morceaux s'ils sont trop longs.

FillPCA

FillPCA · Answer

Salut,

Quelle que soit la solution envisagée, j'aurais aimé savoir où tu en étais.

FillPCA

Virus affectant la base de registre

14 réponses

Discussions similaires