Virus redirection google

Résolu
nenette clapette -  
 archet9 -
Bonjour,
Je sais qu'il y a déjà eu pas mal de post à ce sujet, et plusieurs solutions de proposées, mais après une journée à tenter plein de choses je craque.

Mon problème : c'est le même que pour les autres, c'est à dire que quand je fais une recherche sur google et que je clique sur les liens proposés, il me redirige vers n'importe quoi.

J'ai essayé : Hijackthis, OTMoveIt3, SmitFraudFix, ... j'ai voulu essayer de télécharger FixWareout mais je n'y arrive pas, pas même d'un autre PC .... et je ne trouve pas de liens à part les deux proposés sur les différents forum ...

J'ai vu ça : http://www.commentcamarche.net/faq/sujet 6063 page internet google redirigee
Et aussi plein d'autres choses
Mais les rapports que je sors, que ce soit celui d'Hijack ou celui de SmitFraudFix, ne correspondent pas à ceux des gens

Rien ne fonctionne pour moi ..... help please !
Merci d'avance
Configuration: Windows XP
Firefox 3.0.4

4 réponses

  1. archet9
     
    bjr

    poste ton rapport hijack stp

    pour voir...

    a+
    0
    1. nenette clapette
       
      Voici mon rapport :

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 18:07:29, on 23/11/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16735)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\Ati2evxx.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
      C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
      C:\WINDOWS\system32\atwtusb.exe
      C:\Program Files\Belkin\F5D9050\Belkinwcui.exe
      C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
      C:\Program Files\Microsoft ActiveSync\wcescomm.exe
      C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
      C:\PROGRA~1\MI3AA1~1\rapimgr.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\regedit.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
      O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe.old
      O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
      O4 - HKLM\..\Run: [EPSON Stylus Photo RX700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9IE.EXE /P31 "EPSON Stylus Photo RX700 Series" /O6 "USB002" /M "Stylus Photo RX700"
      O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
      O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe.old
      O4 - HKLM\..\Run: [atwtusb] atwtusb.exe.. beta.old
      O4 - HKLM\..\Run: [F5D9050] C:\Program Files\Belkin\F5D9050\Belkinwcui.exe
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: BTTray.lnk = ?
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
      O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
      O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
      O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
      O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
      O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
      O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
      O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
      O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      0
    2. archet9 > nenette clapette
       
      Fais un scan avec cet antispyware :

      Telecharge malwarebytes + tutoriel :

      -> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

      Tu l´installes; le programme va se mettre automatiquement a jour.

      Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

      Click maintenant sur l´onglet recherche et coche la case : "executer un examun complet".

      Puis click sur "rechercher".

      Laisse le scanner le pc...

      Si des elements on ete trouvés > click sur supprimer la selection.

      si il t´es demandé de redemarrer > click sur "yes".

      A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

      Copie et colle le rapport stp.


      a+
      0
    3. nenette clapette > archet9
       
      merci beaucoup pour ses débuts de réponses, mais je bloque.
      j'ai chopé le .exe depuis un autre pc parce que sur le mien je ne peux pas télécharger ce genre de logiciels (j'ai vu sur d'autres forum que c'était aussi une conséquence du virus).
      Donc j'ai mon .exe, mais impossible à installer.
      Quand je double-clique dessus, rien ne se lance, pas même une petite erreur, j'ai juste un process qui apparaît dans le gestionnaire des tâches mais qui ne consomme rien.
      J'ai essayé depuis le mode sans échec aussi mais c'est le même réusltat.
      J'ai essayé de lancer le .exe depuis une fenêtre DOS pour voir si il sortait un message: rien non plus
      ....
      je peux faire quoi d'autre ?
      0
    4. archet9 > nenette clapette
       
      essaye ceci:

      -2- Télécharges FindyKill de Chiquitine29 :

      http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

      ->Enregistres le sur ton bureau et pas ailleurs !

      !! Déconnectes toi et fermes toute applications en cours !!

      ( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)

      -> Cliques sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.


      a+-
      Antonio Giacomo Stradivari, souvent appelé Stradivarius (Crémone, 1644 - Crémone, 18 décembre 1737 
      Le Soil (1714), considéré par beaucoup comme le meilleur instrument du monde.
      peu de temps avant sa mort il cherchait encore... 
      0
    5. nenette clapette > archet9
       
      Merci
      Voici le rapport :



      ----------------- FindyKill V4.705 ------------------

      * User : Pomel - POMEL-E3110153F
      * Emplacement : C:\Program Files\FindyKill
      * Outils Mis a jours le 17/11/08 par Chiquitine29
      * Recherche effectuée à 19:22:07 le 23/11/2008
      * Windows XP - Internet Explorer 7.0.5730.11

      ((((((((((((((((( *** Recherche *** ))))))))))))))))))


      --------------- [ Processus actifs ] ----------------


      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\Ati2evxx.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\wdfmgr.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\System32\alg.exe
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
      C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
      C:\WINDOWS\system32\atwtusb.exe
      C:\Program Files\Belkin\F5D9050\Belkinwcui.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
      C:\Program Files\Microsoft ActiveSync\wcescomm.exe
      C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
      C:\PROGRA~1\MI3AA1~1\rapimgr.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\WINDOWS\system32\wuauclt.exe

      --------------- [ Fichiers/Dossiers infectieux ] ----------------


      »»»» Presence des fichiers dans C:


      »»»» Presence des fichiers dans C:\WINDOWS


      »»»» Presence des fichiers dans C:\WINDOWS\Prefetch

      Found ! - C:\WINDOWS\Prefetch\O4PATCH.EXE-17659A4A.pf

      »»»» Presence des fichiers dans C:\WINDOWS\system32


      »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers


      »»»» Presence des fichiers dans C:\Documents and Settings\Pomel\Application Data


      »»»» Presence des fichiers dans C:\DOCUME~1\Pomel\LOCALS~1\Temp


      »»»» Presence des fichiers dans C:\Documents and Settings\Pomel\Local Settings\Temporary Internet Files\Content.IE5

      Found ! [19/11/2008 09:11] - C:\Documents and Settings\All Users\Application Data\Skype\Plugins\Local Cache\D3987B641C134048B815DB578D607F42_more.jpg

      --------------- [ Registre / Startup ] ----------------

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

      ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
      MsnMsgr="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
      H/PC Connection Agent="C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
      HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AdobeUpdater=
      <NO NAME>=

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

      ATIModeChange=Ati2mdxx.exe
      ATIPTA=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      AdaptecDirectCD="C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
      AGRSMMSG=AGRSMMSG.exe.old
      Cpqset=C:\Program Files\HPQ\Default Settings\cpqset.exe
      avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      Adobe Photo Downloader="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
      QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
      iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"
      SunJavaUpdateSched="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
      EPSON Stylus Photo RX700 Series=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9IE.EXE /P31 "EPSON Stylus Photo RX700 Series" /O6 "USB002" /M "Stylus Photo RX700"
      D-Link AirPlus G=C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
      ANIWZCS2Service=C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe.old
      atwtusb=atwtusb.exe.. beta.old
      F5D9050=C:\Program Files\Belkin\F5D9050\Belkinwcui.exe
      Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
      <NO NAME>=
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
      Installed=1
      <NO NAME>=
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
      NoChange=1
      Installed=1
      <NO NAME>=
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
      Installed=1
      <NO NAME>=

      --------------- [ Registre / Clés infectieuses ] ----------------



      --------------- [ Etat / Services ] ----------------



      +- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

      Ndisuio - Type de démarrage = 3

      Ip6Fw - Type de démarrage = 3

      SharedAccess - Type de démarrage = 2

      wuauserv - Type de démarrage = 2

      wscsvc - Type de démarrage = 2



      --------------- [ Recherche dans supports amovibles] ----------------


      +- Informations :

      C: - Lecteur fixe

      E: - Lecteur amovible


      +- presence des fichiers :



      --------------- [ Registre / Mountpoint2 ] ----------------

      Found ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7a880ff0-12d3-11dd-a0fe-00173f6314e5}\Shell\AutoRun\command


      ------------------- ! Fin du rapport ! --------------------




      Je le relance en demandant la suppression des fichiers infectieux ?
      Ou est-ce que d'autres manip sont nécessaires ?

      Et pour que je me couche moins idiote ce soir : c'est quoi ce virus ? comment il s'appelle ? et comment on l'évite surtout !?
      Merci pour ton aide,
      0
  2. nenette clapette
     
    c'est fait
    mais j'ai toujours le même problème avec google
    voici le nouveau rapport :

    ----------------- FindyKill V4.705 ------------------

    * User : Pomel - POMEL-E3110153F
    * executed from : C:\Program Files\FindyKill
    * Update on 17/11/08 par Chiquitine29
    * Start at 19:40:49 the 23/11/2008
    * Windows XP - Internet Explorer 7.0.5730.11

    ((((((((((((((( *** deleting *** ))))))))))))))))))

    --------------- [ Active Processes ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\system32\userinit.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\alg.exe

    --------------- [ Infected files / folders ] ----------------

    »»»» Supression files in C:

    »»»» Supression files in C:\WINDOWS

    »»»» Supression files in C:\WINDOWS\Prefetch

    Deleted ! - C:\WINDOWS\prefetch\O4PATCH.EXE-17659A4A.pf

    »»»» Supression files in C:\WINDOWS\system32

    »»»» Supression files in C:\WINDOWS\system32\drivers

    »»»» Supression files in C:\Documents and Settings\Pomel\Application Data

    »»»» Supression files in C:\DOCUME~1\Pomel\LOCALS~1\Temp

    »»»» Supression files in C:\Documents and Settings\Pomel\Local Settings\Temporary Internet Files\Content.IE5

    Deleted ! - C:\Documents and Settings\All Users\Application Data\Skype\Plugins\Local Cache\D3987B641C134048B815DB578D607F42_more.jpg

    --------------- [ Registry / Infected keys ] ----------------

    Deleted ! - HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA

    --------------- [ States / Restarting of services ] ----------------

    +- Services : [ Auto=2 / Request=3 / Disable=4 ]

    Ndisuio - Type of startup = 3

    Ip6Fw - Type of startup = 2

    SharedAccess - Type of startup = 2

    wuauserv - Type of startup = 2

    wscsvc - Type of startup = 2

    --------------- [ Cleaning removable drives ] ----------------

    +- Informations :

    C: - Lecteur fixe

    E: - Lecteur amovible

    +- deleting files :

    --------------- [ Registry / Mountpoint2 ] ----------------

    Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7a880ff0-12d3-11dd-a0fe-00173f6314e5}\Shell\AutoRun\command

    --------------- [ Searching Cracks / Keygen ] ----------------

    C:\Documents and Settings\Pomel\Mes documents\NC applications\Adobe Photoshop CS3 Extended + Patch FR\Adobe Photoshop CS3 Extended + Patch FR\Crack
    C:\Documents and Settings\Pomel\Mes documents\NC applications\Adobe Photoshop CS3 Extended + Patch FR\Adobe Photoshop CS3 Extended + Patch FR\Crack\Comment cracker.txt
    C:\Documents and Settings\Pomel\Mes documents\NC applications\Adobe Photoshop CS3 Extended + Patch FR\Adobe Photoshop CS3 Extended + Patch FR\Crack\Photoshop.exe
    C:\Documents and Settings\Pomel\Mes documents\NC applications\Macromedia Studio 8 FR (Dreamweaver 8 - Fireworks 8 - Flash 8) + Kegen\Macromedia Studio 8.0 - Keygen.exe

    ---------------- ! End of report ! ------------------

    Grrrrrr
    C'est horrible ce truc
    ...
    tu as une autre idée ?
    0
    1. archet9
       
      commence par virer tout ca:
      sinon ca reviendra...

      --------------- [ Searching Cracks / Keygen ] ----------------

      C:\Documents and Settings\Pomel\Mes documents\NC applications\Adobe Photoshop CS3 Extended + Patch FR\Adobe Photoshop CS3 Extended + Patch FR\Crack
      C:\Documents and Settings\Pomel\Mes documents\NC applications\Adobe Photoshop CS3 Extended + Patch FR\Adobe Photoshop CS3 Extended + Patch FR\Crack\Comment cracker.txt
      C:\Documents and Settings\Pomel\Mes documents\NC applications\Adobe Photoshop CS3 Extended + Patch FR\Adobe Photoshop CS3 Extended + Patch FR\Crack\Photoshop.exe
      C:\Documents and Settings\Pomel\Mes documents\NC applications\Macromedia Studio 8 FR (Dreamweaver 8 - Fireworks 8 - Flash 8) + Kegen\Macromedia Studio 8.0 - Keygen.exe


      ensuite ceci:

      ---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
      http://download.bleepingcomputer.com/sUBs/ComboFix.exe

      /!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

      ---> Double-clique sur Combofix.exe
      Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
      Accepte en cliquant sur "Oui"

      ---> Mets-le en langue française F
      Tape sur la touche 1 (Yes) pour démarrer le scan.

      /!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

      En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

      Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

      /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

      Note : Le rapport se trouve également là : C:\ComboFix.txt
      a+
      0
      1. nenette clapette > archet9
         
        J'avais déjà essayé mais j'ai quand même retenté : toujours le même soucis
        Le même que pour malwarebytes tout à l'heure
        Je lance le .exe et rien ne se passe
        J'ai bien fait gaffe de tout désactiver, j'ai même fini par tuer qusi tous les process :o) mais toujours rien
        ComboFix ne veut pas se lancer.
        0
      2. archet9 > nenette clapette
         
        1: desinstalle le
        2:Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

        Avant de telecharger clic sur enregistrer renome le en killbagle et enregistre le sur le bureau
        puis lance le...

        a+

        0
  3. nenette clapette
     
    pfiou !
    ça y est, google remarche !

    merci beaucoup pour ton aide ! vraiment merci merci merci !!
    0
    1. archet9
       
      colle le rapport stp...
      car c est pas fini....
      0
  4. nenette clapette
     
    ah zut, j'y ai bien cru pourtant :o)

    Voici le rapport :
    ComboFix 08-11-22.02 - Pomel 2008-11-23 21:17:20.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.254 [GMT 1:00]

    [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\Pomel\real.txt
    c:\windows\IE4 Error Log.txt
    c:\windows\system32\%%% %%^ %^%^^ %%^^ ^ ^ ^%%^ ^% ^ ^.exe

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_TDSSSERV.SYS
    -------\Legacy_TDSSSERV.SYS

    ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-23 au 2008-11-23 ))))))))))))))))))))))))))))))))))))
    .

    2008-11-23 19:21 . 2008-11-23 19:45 <REP> d-------- c:\program files\FindyKill
    2008-11-23 15:14 . 2008-11-23 15:28 3,580 --a------ c:\windows\system32\tmp.reg
    2008-11-23 11:45 . 2008-11-23 11:45 <REP> d-------- C:\_OTMoveIt
    2008-11-23 11:21 . 2008-11-23 11:21 <REP> d-------- c:\program files\Trend Micro
    2008-11-20 17:30 . 2008-11-20 17:30 260 --a------ c:\windows\_delis32.ini
    2008-11-19 09:09 . 2008-11-20 09:04 <REP> d-------- c:\documents and settings\Pomel\Application Data\skypePM
    2008-11-19 09:09 . 2008-11-19 09:09 56 --ah----- c:\windows\system32\ezsidmv.dat
    2008-11-19 09:07 . 2008-11-19 09:07 <REP> d-------- c:\documents and settings\All Users\Application Data\Skype
    2008-11-18 22:05 . 2008-11-19 09:00 73,728 --a------ c:\windows\system32\TDSSxfum.dll
    2008-11-18 22:05 . 2008-11-19 09:00 31,232 --a------ c:\windows\system32\TDSSriqp.dll
    2008-11-18 22:05 . 2008-11-19 09:00 29,696 --a------ c:\windows\system32\TDSSbrsr.dll
    2008-11-18 22:05 . 2008-11-23 19:48 2,348 --a------ c:\windows\system32\TDSSlxwp.dll
    2008-11-18 22:05 . 2008-11-19 09:00 527 --a------ c:\windows\system32\TDSSosvd.dat
    2008-11-18 22:04 . 2008-11-19 09:00 60,416 --a------ c:\windows\system32\drivers\TDSSmqlt.sys
    2008-11-18 22:04 . 2008-11-19 09:00 35,840 --a------ c:\windows\system32\TDSSoiqh.dll
    2008-11-10 11:12 . 2008-11-10 11:12 <REP> d-------- c:\program files\Microsoft ActiveSync
    2008-11-10 11:11 . 2008-11-10 11:11 <REP> d-------- c:\program files\Ressources Windows Mobile
    2008-11-06 13:55 . 2008-11-06 13:55 <REP> d-------- c:\program files\Infogrames

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-11-23 17:16 --------- d-----w c:\documents and settings\Pomel\Application Data\FileZilla
    2008-11-22 22:43 --------- d-----w c:\program files\DAEMON Tools
    2008-11-20 16:35 --------- d-----w c:\program files\Logitech
    2008-11-20 16:32 --------- d--h--w c:\program files\InstallShield Installation Information
    2008-11-20 16:32 --------- d-----w c:\program files\Macromedia
    2008-11-20 16:31 --------- d-----w c:\program files\Fichiers communs\Macromedia
    2008-11-20 16:31 --------- d-----w c:\program files\Fichiers communs\Logitech
    2008-11-06 12:41 --------- d-----w c:\documents and settings\Pomel\Application Data\uTorrent
    2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
    2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
    2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
    2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
    2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
    2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
    2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
    2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
    2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
    2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
    2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
    2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
    2008-09-15 15:39 1,846,144 ----a-w c:\windows\system32\win32k.sys
    2008-09-04 16:45 1,106,944 ----a-w c:\windows\system32\msxml3.dll
    2008-08-26 08:11 826,368 ----a-w c:\windows\system32\wininet.dll
    2008-01-26 17:26 15,397 ----a-w c:\program files\settings.dat
    2007-12-14 22:43 641,236 ----a-w c:\documents and settings\Pomel\Application Data\mdbu.bin
    2007-01-24 18:13 278,528 ----a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
    "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
    "H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-04-24 327680]
    "AdaptecDirectCD"="c:\program files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" [2003-03-26 684032]
    "Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2003-05-01 180316]
    "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-18 81000]
    "Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-10-25 282624]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2006-10-30 256576]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
    "EPSON Stylus Photo RX700 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9IE.EXE" [2004-11-10 98304]
    "D-Link AirPlus G"="c:\program files\D-Link\AirPlus G\AirGCFG.exe" [2004-07-09 1249280]
    "F5D9050"="c:\program files\Belkin\F5D9050\Belkinwcui.exe" [2006-07-20 1617920]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
    "ATIModeChange"="Ati2mdxx.exe" [2002-08-28 c:\windows\system32\Ati2mdxx.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    BTTray.lnk - c:\program files\WIDCOMM\Logiciel Bluetooth\BTTray.exe [2003-03-24 389181]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Documents and Settings\\Pomel\\Mes documents\\NC applications\\VideoLAN\\VLC\\vlc.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\FileZilla Client\\filezilla.exe"=
    "c:\\WINDOWS\\system32\\rtcshare.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "c:\\Program Files\\uTorrent\\uTorrent.exe"=
    "c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
    "c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
    "c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

    R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-14 110160]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-04-14 20560]
    R3 StreamSurge;StreamSurge Driver (miniport);c:\windows\system32\DRIVERS\ss.sys [2008-01-09 19968]
    R3 WBSD;Winbond Secure Digital Storage (SD/MMC) Device Driver;c:\windows\system32\Drivers\WBSD.SYS [2007-01-24 26240]
    S1 aiptektp;HyperPen;c:\windows\system32\DRIVERS\aiptektp.sys [2007-12-06 22272]
    S3 maconfservice;Ma-Config Service;"c:\program files\ma-config.com\maconfservice.exe" [2008-07-25 191656]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d81fe4f3-dbbb-11db-9f2b-00173f6314e5}]
    \Shell\AutoRun\command - ie.exe
    \Shell\explore\Command - ie.exe
    \Shell\open\Command - ie.exe

    *Newly Created Service* - PROCEXP90
    .
    Contenu du dossier 'Tâches planifiées'

    2008-11-19 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2006-10-10 17:13]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-Run-ANIWZCS2Service - c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe.old
    HKLM-Run-AGRSMMSG - AGRSMMSG.exe.old
    HKLM-Run-atwtusb - atwtusb.exe.. beta.old
    Notify-WgaLogon - (no file)

    .
    ------- Examen supplémentaire -------
    .
    FireFox -: Profile - c:\documents and settings\Pomel\Application Data\Mozilla\Firefox\Profiles\ppouh7pb.default\
    FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
    FF -: plugin - c:\documents and settings\Pomel\Application Data\Mozilla\Firefox\Profiles\ppouh7pb.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll
    FF -: plugin - c:\program files\ma-config.com\nphardwaredetection.dll
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-11-23 21:22:51
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????9?6?2?7??????? ?pTB???????????????B? ??????

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\TDSSserv.sys]
    "imagepath"="\systemroot\system32\drivers\TDSSmqlt.sys"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(972)
    c:\windows\system32\rsaenh.dll

    - - - - - - - > 'lsass.exe'(1028)
    c:\windows\system32\msprivs.dll
    c:\windows\system32\rsaenh.dll
    .
    Heure de fin: 2008-11-23 21:25:11
    ComboFix-quarantined-files.txt 2008-11-23 20:24:22

    Avant-CF: 13,806,215,168 octets libres
    Après-CF: 13,795,258,368 octets libres

    162 --- E O F --- 2008-11-14 15:00:02

    qu'est-ce qu'il reste à faire ?
    0
    1. archet9
       
      si maintenant tu as acces malware bytes
      lance le en mode sans echec
      colle le rapport...

      a+
      0
      1. nenette clapette > archet9
         
        Malwarebytes' Anti-Malware 1.30
        Version de la base de données: 1419
        Windows 5.1.2600 Service Pack 2

        24/11/2008 14:23:21
        mbam-log-2008-11-24 (14-23-21).txt

        Type de recherche: Examen complet (C:\|)
        Eléments examinés: 145615
        Temps écoulé: 3 hour(s), 32 minute(s), 14 second(s)

        Processus mémoire infecté(s): 0
        Module(s) mémoire infecté(s): 0
        Clé(s) du Registre infectée(s): 0
        Valeur(s) du Registre infectée(s): 0
        Elément(s) de données du Registre infecté(s): 0
        Dossier(s) infecté(s): 0
        Fichier(s) infecté(s): 7

        Processus mémoire infecté(s):
        (Aucun élément nuisible détecté)

        Module(s) mémoire infecté(s):
        (Aucun élément nuisible détecté)

        Clé(s) du Registre infectée(s):
        (Aucun élément nuisible détecté)

        Valeur(s) du Registre infectée(s):
        (Aucun élément nuisible détecté)

        Elément(s) de données du Registre infecté(s):
        (Aucun élément nuisible détecté)

        Dossier(s) infecté(s):
        (Aucun élément nuisible détecté)

        Fichier(s) infecté(s):
        C:\WINDOWS\system32\TDSSbrsr.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
        C:\WINDOWS\system32\TDSSoiqh.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
        C:\WINDOWS\system32\TDSSriqp.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
        C:\WINDOWS\system32\TDSSxfum.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
        C:\WINDOWS\system32\drivers\TDSSmqlt.sys (Trojan.TDSS) -> Quarantined and deleted successfully.
        C:\WINDOWS\system32\TDSSlxwp.dll (Trojan.Agent) -> Quarantined and deleted successfully.
        C:\WINDOWS\system32\TDSStkdu.log (Trojan.TDSS) -> Quarantined and deleted successfully.



        Ca a l'air pas mal non ?
        0
      2. archet9 > nenette clapette
         
        super......
        scan hijack pour voir...stp

        a+
        0