SOS 1 FAUX ANTI VIRUS

Résolu
sissi4027 Messages postés 49 Statut Membre -  
 gen-hackman -
Bonjour,

J'ai un faux anti virus sur mon ordi,je suis actuellement en train de faire tourner spybot et malwarebytes et avas,mais il apparait subitement en fenêtre.Croyez vous qu'avec les nettoyages cela va partir!!!
merci
Configuration: Windows XP
Internet Explorer 6.0

29 réponses

  • 1
  • 2
Résumé de la discussion

Le problème central est l'apparition d'un faux antivirus sur un PC sous Windows XP, alors que l'utilisateur lance Spybot, Malwarebytes et Avast et voit des fenêtres contextuelles persistantes. Plusieurs réponses suggèrent d'analyser les traces avec HijackThis et d'exécuter des outils dédiés comme SmitFraudFix, ComboFix ou CCleaner, puis Malwarebytes en mode sans échec pour éliminer les éléments indésirables. Des conseils insistent aussi sur la prudence vis-à-vis de la multiplication des antivirus et sur la nécessité de nettoyer les fichiers temporaires et le registre pour éviter conflits et plantages. Des exemples concrets listent des infections hypothétiques comme des modules XML et des comportements BHO, et les dépôts temp, indiquant la nécessité d'un diagnostic précis avant re-scan.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    C:\WINDOWS\system32\kytgpforczc.dll sous xp SDfix fait l'affaire sinon sur le premier rapport hijackthis tu as

    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\xxx5746.exe : Infection SD
    O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll : Infection SmitFraud
    O2 - BHO: offersfortoday browser enhancer - {C75957B4-1140-41E1-6A5B-6EF80411448E} - C:\WINDOWS\system32\kytgpforczc.dll : Infection SD
    O4 - HKCU\..\Run: [MSFox] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\xxx5746.exe : Infection SD

    donc pour moi un coup de ccleaner pour nettoyer le dossier temps et smitfraudfix et après malwarebytes par sécurité
    1
  2. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    as tu vériffier et supprimer combofix de sur ton bureau si présent,pour moi rien mais pour toi tu peux amméliorer ta protection car avec avast tu n'as pas le plus performant des gratuits car il y as plus performant et de loint comme antivir ou avg8 free maintenant disponible en français, et puis mettre un pare-feu autre que celui de windows qui est pas très bon comme zone alarme ou kério en autre, et un anti-spyware en mode résident comme spybot ou windows défender et d'autre, et puis utilise régulièrement malwarebytes en complément mais toujours faire la mise à jour avant de lancer l'examem, et puis utilise ccleaner en fonction nettoyeur à chaque arrêt du pc ou plus simplement comme moi sur les 5 pc de la maison je l'ai mis en automatique et je l'utilise pour le registre après chaque désinstallation de programme, et puis si plus te souci tu peux mettre ton premier message en résolu @+

    si encore une chose met Internet explorer à jour passe à IE7
    1
  3. torpedolos
     
    Tu en as un vrai (genre antivir) aussi ?
    0
  4. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    C'est marqué la:
    et avas


    Avast...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. torpedolos
     
    Ok (c'etait pas super clair ;-) ).
    Je serais toi j'essaierai de faire un scan en ligne.
    0
  7. sissi4027 Messages postés 49 Statut Membre
     
    Excuse mais l'ordi bug un max, en bas de mon écran j'ai 2 sorte de boulier rouge avec une croix blanche !!!!
    0
  8. sissi4027 Messages postés 49 Statut Membre
     
    Spybot tourne toujours et il y a indiqué SMITFRAUD-C.GP = infecté 2 et SMITFRAUD-C. = infecté 8
    0
  9. gen-hackman
     
    c est normal pour smitfraudfix.........

    Salut,

    commences par ceci pour voir ce qu'il en est :

    Télécharges et installes le logiciel HijackThis :

    ici HijackThis
    ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
    ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

    1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
    A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
    Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
    "C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

    tuto pour utilisation :
    Regardes ici, c'est parfaitement expliqué en images (merci balltrap34),
    http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
    ( Ne fixes encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

    2- !! Déconnectes toi et fermes toute tes applications en cours !!

    Cliques sur le raccourci du bureau pour lancer le prg :
    fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

    ---> Postes le rapport généré pour analyse ...
    0
  10. sissi4027 Messages postés 49 Statut Membre
     
    Voici le rapport

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:38:48, on 20/11/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\SPAMfighter\sfus.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\WgaTray.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\Alwil Software\Avast4\ashDisp.exe
    C:\Program Files\SPAMfighter\SFAgent.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\xxx5746.exe
    C:\WINDOWS\system32\regsvr32.exe
    C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~tmpb.exe
    C:\Program Files\Outlook Express\msimn.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
    O2 - BHO: searchersmart search enhancer - {5F8B9C02-779C-F1A3-02AC-38BDBDEA5985} - C:\WINDOWS\system32\azuziqurmrbu.dll
    O2 - BHO: offersfortoday browser enhancer - {C75957B4-1140-41E1-6A5B-6EF80411448E} - C:\WINDOWS\system32\kytgpforczc.dll
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Alwil Software\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [qvjfmuhqrkwby] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\kytgpforczc.dll"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
    O4 - HKCU\..\Run: [MSFox] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\xxx5746.exe
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://copainsdavant.linternaute.com/...
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O23 - Service: Service d'état ASP.NET (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe
    0
  11. gen-hackman
     
    ComboFix:

    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware et ta connection internet

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    0
    1. sissi4027 Messages postés 49 Statut Membre
       
      Enfin voila le rapport ComboFix

      ComboFix 08-11-19.08 - Administrateur 2008-11-20 17:58:33.1 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.617 [GMT 1:00]
      Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
      * Un nouveau point de restauration a été créé

      [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\install\install.exe
      c:\windows\Readme.txt
      c:\windows\system32\window.dll

      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Legacy_BOONTY_GAMES
      -------\Legacy_TDSSSERV
      -------\Service_Boonty Games
      -------\Service_TDSSserv


      ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-20 au 2008-11-20 ))))))))))))))))))))))))))))))))))))
      .

      2008-11-20 17:54 . 2008-11-20 17:54 90 --a------ c:\windows\wininit.ini
      2008-11-20 14:18 . 2008-11-20 14:18 84,310 --a------ c:\windows\system32\azuziqurmrbu.dll-uninst.exe
      2008-11-20 14:18 . 2008-11-20 14:18 47,897 --a------ c:\windows\system32\hocxrdoncplirzvji.exe
      2008-11-17 17:49 . 2008-11-17 17:49 <REP> d-------- c:\program files\Fichiers communs\Adobe AIR
      2008-11-14 11:42 . 2008-11-14 11:44 <REP> d-------- c:\windows\system32\NtmsData
      2008-11-14 09:31 . 2008-11-14 09:31 600,576 --a------ c:\windows\system32\azuziqurmrbu.dll
      2008-11-14 09:05 . 2008-11-14 09:05 296,448 --a------ c:\windows\system32\kytgpforczc.dll
      2008-11-05 11:06 . 2004-08-04 00:54 159,232 --a------ c:\windows\system32\ptpusd.dll
      2008-11-05 11:06 . 2001-08-23 17:47 5,632 --a------ c:\windows\system32\ptpusb.dll
      2008-11-03 11:03 . 2008-11-03 11:03 <REP> d-------- c:\windows\system32\Adobe
      2008-11-03 11:03 . 2008-11-03 11:03 <REP> d-------- c:\windows\LHSP
      2008-11-03 11:03 . 2008-11-03 11:03 <REP> d-------- c:\windows\asr3232
      2008-11-03 11:03 . 2008-11-03 11:03 <REP> d----c--- c:\documents and settings\Administrateur\Application Data\InterTrust
      2008-11-03 11:03 . 1999-06-07 11:32 81,920 --a------ c:\windows\asr3232.dll
      2008-11-03 11:02 . 2001-07-31 08:17 727,718 --a------ c:\windows\uninstaller.exe
      2008-11-03 11:02 . 2001-07-31 08:17 727,718 --a------ c:\windows\EMUninstaller.exe
      2008-10-24 12:53 . 2008-10-24 12:53 94 ---h----- c:\windows\system32\bzq_Q1skj.ini
      2008-10-21 17:02 . 2008-10-21 17:02 <REP> d-------- c:\documents and settings\All Users\Application Data\JollyBear
      2008-10-21 09:15 . 2008-11-18 07:44 <REP> d-------- c:\program files\NOS
      2008-10-21 09:15 . 2008-11-18 07:45 <REP> d-------- c:\documents and settings\All Users\Application Data\NOS

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-11-20 06:25 --------- d-----w c:\program files\SPAMfighter
      2008-11-17 16:47 --------- d-----w c:\program files\Fichiers communs\Adobe
      2008-11-15 20:42 --------- dc----w c:\documents and settings\Administrateur\Application Data\Image Zone Express
      2008-11-14 11:00 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
      2008-11-07 06:45 --------- d-----w c:\program files\Spybot - Search & Destroy
      2008-10-28 20:09 --------- d-----w c:\program files\DivX
      2008-10-27 15:50 --------- d-----w c:\program files\Zylom Games
      2008-10-27 15:21 --------- dc----w c:\documents and settings\Administrateur\Application Data\Zylom
      2008-10-26 17:45 --------- d-----w c:\program files\Micro Application
      2008-10-24 13:13 --------- d-----w c:\program files\BoontyGames
      2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
      2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
      2008-10-16 12:26 --------- d-----w c:\program files\Fichiers communs\Application
      2007-07-17 19:55 357 -c--a-w c:\documents and settings\Administrateur\.cb_layout.bin
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5F8B9C02-779C-F1A3-02AC-38BDBDEA5985}]
      2008-11-14 09:31 600576 --a------ c:\windows\system32\azuziqurmrbu.dll

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C75957B4-1140-41E1-6A5B-6EF80411448E}]
      2008-11-14 09:05 296448 --a------ c:\windows\system32\kytgpforczc.dll

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
      "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
      "ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2008-03-25 906480]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-03-28 413696]
      "SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2008-09-22 324232]
      "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
      "qvjfmuhqrkwby"="c:\windows\system32\kytgpforczc.dll" [2008-11-14 296448]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
      "UIHost"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,\

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "msacm.l3acm"= l3codecp.acm
      "msacm.dvacm"= dvacm.acm
      "vidc.iv32"= c:\windows\system32\ir32_32.dll
      "vidc.iv31"= c:\windows\system32\ir32_32.dll

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hyperappel.lnk]
      path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\hyperappel.lnk
      backup=c:\windows\pss\hyperappel.lnkCommon Startup

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide de Microsoft Office OneNote 2003.lnk]
      path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide de Microsoft Office OneNote 2003.lnk
      backup=c:\windows\pss\Lancement rapide de Microsoft Office OneNote 2003.lnkCommon Startup

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3]
      --a------ 2008-02-21 21:38 190024 c:\program files\MessengerPlus! 3\MsgPlus.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snpstd]
      --a--c--- 2004-06-10 13:48 286720 c:\windows\vsnpstd.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
      --a--c--- 2007-03-14 02:43 83608 c:\program files\Java\jre1.6.0_01\bin\jusched.exe

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\LimeWire\\LimeWire.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "c:\\Program Files\\Messenger\\msmsgs.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

      R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-02 78416]
      R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-04-02 20560]
      R2 SPAMfighter Update Service;SPAMfighter Update Service;"c:\program files\SPAMfighter\sfus.exe" [2008-09-22 184968]
      R2 UxTuneUp;Extension de conception TuneUp;c:\windows\System32\svchost.exe -k netsvcs [2004-08-04 14336]
      S0 tcjkbjux;tcjkbjux;c:\windows\system32\drivers\qlevf.sys []

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
      UxTuneUp
      .
      Contenu du dossier 'Tâches planifiées'

      2008-11-20 c:\windows\Tasks\AppleSoftwareUpdate.job
      - c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]

      2008-11-14 c:\windows\Tasks\Maintenance en 1 clic.job
      - c:\program files\TuneUp Utilities 2006\SystemOptimizer.exe []
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      MSConfigStartUp-AVP - c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
      MSConfigStartUp-Easy-PrintToolBox - c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE
      MSConfigStartUp-idlebin - c:\docume~1\ADMINI~1\APPLIC~1\eq admin barb\send camp.exe
      MSConfigStartUp-msnmsgr - c:\program files\MSN Messenger\msnmsgr.exe
      MSConfigStartUp-TkBellExe - c:\program files\Fichiers communs\Real\Update_OB\realsched.exe
      MSConfigStartUp-ydirector1 - c:\program files\Larousse\KLÉIO 2001\shock32stndaln.exe


      .
      ------- Examen supplémentaire -------
      .
      FireFox -: Profile - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\in811cb2.default\
      FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://fr.msn.com/
      FF -: plugin - c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
      FF -: plugin - c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
      .

      **************************************************************************

      catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-11-20 18:13:19
      Windows 5.1.2600 Service Pack 2 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\program files\Alwil Software\Avast4\aswUpdSv.exe
      c:\program files\Alwil Software\Avast4\ashServ.exe
      c:\program files\Alwil Software\Avast4\ashMaiSv.exe
      c:\program files\Alwil Software\Avast4\ashWebSv.exe
      c:\windows\system32\WgaTray.exe
      c:\windows\system32\regsvr32.exe
      c:\windows\system32\msiexec.exe
      c:\program files\Internet Explorer\iexplore.exe
      c:\windows\system32\imapi.exe
      .
      **************************************************************************
      .
      Heure de fin: 2008-11-20 18:22:33 - La machine a redémarré
      ComboFix-quarantined-files.txt 2008-11-20 17:22:23

      Avant-CF: 395 304 960 octets libres
      Après-CF: 442,462,208 octets libres

      160
      0
  12. gen-hackman
     
    peux-tu renvoyer un nouveau rapport hijackthis stp ?
    0
    1. sissi4027 Messages postés 49 Statut Membre
       
      VOICI LE RAPPORT


      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 18:35, on 20/11/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\SPAMfighter\sfus.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\WgaTray.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\SPAMfighter\SFAgent.exe
      C:\WINDOWS\System32\regsvr32.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
      C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Outlook Express\msimn.exe
      C:\Program Files\Alwil Software\Avast4\setup\avast.setup
      C:\Program Files\internet explorer\iexplore.exe
      C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
      C:\Program Files\Alwil Software\Avast4\ashAvast.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
      O2 - BHO: searchersmart search enhancer - {5F8B9C02-779C-F1A3-02AC-38BDBDEA5985} - C:\WINDOWS\system32\azuziqurmrbu.dll
      O2 - BHO: offersfortoday browser enhancer - {C75957B4-1140-41E1-6A5B-6EF80411448E} - C:\WINDOWS\system32\kytgpforczc.dll
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [qvjfmuhqrkwby] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\kytgpforczc.dll"
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
      O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
      O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
      O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://copainsdavant.linternaute.com/...
      O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
      O23 - Service: Service d'état ASP.NET (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe
      0
  13. gen-hackman
     
    Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
    https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

    * Lance l'installation du programme en exécutant le fichier téléchargé.
    * Double-clique maintenant sur le raccourci de Toolbar-S&D.
    * Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
    * Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
    * Poste le rapport généré. (C:\TB.txt)
    0
    1. sissi4027 Messages postés 49 Statut Membre
       
      LE RAPPORT


      -----------\\ ToolBar S&D 1.2.4 XP/Vista

      Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
      X86-based PC ( Uniprocessor Free : AMD Athlon(tm) Processor )
      BIOS : Default System BIOS
      USER : Administrateur ( Administrator )
      BOOT : Normal boot
      Antivirus : avast! antivirus 4.8.1229 [VPS 081120-0] 4.8.1229 (Activated)
      A:\ (USB)
      C:\ (Local Disk) - NTFS - Total:18 Go (Free:0 Go)
      D:\ (CD or DVD)
      E:\ (USB)

      "C:\ToolBar SD" ( MAJ : 27-10-2008|09:25 )
      Option : [1] ( 20/11/2008|18:44 )

      -----------\\ Recherche de Fichiers / Dossiers ...


      -----------\\ [..\Internet Explorer\Main]

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
      "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
      "Start Page"="https://portail.free.fr/"
      "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
      "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
      "SearchMigratedDefaultURL"="https://www.google.com/webhp?gws_rd=ssl{searchTerms}"
      "CustomizeSearch"="https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm"

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
      "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
      "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
      "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
      "Start Page"="https://www.google.com/?gws_rd=ssl"
      "Search Bar"="http://www.bing.com/spresults.aspx"
      "SearchAssistant"="https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm"
      "CustomizeSearch"="https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm"


      --------------------\\ Recherche d'autres infections


      Aucune autre infection trouvée !


      1 - "C:\ToolBar SD\TB_1.txt" - 20/11/2008|18:48 - Option : [1]

      -----------\\ Fin du rapport a 18:48:50,04
      0
  14. gen-hackman
     
    Télécharges MalwareByte's :
    ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
    ou ici : http://www.malwarebytes.org/mbam.php

    * Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

    * Potasses le tuto pour te familiariser avec le prg :
    https://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnectes toi et fermes toutes applications en cours !

    * Lances Malwarebyte's .

    Fais un examen dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ).

    --> Laisses le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
    accompagné d'un nouveau rapport hijackthis pour analyse ...
    0
    1. sissi4027 Messages postés 49 Statut Membre
       
      Bjr
      Voici le rapport Malwarbyte + hijackthis

      Malwarebytes' Anti-Malware 1.30
      Version de la base de données: 1414
      Windows 5.1.2600 Service Pack 2

      20/11/2008 21:33:37
      mbam-log-2008-11-20 (21-33-25).txt

      Type de recherche: Examen complet (A:\|C:\|D:\|E:\|)
      Eléments examinés: 116026
      Temps écoulé: 1 hour(s), 52 minute(s), 54 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 4
      Valeur(s) du Registre infectée(s): 1
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 2

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5f8b9c02-779c-f1a3-02ac-38bdbdea5985} (Adware.BHO) -> No action taken.
      HKEY_CLASSES_ROOT\CLSID\{5f8b9c02-779c-f1a3-02ac-38bdbdea5985} (Adware.BHO) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c75957b4-1140-41e1-6a5b-6ef80411448e} (Adware.BHO) -> No action taken.
      HKEY_CLASSES_ROOT\CLSID\{c75957b4-1140-41e1-6a5b-6ef80411448e} (Adware.BHO) -> No action taken.

      Valeur(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qvjfmuhqrkwby (Trojan.Agent) -> No action taken.

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\WINDOWS\system32\kytgpforczc.dll (Trojan.Agent) -> No action taken.
      C:\WINDOWS\system32\azuziqurmrbu.dll (Adware.BHO) -> No action taken.



      Voici Rapport
      Hijacthis

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 08:26, on 21/11/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\SPAMfighter\sfus.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\WgaTray.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\SPAMfighter\SFAgent.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\internet explorer\iexplore.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
      O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
      O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
      O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://copainsdavant.linternaute.com/...
      O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
      O23 - Service: Service d'état ASP.NET (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe
      0
  15. gen-hackman
     
    salut...j espere que tu as bien supprime apres malwarebytes ...si oui peut envoyer le Post-rapports ?

    une question.....:

    c:\windows\system32\msiexec.exe

    tu etais en train d'installer quelque chose en utilisant Combofix ?
    0
    1. sissi4027 Messages postés 49 Statut Membre
       
      Tout n'a pas voulu ce supprimer je crois.
      Je ne suis pas en train d'installer quoi que ce soit!!!
      Eclaire moi svp merci
      0
  16. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, No action taken. veux dire que tu n'as cliqué sur supprimer la sélection une fois l'analyse terminé donc l'infection devrais toujours être présente mais sur ton dernier hijackthis plus de trace donc je pense que tu nous as envoyé le rapport avant d'avoir redémarrer le pc car normalement tu as fais malwarebytes en mode sans echec veriffis dans rapport/log de malwarebytes si tu as pas un rapport ou il serait marqué mis en quarantaine.
    Juste une dernière chose tu as 2 anti-virus avast et kaspersky 1 seul sur le pc sinon !!!!!!
    0
    1. sissi4027 Messages postés 49 Statut Membre
       
      Dans le dossier malwarebytes il y des éléments en 40N. Je ne retrouve pas le rapport qui indique les infections!!
      Doit-je refaire marcher malwarebytes?
      Dans se cas il mets beaucoup de temps , alors je fait quoi?
      Merci
      0
  17. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    tu ouvres lmalwarebytes et puis tu suis ce qui est la et tu poste le rapport qui est dedans
    . rends toi dans l'onglet rapport/log
    . tu cliques dessus pour l'afficher une fois affiché
    . tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
    . tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller
    0
    1. sissi4027 Messages postés 49 Statut Membre
       
      j'ai beaucoup de rapport log alors dans ce cas je prend le dernier!!
      0
    2. sissi4027 Messages postés 49 Statut Membre
       
      Mon pc hier était trés long à faire un nettoyage, alors mon rapport je l'ai mis en copier clic droit et j'ai eteind mon pc car il se faisait tard trop long pour moi, ensuite ce matin j'ai voulu coller le rapport et bien sur!!! il n'aetait plus la alors je te demande comment le retrouver faut il que je relance la machine (walwarbyte)merci
      0
  18. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    ouvre les et regarde la date et l'heure et poste le dernier
    0
  19. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    laisse tombé
    0
  20. gen-hackman
     
    excuses mais j ai beau relire le hijack.......mais.....Kaspersky ?je le vois pas
    0
  21. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe dans combo dans orphelin
    0
  • 1
  • 2