Sujet Précédent Sujet Suivant

Win32:Adware-gen

Résolu/Fermé
Drek44 Messages postés 37 Date d'inscription jeudi 5 juin 2008 Statut Membre Dernière intervention 10 novembre 2008 - 12 sept. 2008 à 14:32
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 - 28 sept. 2008 à 19:08
Bonjour,

Problème avec ce virus : Win32:Adware-gen qui n'est visiblement pas décider à me lacher puisque avast le détecte à chaque fois que je démarre mon ordi...Mais le scan du démarrage ne le supprime pas..
Voilà je ne sais plus quoi faire j'ai même lancer superantispyware pour virer les trackin cookies multiples que j'avais mais sans succès...

Merci d'avance de votre aide

18 réponses

Réponse 1 / 18
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
12 sept. 2008 à 15:12
Bonjour drak44,

Merci de suivre la procédure suivante pour générer un rapport hijackthis qui me permettra de diagnostiquer le problème de ton ordinateur :

Télécharge hijackthis sur ton bureau : https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/

Installe le, puis fais ceci avant de le lancer :
Va dans le menu démarrer --> Poste de travail --> disque local C --> Program Files --> Trend Micro --> Hijackthis --> cherche hijackthis.exe et fais un clic droit dessus --> renomme le en Jack.exe

Ensuite lance le et clique sur "Do a system scan and save a logfile".
Fais un copier-coller du rapport entier sur le forum

-1
Réponse 2 / 18
Drek44 Messages postés 37 Date d'inscription jeudi 5 juin 2008 Statut Membre Dernière intervention 10 novembre 2008
15 sept. 2008 à 13:00
Voici le rapport Hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:59:53, on 15/09/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Search Settings\SearchSettings.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Orange\Launcher\Launcher.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Orange\Deskboard\deskboard.exe
C:\Program Files\Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Trend Micro\HijackThis\Jack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [inrhcnlmj0ep65] C:\Documents and Settings\TANGUY\Local Settings\Temp\.ttA5.tmp.exe /CR=E378D6B80573F693830D714814CC3DF8757D6EA9E5EDED1FE5A3A862752F9FA9B64E544EC1D880145881EFB49284A763CC4A0631BEEAF097A6465E1F05A6DD4619DF2B674D2A73F397514AAAA2A857BCF8
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O15 - Trusted Zone: https://www.orange.fr/portail
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
-1
Réponse 3 / 18
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
15 sept. 2008 à 16:20
Ton ordinateur est infecté par une barre d'outil (SearchSettings) et un trojan (= cheval de Troie, pour plus de précision : voir ceci)

Ce n'est pas étonnant : ton ordinateur n'est pas du tout à jour (ton Windows est-il piraté ?), et tes protections sont insuffisantes (Avast ne sert qu'à te prévenir qu'il a laissé ton ordinateur se faire infecter, et Ad-Aware est inutile... et tu n'as pas de pare-feu)


Pour la barre d'outil, fais ceci :

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)


-1
Réponse 4 / 18
Drek44 Messages postés 37 Date d'inscription jeudi 5 juin 2008 Statut Membre Dernière intervention 10 novembre 2008
16 sept. 2008 à 18:08
J'ai fais ce qu'il conseillais dans ton lien : C'est-à-dire utiliser THE CLEANER qui ma donné ce rapport voilà :

The Cleaner Log 16/09/2008 18:06:29

Windows XP, Kernel functions unavailable, Free version

Program version: 5.1.0.156
Database version: 1027
Last full scan: 16/09/2008 17:39:04
Last update: 30/12/1899
Using heuristics: 1
Heuristics level: 5,00

Processes
---------
548 - C:\WINDOWS\System32\smss.exe - Windows NT Session Manager
648 - C:\WINDOWS\system32\csrss.exe - Client Server Runtime Process
672 - C:\WINDOWS\system32\winlogon.exe - Application d'ouverture de session Windows NT
744 - C:\WINDOWS\system32\services.exe - Applications Services et Contrôleur
756 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
1032 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1160 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1252 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1276 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1484 - C:\Program Files\Avast4\aswUpdSv.exe - avast! Antivirus updating service
1544 - C:\Program Files\Avast4\ashServ.exe - avast! antivirus service
1780 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
1888 - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe - Ad-Aware 2007 Service
1928 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
1964 - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
1984 - C:\Program Files\Ahead\InCD\InCDsrv.exe - incdsrv
132 - C:\WINDOWS\System32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 44.03
236 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
912 - C:\Program Files\Avast4\ashWebSv.exe - avast! Web Scanner
932 - C:\Program Files\Avast4\ashMaiSv.exe - avast! e-Mail Scanner Service
1560 - C:\WINDOWS\Explorer.EXE - Explorateur Windows
256 - C:\Program Files\HP\HP Software Update\HPWuSchd2.exe - hpwuSchd
580 - C:\Program Files\Ahead\InCD\InCD.exe - InCD
500 - C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe - Java(TM) Platform SE binary
600 - C:\Program Files\Search Settings\SearchSettings.exe - Search Settings application
712 - C:\PROGRA~1\Avast4\ashDisp.exe - avast! service GUI component
444 - C:\Program Files\Orange\Systray\SystrayApp.exe - C:\Program Files\Orange\Systray\SystrayApp.exe
1960 - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe - GoogleToolbarNotifier
1448 - C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe - SUPERAntiSpyware Application
128 - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe - HP Digital Imaging Monitor
1616 - C:\Program Files\Orange\Launcher\Launcher.exe - C:\Program Files\Orange\Launcher\Launcher.exe
1592 - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
1380 - C:\WINDOWS\System32\rundll32.exe - Exécuter une DLL en tant qu'application
2144 - C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe -
2340 - C:\Program Files\Orange\Deskboard\deskboard.exe - C:\Program Files\Orange\Deskboard\deskboard.exe
2348 - C:\Program Files\Orange\connectivity\connectivitymanager.exe - C:\Program Files\Orange\connectivity\connectivitymanager.exe
2376 - C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe - C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
2576 - C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe - C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
2584 - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
2748 - C:\WINDOWS\System32\wbem\wmiprvse.exe - WMI
3176 - C:\Program Files\The Cleaner Free\cleaner.exe - The Cleaner v5 GUI

Services
--------
c:\program files\lavasoft\ad-aware 2007\aawservice.exe=aawservice
C:\WINDOWS\System32\alg.exe=ALG
C:\WINDOWS\System32\svchost.exe=AudioSrv
C:\WINDOWS\System32\svchost.exe=BITS
C:\WINDOWS\System32\svchost.exe=Browser
C:\WINDOWS\System32\svchost.exe=CryptSvc
C:\WINDOWS\System32\svchost.exe=Dhcp
C:\WINDOWS\System32\svchost.exe=dmserver
C:\WINDOWS\System32\svchost.exe=Dnscache
C:\WINDOWS\System32\svchost.exe=ERSvc
C:\WINDOWS\System32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\System32\svchost.exe=FastUserSwitchingCompatibility
c:\progra~1\fichie~1\france telecom\shared modules\ftrtsvc\0\ftrtsvc.exe=FTRTSVC
C:\WINDOWS\System32\svchost.exe=helpsvc
c:\program files\ahead\incd\incdsrv.exe=InCDsrv
C:\WINDOWS\System32\svchost.exe=lanmanserver
C:\WINDOWS\System32\svchost.exe=lanmanworkstation
C:\WINDOWS\System32\svchost.exe=LmHosts
C:\WINDOWS\System32\svchost.exe=Messenger
C:\WINDOWS\System32\svchost.exe=Netman
C:\WINDOWS\System32\svchost.exe=Nla
C:\WINDOWS\System32\nvsvc32.exe=NVSvc
C:\WINDOWS\System32\services.exe=PlugPlay
C:\WINDOWS\System32\lsass.exe=PolicyAgent
C:\WINDOWS\System32\lsass.exe=ProtectedStorage
C:\WINDOWS\System32\svchost.exe=RasAuto
C:\WINDOWS\System32\svchost.exe=RasMan
C:\WINDOWS\System32\svchost.exe=RemoteRegistry
C:\WINDOWS\System32\svchost.exe=RpcSs
C:\WINDOWS\System32\lsass.exe=SamSs
C:\WINDOWS\System32\svchost.exe=Schedule
C:\WINDOWS\System32\svchost.exe=seclogon
C:\WINDOWS\System32\svchost.exe=SENS
C:\WINDOWS\System32\svchost.exe=SharedAccess
C:\WINDOWS\System32\svchost.exe=ShellHWDetection
C:\WINDOWS\System32\spoolsv.exe=Spooler
C:\WINDOWS\System32\svchost.exe=srservice
C:\WINDOWS\System32\svchost.exe=SSDPSRV
C:\WINDOWS\System32\svchost.exe=stisvc
C:\WINDOWS\System32\svchost.exe=TapiSrv
C:\WINDOWS\System32\svchost.exe=TermService
C:\WINDOWS\System32\svchost.exe=Themes
C:\WINDOWS\System32\svchost.exe=TrkWks
C:\WINDOWS\System32\svchost.exe=uploadmgr
C:\WINDOWS\System32\svchost.exe=W32Time
C:\WINDOWS\System32\svchost.exe=WebClient
C:\WINDOWS\System32\svchost.exe=winmgmt
C:\WINDOWS\System32\svchost.exe=WmdmPmSp
C:\WINDOWS\System32\svchost.exe=wuauserv
C:\WINDOWS\System32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: NVIEW=c:\windows\system32\rundll32.exe
000=HKCU\Run: SUPERAntiSpyware=c:\program files\superantispyware\superantispyware.exe
000=HKCU\Run: swg=c:\program files\google\googletoolbarnotifier\googletoolbarnotifier.exe
000=HKLM\Run: Adobe Reader Speed Launcher="c:\program files\adobe\reader 8.0\reader\reader_sl.exe"
000=HKLM\Run: avast!=c:\progra~1\avast4\ashdisp.exe
000=HKLM\Run: HP Software Update="c:\program files\hp\hp software update\hpwuschd2.exe"
000=HKLM\Run: InCD=c:\program files\ahead\incd\incd.exe
000=HKLM\Run: inrhcnlmj0ep65=c:\documents and settings\tanguy\local settings\temp\.tta5.tmp.exe
000=HKLM\Run: LiveNote=c:\windows\livenote.exe
000=HKLM\Run: NeroCheck=c:\windows\system32\nerocheck.exe
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: ORAHSSSessionManager=c:\program files\orange\sessionmanager\sessionmanager.exe
000=HKLM\Run: SearchSettings=c:\program files\search settings\searchsettings.exe
000=HKLM\Run: SunJavaUpdateSched="c:\program files\java\jre1.6.0_03\bin\jusched.exe"
000=HKLM\Run: SystrayORAHSS="c:\program files\orange\systray\systrayapp.exe"
001=Firewall bypass: C:\Program Files\Orange\Connectivity\ConnectivityManager.exe=c:\program files\orange\connectivity\connectivitymanager.exe
020=SSODL: CDBurn=C:\WINDOWS\System32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\System32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=C:\WINDOWS\System32\webcheck.dll
030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=(null) ()
030=BHO: {2E03C0FD-4C48-43A7-9A54-00240C70FF16}=c:\windows\system32\bhoecart.dll (ECarteBleueBrowserHelper Class)
030=BHO: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=c:\program files\java\jre1.6.0_03\bin\ssv.dll (SSVHelper Class)
030=BHO: {AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\program files\google\googletoolbar1.dll (Google Toolbar Helper)
030=BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=c:\program files\google\googletoolbarnotifier\3.1.807.1746\swg.dll (Google Toolbar Notifier BHO)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\System32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\System32\shell32.dll
031=Toolbar: {8E718888-423F-11D2-876E-00A0C9082467}=c:\windows\system32\msdxm.ocx

Startup Folders
---------------
Common: démarrage rapide du logiciel hp image zone.lnk -> C:\PROGRA~1\HP\DIGITA~1\bin\hpqthb08.exe
Common: hp digital imaging monitor.lnk -> C:\PROGRA~1\HP\DIGITA~1\bin\hpqtra08.exe

HOSTS
-----
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP
# pour Windows.
#
# Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.
# Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée
# dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse
# IP et le nom d'hôte doivent être séparés par au moins un espace.
#
# De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des
# lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le
# symbole '#'.
#
# Par exemple :
#
# 102.54.94.97 rhino.acme.com # serveur source
# 38.25.63.10 x.acme.com # hôte client x

127.0.0.1 localhost
-1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
Drek44 Messages postés 37 Date d'inscription jeudi 5 juin 2008 Statut Membre Dernière intervention 10 novembre 2008
16 sept. 2008 à 18:14
Je n'ai pas de Windows piraté par contre c'est un windows XP professionnel.. J'ai réactivé mon pare-feu qui était effectivement désactivé ( Merci ! )

Voici le rapport de Tool bar s&d :



-----------\\ ToolBar S&D 1.2.0 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 )
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2200+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : TANGUY ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total : 76 Go Free : 43 Go
D:\ (CD or DVD)
E:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 14-09-2008|23:30 )
Option : [1] ( 16/09/2008|18:11 )

-----------\\ Recherche de Fichiers / Dossiers ...

C:\WINDOWS\Prefetch\SEARCHSETTINGS.EXE-253CB611.pf
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\CONTENT\searchsettingsplugin.js
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\CONTENT\searchsettingsplugin.xul
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\LOCALE\EN-US\searchsettingsplugin.dtd
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\COMPONENTS\SearchSettingsFF.dll
C:\DOCUME~1\TANGUY\APPLIC~1\Search Settings
C:\DOCUME~1\TANGUY\APPLIC~1\Search Settings\kb125
C:\Program Files\Search Settings
C:\Program Files\Search Settings\kb125
C:\Program Files\Search Settings\SearchSettings.exe

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\System32\\blank.htm"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
"Start Page"="https://www.google.fr/?gws_rd=ssl"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"


--------------------\\ Recherche d'autres infections

--------------------\\ ROOTKIT !!

Rootkit Tibs ! .. [HKLM\..\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV]
Rootkit Tibs ! .. [HKLM\..\CurrentControlSet\Services\tdssserv]
Rootkit Tibs ! .. [HKLM\..\CurrentControlSet\Enum\Root\tdssserv]
Rootkit Tibs ! .. [HKLM\..\ControlSet001\Enum\Root\LEGACY_TDSSSERV]
Rootkit Tibs ! .. [HKLM\..\ControlSet001\Services\tdssserv]
Rootkit Tibs ! .. [HKLM\..\ControlSet001\Enum\Root\tdssserv]
Rootkit Tibs ! .. [HKLM\..\ControlSet002\Services\tdssserv]


Trojan ! .. C:\WINDOWS\system32\tdssservers.dat
Trojan ! .. C:\WINDOWS\system32\tdssinit.dll




1 - "C:\ToolBar SD\TB_1.txt" - 16/09/2008|18:11 - Option : [1]

-----------\\ Fin du rapport a 18:11:45,98
-1
Réponse 6 / 18
Drek44 Messages postés 37 Date d'inscription jeudi 5 juin 2008 Statut Membre Dernière intervention 10 novembre 2008
18 sept. 2008 à 17:56
Vous ne répondez plus ?????
-1
Réponse 7 / 18
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
18 sept. 2008 à 18:56
Excuse moi pour le délai de réponse, je n'ai pas pu revenir depuis 2 jours.

Relance Toolbar-S&D en double-cliquant sur le raccourci.
Tape sur "2" puis valide en appuyant sur "Entrée".

! Ne ferme pas la fenêtre lors de la suppression !

Un rapport sera généré, poste son contenu ici




Ensuite, on passe à MalwareBytes' Anti-Malware (=MBAM)

Télécharge et installe Malwarebytes' Anti-Malware
- A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
- Lance MBAM, laisse les Mises à jour se télécharger et referme le programme

Redémarre en "Mode sans échec" : redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec". Choisis ta session habituelle

Lance MBAM
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
- Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
- A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
- Suppression des éléments détectés --> clique sur Supprimer la sélection
- S'il t'es demandé de redémarrer, clique sur Yes


Poste le rapport de scan après la suppression ici


-1
Réponse 8 / 18
Drek44 Messages postés 37 Date d'inscription jeudi 5 juin 2008 Statut Membre Dernière intervention 10 novembre 2008
22 sept. 2008 à 11:08
Voici le rapport de ToolBar S&D :


-----------\\ ToolBar S&D 1.2.0 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 )
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2200+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : TANGUY ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total : 76 Go Free : 43 Go
D:\ (CD or DVD)
E:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 14-09-2008|23:30 )
Option : [2] ( 22/09/2008|11:07 )

-----------\\ SUPPRESSION

Supprime! - C:\WINDOWS\Prefetch\SEARCHSETTINGS.EXE-253CB611.pf
Supprime! - C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com
Supprime! - C:\DOCUME~1\TANGUY\APPLIC~1\Search Settings\kb125
Supprime! - C:\Program Files\Search Settings\kb125
Supprime! - C:\Program Files\Search Settings\SearchSettings.exe
Supprime! - C:\DOCUME~1\TANGUY\APPLIC~1\Search Settings
Supprime! - C:\Program Files\Search Settings

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\System32\\blank.htm"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
"Start Page"="https://www.google.fr/?gws_rd=ssl"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="https://www.msn.com/fr-fr/"


--------------------\\ Recherche d'autres infections

--------------------\\ ROOTKIT !!

Rootkit Tibs ! .. [HKLM\..\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV]
Rootkit Tibs ! .. [HKLM\..\CurrentControlSet\Services\tdssserv]
Rootkit Tibs ! .. [HKLM\..\CurrentControlSet\Enum\Root\tdssserv]
Rootkit Tibs ! .. [HKLM\..\ControlSet001\Enum\Root\LEGACY_TDSSSERV]
Rootkit Tibs ! .. [HKLM\..\ControlSet001\Services\tdssserv]
Rootkit Tibs ! .. [HKLM\..\ControlSet001\Enum\Root\tdssserv]
Rootkit Tibs ! .. [HKLM\..\ControlSet002\Services\tdssserv]


Trojan ! .. C:\WINDOWS\system32\tdssservers.dat
Trojan ! .. C:\WINDOWS\system32\tdssinit.dll




1 - "C:\ToolBar SD\TB_1.txt" - 16/09/2008|18:11 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - 22/09/2008|11:08 - Option : [2]

-----------\\ Fin du rapport a 11:08:04,76
-1
Réponse 9 / 18
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
22 sept. 2008 à 14:09
OK pour la suite j'attends le rapport de MalwareBytes' Anti-Malware

-1
Réponse 10 / 18
Drek44 Messages postés 37 Date d'inscription jeudi 5 juin 2008 Statut Membre Dernière intervention 10 novembre 2008
23 sept. 2008 à 13:38
Voici le rapport Mbam :

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1190
Windows 5.1.2600

23/09/2008 13:33:45
mbam-log-2008-09-23 (13-33-40).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 68456
Temps écoulé: 29 minute(s), 59 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhcnlmj0ep65 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\Documents and Settings\TANGUY\Local Settings\Temp\.tt4.tmp (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\TANGUY\Local Settings\Temp\.tt5.tmp (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\TANGUY\Local Settings\Temp\.tt6.tmp (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\TANGUY\Local Settings\Temp\.tt7.tmp (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\TANGUY\Local Settings\Temp\.tt8.tmp (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\TANGUY\Local Settings\Temp\.ttA5.tmp.exe (Trojan.FakeAlert) -> No action taken.
-1
Réponse 11 / 18
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
24 sept. 2008 à 22:49
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

• Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur une touche pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !

-1
Réponse 12 / 18
Drek44 Messages postés 37 Date d'inscription jeudi 5 juin 2008 Statut Membre Dernière intervention 10 novembre 2008
25 sept. 2008 à 12:09
Voici le rapport de SDFix : ( Je crois que c'est bon, merci encore )


[b]SDFix: Version 1.229 [/b]
Run by TANGUY on 25/09/2008 at 11:39

Microsoft Windows XP [version 5.1.2600]
Running From: C:\Documents and Settings\TANGUY\Bureau\SDFix

[b]Checking Services [/b]:

[b]Name [/b]:
tdssserv

[b]Path [/b]:
\systemroot\system32\drivers\TDSSserv.sys

tdssserv - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\DOCUME~1\TANGUY\LOCALS~1\Temp\.tt35.tmp - Deleted
C:\DOCUME~1\TANGUY\LOCALS~1\Temp\.tt47.tmp - Deleted
C:\DOCUME~1\TANGUY\LOCALS~1\Temp\.tt4A.tmp - Deleted
C:\DOCUME~1\TANGUY\LOCALS~1\Temp\.tt4B.tmp - Deleted
C:\DOCUME~1\TANGUY\LOCALS~1\Temp\.tt4C.tmp - Deleted
C:\DOCUME~1\TANGUY\LOCALS~1\Temp\.tt4F.tmp - Deleted
C:\DOCUME~1\TANGUY\LOCALS~1\Temp\.tt51.tmp - Deleted
C:\DOCUME~1\TANGUY\LOCALS~1\Temp\.tt55.tmp - Deleted
C:\DOCUME~1\TANGUY\LOCALS~1\Temp\.tt9E.tmp - Deleted
C:\DOCUME~1\TANGUY\LOCALS~1\Temp\.ttA5.tmp - Deleted
C:\DOCUME~1\TANGUY\LOCALS~1\Temp\.ttB8.tmp - Deleted
C:\DOCUME~1\TANGUY\LOCALS~1\Temp\tmp69.tmp - Deleted
C:\DOCUME~1\TANGUY\LOCALS~1\Temp\tmp7C.tmp - Deleted
C:\DOCUME~1\TANGUY\LOCALS~1\Temp\tmp80.tmp - Deleted





Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-25 11:59:16
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"="C:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe:*:enabled:CSS"

[b]Remaining Files [/b]:


File Backups: - C:\DOCUME~1\TANGUY\Bureau\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Wed 26 Dec 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 10 Feb 2008 132 A..H. --- "C:\Documents and Settings\TANGUY\Application Data\brara1985.sys"
Mon 17 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\1d3c4c1451812141a6e0e32d7be87897\BIT12.tmp"
Mon 17 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\825602f548d54de494879712d10e8261\BIT11.tmp"
Mon 17 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bfc0693138e41756969df123841a0729\BIT16.tmp"
Sat 8 Mar 2008 2,236,416 A.SH. --- "C:\Documents and Settings\TANGUY\Mes documents\Dentaire - DCEO1\tanguyg\SIVC2.tmp"

[b]Finished![/b]
-1
Réponse 13 / 18
Drek44 Messages postés 37 Date d'inscription jeudi 5 juin 2008 Statut Membre Dernière intervention 10 novembre 2008
25 sept. 2008 à 12:09
Et voici le rapport de confirmation Hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:09:21, on 25/09/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\notepad.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Orange\Launcher\Launcher.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Orange\Deskboard\deskboard.exe
C:\Program Files\Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Trend Micro\HijackThis\Jack.exe
C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O15 - Trusted Zone: https://www.orange.fr/portail
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
-1
Réponse 14 / 18
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
25 sept. 2008 à 23:33
Le rapport hijackthis ne montre plus d'infection, pour vérifier :


Fais un scan en ligne BitDefender (uniquement sous Internet Explorer) : https://www.bitdefender.com/toolbox/

Poste le rapport complet ici quand ce sera terminé.


Tutoriel pour t'aider : http://perso.orange.fr/rginformatique/section%20virus/defender.htm (Merci à Balltrap34 pour cette réalisation)


-1
Réponse 15 / 18
Drek44 Messages postés 37 Date d'inscription jeudi 5 juin 2008 Statut Membre Dernière intervention 10 novembre 2008
28 sept. 2008 à 16:17
Voici le rapport Bitdefender :

BitDefender Online Scanner



Scan report generated at: Sun, Sep 28, 2008 - 15:56:15





Scan path: A:\;C:\;D:\;E:\;







Statistics

Time
00:25:57

Files
224042

Folders
3618

Boot Sectors
0

Archives
1910

Packed Files
4044




Results

Identified Viruses
4

Infected Files
6

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
6




Engines Info

Virus Definitions
1820263

Engine build
AVCORE v1.7 (build 8314.19) (i386) (Sep 10 2008 19:37:42)

Scan plugins
16

Archive plugins
43

Unpack plugins
7

E-mail plugins
6

System plugins
4




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

C:\Documents and Settings\TANGUY\Bureau\SDFix\backups\backups.zip=>backups/.ttA5.tmp=>(NSIS o)=>lzma_solid_nsis0000
Detected with: Adware.XpAntivirus.AJ

C:\Documents and Settings\TANGUY\Bureau\SDFix\backups\backups.zip=>backups/.ttA5.tmp=>(NSIS o)=>lzma_solid_nsis0000
Disinfection failed

C:\Documents and Settings\TANGUY\Bureau\SDFix\backups\backups.zip=>backups/.ttA5.tmp=>(NSIS o)=>lzma_solid_nsis0000
Deleted

C:\Documents and Settings\TANGUY\Bureau\SDFix\backups\backups.zip=>backups/.ttA5.tmp=>(NSIS o)
Update failed

C:\Documents and Settings\TANGUY\Bureau\SDFix\backups\backups.zip=>backups/.ttA5.tmp=>(NSIS o)=>lzma_solid_nsis0009
Infected with: Trojan.FakeAV.AM

C:\Documents and Settings\TANGUY\Bureau\SDFix\backups\backups.zip=>backups/.ttA5.tmp=>(NSIS o)=>lzma_solid_nsis0009
Deleted

C:\Documents and Settings\TANGUY\Bureau\SDFix\backups\backups.zip=>backups/.ttA5.tmp=>(NSIS o)
Update failed

C:\Documents and Settings\TANGUY\Bureau\SDFix\backups\backups.zip=>backups/.ttA5.tmp=>(NSIS o)=>lzma_solid_nsis0010
Infected with: Trojan.FakeAlert.AEN

C:\Documents and Settings\TANGUY\Bureau\SDFix\backups\backups.zip=>backups/.ttA5.tmp=>(NSIS o)=>lzma_solid_nsis0010
Deleted

C:\Documents and Settings\TANGUY\Bureau\SDFix\backups\backups.zip=>backups/.ttA5.tmp=>(NSIS o)
Update failed

C:\Documents and Settings\TANGUY\Bureau\SDFix\backups\backups.zip=>backups/.ttA5.tmp=>(NSIS o)=>lzma_solid_nsis0016
Detected with: Adware.XpAntivirus.AJ

C:\Documents and Settings\TANGUY\Bureau\SDFix\backups\backups.zip=>backups/.ttA5.tmp=>(NSIS o)=>lzma_solid_nsis0016
Disinfection failed

C:\Documents and Settings\TANGUY\Bureau\SDFix\backups\backups.zip=>backups/.ttA5.tmp=>(NSIS o)=>lzma_solid_nsis0016
Deleted

C:\Documents and Settings\TANGUY\Bureau\SDFix\backups\backups.zip=>backups/.ttA5.tmp=>(NSIS o)
Update failed

C:\Documents and Settings\TANGUY\Bureau\SDFix\backups\backups.zip=>backups/.ttA5.tmp=>(NSIS o)=>lzma_solid_nsis0021=>(NSIS g)=>lzma_solid_nsis0000
Detected with: Adware.XpAntivirus.AJ

C:\Documents and Settings\TANGUY\Bureau\SDFix\backups\backups.zip=>backups/.ttA5.tmp=>(NSIS o)=>lzma_solid_nsis0021=>(NSIS g)=>lzma_solid_nsis0000
Disinfection failed

C:\Documents and Settings\TANGUY\Bureau\SDFix\backups\backups.zip=>backups/.ttA5.tmp=>(NSIS o)=>lzma_solid_nsis0021=>(NSIS g)=>lzma_solid_nsis0000
Deleted

C:\Documents and Settings\TANGUY\Bureau\SDFix\backups\backups.zip=>backups/.ttA5.tmp=>(NSIS o)=>lzma_solid_nsis0021=>(NSIS g)
Update failed

C:\System Volume Information\_restore{77A3B831-A532-4251-A5CD-EB123F1B7262}\RP141\A0061645.exe
Infected with: Trojan.FakeAlert.AEB

C:\System Volume Information\_restore{77A3B831-A532-4251-A5CD-EB123F1B7262}\RP141\A0061645.exe
Disinfection failed

C:\System Volume Information\_restore{77A3B831-A532-4251-A5CD-EB123F1B7262}\RP141\A0061645.exe
Deleted
-1
Réponse 16 / 18
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
28 sept. 2008 à 16:46
OK c'est parfait, BitDefender n'a trouvé que des sauvegardes de la restauration du système et des sauvegardes de SDFix : rien d'actif, donc ton ordinateur n'est plus infecté !

Avant de retourner surfer sur internet, il y a quelques petites choses que tu dois faire pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).



1) Sécurise ton ordinateur

- Failles de sécurité !
Ton système d'exploitation Windows xp n'est pas du tout à jour ! Toutes les vulnérabilités découvertes depuis plusieurs années ne sont pas corrigées sur ton ordinateur, ce sont des « porte d'entrée » pour les infections !
Si ton Windows n'est pas piraté, mets le immédiatement à jour : Menu démarrer --> Windows update --> télécharge toutes les mises à jour importantes. Ensuite, active les mises à jour automatiques (menu démarrer --> panneau de configuration --> mises à jour automatiques)
Si ton Windows est piraté... c'est bien dommage ! Essaye au moins de te procurer le service pack 2 ou service pack 3 de ce système d'exploitation... Ou alors, installe Linux (en plus de Windows, pour surfer sur internet en sécurité).

- Anti-virus :
Avast était un antivirus convenable il y a quelques années, mais il est dépassé aujourd'hui. Il existe d'autres antivirus gratuits plus efficaces (Antivir ou AVG)
Désinstalle Avast : clic droit sur l'icone d'Avast près de l'horloge --> désactive la protection résidente.
Puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle Avast.
Si ça ne fonctionne pas, consulte ce lien : Désinstallation d'Avast

Si tu choisis Antivir pour le remplacer, tu peux trouver un tutoriel et un lien pour le télécharger ici.
Note : cette version est en anglais, mais une pré-version en français est disponible en français ici

- Pare-feu :
Tu n’as apparemment aucun pare-feu (sauf peut-être celui de Windows, qui est inefficace et ne filtre pas les connections sortantes utilisées par beaucoup d'infections...) : Télécharges-en un vrai. En gratuit, les plus simples sont ZoneAlarm, Kerio et Pc Tools. Tu peux t'aider des tuto suivants pour utiliser celui que tu choisiras :
- Tutoriel ZoneAlarm
- Tutoriel Kerio
- Tutoriel PcTools

- Anti-spyware :
Ad-Aware est un logiciel inutile : il ne te protège pas, puisque la version gratuite ne permet que des scans à la demande, et ces scans sont inefficaces (ils sont justes bon à supprimer des cookies...) Malgré cela, Ad-Aware consomme en permanence de la mémoire ! Je te conseille vivement de le désinstaller.
* Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement, tous les 10 jours environ, et activer toutes les protections (« Enable all protection »)
* En complément, garde MalwareBytes pour son scan de nettoyage performant.

- Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille d’installer et d'utiliser le navigateur Firefox 3 avec l’extension « AdBlockPlus ». Tu peux trouver des explications ici

- Internet Explorer n'est pas à jour, c'est une faille de sécurité.
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes.
Si Internet Explorer n'y est pas (ou si ta version de Windows n'est pas officielle...), télécharge et installe IE 7 depuis ce lien : IE 7

- Java n'est pas à jour, c'est une faille de sécurité.
Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les. Télécharge et installe la nouvelle version depuis le site officiel de java : https://java.com/fr/

- Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version.

- Flash Player n'est pas à jour, c'est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version



2) Relance Hijackthis (pour la dernière fois), fais "scan system only" et coche ces lignes (pas dangereuses mains inutiles) :

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

Si tu as bien mis à jour Adobe Reader comme je te l'ai recommandé, cette ligne devrait apparaitre, tu peux la cocher : O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

Coche également toutes les lignes commençant par 016

Ensuite, clique sur "Fix checked"



3) Télécharge ToolsCleaner sur ton bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tous les programmes, supprime toi même ce qui reste.



4) Télécharge et installe CCleaner (attention à l'installation, pense à DECOCHER l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner).

Lance CCleaner
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Relance le nettoyage une deuxième fois.

Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection).

* Fais un clic droit sur poste de travail (qui est sur ton bureau ou dans le menu démarrer), puis propriétés.
* Sélectionne l'onglet restauration du système
* Coche l'option Désactiver la restauration du système sur tous les lecteurs
* Clique sur OK.

Puis refais la manipulation inverse pour réactiver la restauration système.



6) Je t'invite enfin à visiter cette page qui t'apportera des information de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
Prévention et sécurité sur internet



7) Enfin, si tu n as pas d'autres problèmes, tu peux changer le statut du sujet en résolu : Aide
-1
Réponse 17 / 18
Drek44 Messages postés 37 Date d'inscription jeudi 5 juin 2008 Statut Membre Dernière intervention 10 novembre 2008
28 sept. 2008 à 18:25
Merci pour tout Anthony5151, tes explications étaient très claires et précises ; j'ai ainsi pu remettre mon ordinateur à jour.
Merci également pour ta disponibilité.

Bonne continuation
-1
Réponse 18 / 18
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
28 sept. 2008 à 19:08
De rien, content d'avoir pu t'aider ;)
N'hésite pas à revenir en cas de besoin !
Bonne continuation
-1

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses