Malware

Résolu
manojouen Messages postés 28 Statut Membre -  
manojouen Messages postés 28 Statut Membre -
Bonjour,
J'ai un gros souci d'ordi et en plus je m'y connais pas bien
J'ai le malware "go-google" et je ne sais pas comment m'en débarasser, quelqu'un peut-il m'aider?
Configuration: Windows XP
Internet Explorer 6.0

14 réponses

  1. Utilisateur anonyme
     
    Salut,

    Télécharge HijackThis (outils de diagnostic) ici :

    -> Fais un clic droit sur un des liens et choisi enregistrer la cible sous .... le bureau

    -> http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
    -> HijackThis

    -> Fais un double-clic sur HJTInstall.exe afin de lancer l'installation

    -> Clique sur Install ensuite sur I Accept

    -> Clique sur Do a scan system and save log file

    -> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse
    0
    1. manojouen Messages postés 28 Statut Membre
       
      impossible de télécharger HijackThis et ça ça me le fait avec pls anti-malware...
      0
  2. Utilisateur anonyme
     
    humm ok

    telecharge le ici :

    http://sd-1.archive-host.com/membres/up/116615172019703188/manojouen.exe

    c est hijackthis renomé
    0
    1. manojouen Messages postés 28 Statut Membre
       
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 23:57:12, on 06/12/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\WgaTray.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\RTHDCPL.EXE
      C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
      C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\MSN Messenger\MsnMsgr.Exe
      C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
      C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
      C:\documents and settings\marie\local settings\application data\wuewi.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\MSN Messenger\usnsvc.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\Java\jre1.6.0_04\bin\jucheck.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\system32\dwwin.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
      O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
      O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
      O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
      O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
      O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
      O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
      O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
      O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
      O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
      O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
      O4 - HKCU\..\Run: [wuewi] "c:\documents and settings\marie\local settings\application data\wuewi.exe" wuewi
      O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
      O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
      O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
      O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
      O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
      O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
      O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
      O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
      O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
      O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
      O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
      O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
      O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
      O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
      O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O24 - Desktop Component 0: (no name) - http://www.chasseurs-orages.com/images/Orages/suarez/foudre-20-06-07/DSC_4262.jpg
      0
  3. Utilisateur anonyme
     
    Fais un clic droit sur ce lien : (IL-MAFIOSO)
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
    Copie-colle l'intégralité dans une réponse. Referme le blocnote.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

    Tuto: http://www.malekal.com/Adware.Magic_Control.php
    0
    1. manojouen Messages postés 28 Statut Membre
       
      Search Navipromo version 3.6.9 commencé le 07/12/2008 à 0:05:49,46

      !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
      !!! Postez ce rapport sur le forum pour le faire analyser !!!
      !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

      Outil exécuté depuis C:\Program Files\navilog1
      Session actuelle : "marie"

      Mise à jour le 05.11.2008 à 21h00 par IL-MAFIOSO


      Microsoft Windows XP [version 5.1.2600]
      Internet Explorer : 6.0.2900.2180
      Système de fichiers :

      Recherche executé en mode normal

      *** Recherche Programmes installés ***

      Favorit
      WebMediaPlayer

      *** Recherche dossiers dans "C:\WINDOWS" ***


      *** Recherche dossiers dans "C:\Program Files" ***


      *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

      ...\WebMediaPlayer trouvé !

      *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


      *** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


      *** Recherche dossiers dans "C:\Documents and Settings\marie\applic~1" ***


      *** Recherche dossiers dans "C:\Documents and Settings\marie\locals~1\applic~1" ***


      *** Recherche dossiers dans "C:\Documents and Settings\marie\menudm~1\progra~1" ***


      *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
      pour + d'infos : http://www.gmer.net



      *** Recherche avec GenericNaviSearch ***
      !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
      !!! A vérifier impérativement avant toute suppression manuelle !!!

      * Recherche dans "C:\WINDOWS\system32" *

      * Recherche dans "C:\Documents and Settings\marie\locals~1\applic~1" *



      *** Recherche fichiers ***



      *** Recherche clés spécifiques dans le Registre ***

      HKEY_CURRENT_USER\Software\Lanconfig trouvé !

      *** Module de Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Recherche nouveaux fichiers Instant Access :


      2)Recherche Heuristique :

      * Dans "C:\WINDOWS\system32" :


      * Dans "C:\Documents and Settings\marie\locals~1\applic~1" :

      wuewi.exe trouvé !
      wuewi.dat trouvé !
      wuewi_nav.dat trouvé !
      wuewi_navps.dat trouvé !

      3)Recherche Certificats :

      Certificat Egroup trouvé !
      Certificat Electronic-Group trouvé !
      Certificat Montorgueil absent !
      Certificat OOO-Favorit trouvé !
      Certificat Sunny-Day-Design-Ltd absent !

      4)Recherche fichiers connus :



      *** Analyse terminée le 07/12/2008 à 0:06:26,06 ***
      0
    2. manojouen Messages postés 28 Statut Membre
       
      je fais quoi maintenant?
      0
    3. manojouen Messages postés 28 Statut Membre
       
      il me reste une fenetre de hijackthis ouverte j'en fais quoi ?
      0
  4. Utilisateur anonyme
     
    Double cliques sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
    Au menu principal, choisis 2 et valides.
    (ne fais pas le choix 3 ou 4 sans notre avis/accord)

    Le fix va t'informer qu'il va alors redémarrer ton PC
    Fermes toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
    Appuies sur une touche comme demandé.
    (si ton Pc ne redémarre pas automatiquement, fais le toi même)
    Au redémarrage de ton PC, choisis ta session habituelle.

    Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
    Le bloc-notes va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver
    Referme le bloc-notes. Ton bureau va réapparaitre

    PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Celà te fera apparaitre ton bureau.

    Postes le rapport içi.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    fais le post 8 et ferme hiajckthis
    0
    1. manojouen Messages postés 28 Statut Membre
       
      Clean Navipromo version 3.6.9 commencé le 07/12/2008 à 0:11:39,70

      Outil exécuté depuis C:\Program Files\navilog1
      Session actuelle : "marie"

      Mise à jour le 05.11.2008 à 21h00 par IL-MAFIOSO


      Microsoft Windows XP [version 5.1.2600]
      Internet Explorer : 6.0.2900.2180
      Système de fichiers :

      Mode suppression automatique
      avec prise en charge résultats Catchme et GNS


      Nettoyage exécuté au redémarrage de l'ordinateur


      *** fsbl1.txt non trouvé ***
      (Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


      *** Suppression avec sauvegardes résultats GenericNaviSearch ***

      * Suppression dans "C:\WINDOWS\System32" *


      * Suppression dans "C:\Documents and Settings\marie\locals~1\applic~1" *



      *** Suppression dossiers dans "C:\WINDOWS" ***


      *** Suppression dossiers dans "C:\Program Files" ***


      *** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

      ...\WebMediaPlayer ...suppression...
      ...\WebMediaPlayer supprimé !


      *** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


      *** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


      *** Suppression dossiers dans "C:\Documents and Settings\marie\applic~1" ***


      *** Suppression dossiers dans "C:\Documents and Settings\marie\locals~1\applic~1" ***


      *** Suppression dossiers dans "C:\Documents and Settings\marie\menudm~1\progra~1" ***



      *** Suppression fichiers ***


      *** Suppression fichiers temporaires ***

      Nettoyage contenu C:\WINDOWS\Temp effectué !
      Nettoyage contenu C:\Documents and Settings\marie\locals~1\Temp effectué !

      *** Traitement Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

      2)Recherche, création sauvegardes et suppression Heuristique :


      * Dans "C:\WINDOWS\system32" *


      * Dans "C:\Documents and Settings\marie\locals~1\applic~1" *


      wuewi.exe trouvé !
      Copie wuewi.exe réalisée avec succès !
      wuewi.exe supprimé !

      wuewi.dat trouvé !
      Copie wuewi.dat réalisée avec succès !
      wuewi.dat supprimé !

      wuewi_nav.dat trouvé !
      Copie wuewi_nav.dat réalisée avec succès !
      wuewi_nav.dat supprimé !

      wuewi_navps.dat trouvé !
      Copie wuewi_navps.dat réalisée avec succès !
      wuewi_navps.dat supprimé !


      *** Sauvegarde du Registre vers dossier Safebackup ***

      sauvegarde du Registre réalisée avec succès !

      *** Nettoyage Registre ***

      Nettoyage Registre Ok


      *** Certificats ***

      Certificat Egroup supprimé !
      Certificat Electronic-Group supprimé !
      Certificat Montorgueil absent !
      Certificat OOO-Favorit supprimé !
      Certificat Sunny-Day-Design-Ltdt absent !

      *** Nettoyage terminé le 07/12/2008 à 0:15:47,23 ***
      0
  7. Utilisateur anonyme
     
    Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.

    * Lance l'installation du programme en exécutant le fichier téléchargé.
    * Double-clique maintenant sur le raccourci de Toolbar-S&D
    * Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
    * Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
    * Poste le rapport généré. (C:\TB.txt)

    Tuto : https://sites.google.com/site/toolbarsd/aideenimages
    0
    1. manojouen Messages postés 28 Statut Membre
       
      -----------\\ ToolBar S&D 1.2.6 XP/Vista

      Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
      X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3000+ )
      BIOS : BIOS Date: 05/01/07 12:14:22 Ver: 08.00.12
      USER : marie ( Administrator )
      BOOT : Normal boot
      Antivirus : Kaspersky Anti-Virus 8.0.0.506 (Not Activated)
      C:\ (Local Disk) - NTFS - Total:19 Go (Free:9 Go)
      D:\ (Local Disk) - NTFS - Total:54 Go (Free:53 Go)
      E:\ (CD or DVD) - UDF - Total:7 Go (Free:0 Go)

      "C:\ToolBar SD" ( MAJ : 04-12-2008|20:40 )
      Option : [1] ( 07/12/2008| 0:19 )

      -----------\\ Recherche de Fichiers / Dossiers ...

      C:\DOCUME~1\marie\Cookies\marie@bananalotto[1].txt
      C:\DOCUME~1\marie\Cookies\marie@contentcatalog.hotbar[1].txt
      C:\DOCUME~1\marie\Cookies\marie@hotbar[2].txt
      C:\DOCUME~1\marie\Cookies\marie@cs.shopperreports[1].txt
      C:\DOCUME~1\marie\APPLIC~1\ShoppingReport
      C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs
      C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\Config.xml
      C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\db
      C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\dwld
      C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\report
      C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\res2
      C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\db\Aliases.dbs
      C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\db\Sites.dbs
      C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\dwld\WhiteList.xip
      C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\report\aggr_storage.xml
      C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\report\send_storage.xml
      C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\res2\WhiteList.dbs
      C:\Program Files\ShoppingReport
      C:\Program Files\ShoppingReport\Bin
      C:\Program Files\ShoppingReport\Uninst.exe
      C:\Program Files\ShoppingReport\Bin\2.5.0
      C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
      C:\DOCUME~1\marie\Cookies\marie@h.starware[1].txt
      C:\DOCUME~1\marie\Cookies\marie@try.starware[2].txt
      C:\DOCUME~1\marie\Cookies\marie@atdhe.fr.powered-by.zango[1].txt
      C:\DOCUME~1\marie\Cookies\marie@www.zango[1].txt
      C:\DOCUME~1\marie\Cookies\marie@zango[2].txt
      C:\DOCUME~1\marie\Cookies\marie@7search[2].txt

      -----------\\ [..\Internet Explorer\Main]

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
      "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
      "Start Page"="https://www.google.fr/?gws_rd=ssl"
      "Search Page"="https://www.google.com/?gws_rd=ssl"
      "Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
      "Default_Page_URL"="https://fr.yahoo.com/"
      "Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"
      "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
      "Start Page"="https://fr.yahoo.com/"


      --------------------\\ Recherche d'autres infections

      --------------------\\ ROOTKIT !!

      Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS]
      Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TDSSSERV.SYS]
      Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS]




      1 - "C:\ToolBar SD\TB_1.txt" - 07/12/2008| 0:20 - Option : [1]

      -----------\\ Fin du rapport a 0:20:39,68
      0
  8. Utilisateur anonyme
     
    Relance Toolbar-S&D en double-cliquant sur le raccourci. Tape sur "2" puis valide en appuyant sur "Entrée".
    ! Ne ferme pas la fenêtre lors de la suppression !
    Un rapport sera généré, poste son contenu ici.

    NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
    Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."
    Tape explorer puis valide.
    0
    1. manojouen Messages postés 28 Statut Membre
       
      j'ai pas le raccourci
      0
  9. Utilisateur anonyme
     
    ok

    ---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
    http://oldtimer.geekstogo.com/OTMoveIt3.exe

    ---> Double-clique sur OTMoveIt3.exe afin de le lancer.

    ---> Copie (Ctrl+C) le texte suivant ci-dessous :

    :processes
    explorer.exe

    :files
    C:\DOCUME~1\marie\Cookies\marie@bananalotto[1].txt
    C:\DOCUME~1\marie\Cookies\marie@contentcatalog.hotbar[1].txt
    C:\DOCUME~1\marie\Cookies\marie@hotbar[2].txt
    C:\DOCUME~1\marie\Cookies\marie@cs.shopperreports[1].txt
    C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs
    C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\Config.xml
    C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\db
    C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\dwld
    C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\report
    C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\res2
    C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\db\Aliases.dbs
    C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\db\Sites.dbs
    C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\dwld\WhiteList.xip
    C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\report\aggr_storage.xml
    C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\report\send_storage.xml
    C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs\res2\WhiteList.dbs
    C:\DOCUME~1\marie\APPLIC~1\ShoppingReport
    C:\Program Files\ShoppingReport\Bin
    C:\Program Files\ShoppingReport\Uninst.exe
    C:\Program Files\ShoppingReport\Bin\2.5.0
    C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
    C:\Program Files\ShoppingReport
    C:\DOCUME~1\marie\Cookies\marie@h.starware[1].txt
    C:\DOCUME~1\marie\Cookies\marie@try.starware[2].txt
    C:\DOCUME~1\marie\Cookies\marie@atdhe.fr.powered-by.zango[1].txt
    C:\DOCUME~1\marie\Cookies\marie@www.zango[1].txt
    C:\DOCUME~1\marie\Cookies\marie@zango[2].txt
    C:\DOCUME~1\marie\Cookies\marie@7search[2].txt

    :commands
    [emptytemp]
    [start explorer]
    [reboot]


    ---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

    ---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    ---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
    Le nom du rapport correspond au moment de sa création : date_heure.log
    0
    1. manojouen Messages postés 28 Statut Membre
       
      si en fait je l'ai !

      -----------\\ ToolBar S&D 1.2.6 XP/Vista

      Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
      X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3000+ )
      BIOS : BIOS Date: 05/01/07 12:14:22 Ver: 08.00.12
      USER : marie ( Administrator )
      BOOT : Normal boot
      Antivirus : Kaspersky Anti-Virus 8.0.0.506 (Not Activated)
      C:\ (Local Disk) - NTFS - Total:19 Go (Free:9 Go)
      D:\ (Local Disk) - NTFS - Total:54 Go (Free:53 Go)
      E:\ (CD or DVD) - UDF - Total:7 Go (Free:0 Go)

      "C:\ToolBar SD" ( MAJ : 04-12-2008|20:40 )
      Option : [2] ( 07/12/2008| 0:28 )

      -----------\\ SUPPRESSION

      Supprime! - C:\DOCUME~1\marie\Cookies\marie@bananalotto[1].txt
      Supprime! - C:\DOCUME~1\marie\Cookies\marie@contentcatalog.hotbar[1].txt
      Supprime! - C:\DOCUME~1\marie\Cookies\marie@hotbar[2].txt
      Supprime! - C:\DOCUME~1\marie\Cookies\marie@cs.shopperreports[1].txt
      Supprime! - C:\DOCUME~1\marie\APPLIC~1\ShoppingReport\cs
      Supprime! - C:\Program Files\ShoppingReport\Bin
      Supprime! - C:\Program Files\ShoppingReport\Uninst.exe
      Supprime! - C:\DOCUME~1\marie\Cookies\marie@h.starware[1].txt
      Supprime! - C:\DOCUME~1\marie\Cookies\marie@try.starware[2].txt
      Supprime! - C:\DOCUME~1\marie\Cookies\marie@atdhe.fr.powered-by.zango[1].txt
      Supprime! - C:\DOCUME~1\marie\Cookies\marie@www.zango[1].txt
      Supprime! - C:\DOCUME~1\marie\Cookies\marie@zango[2].txt
      Supprime! - C:\DOCUME~1\marie\Cookies\marie@7search[2].txt
      Supprime! - C:\DOCUME~1\marie\APPLIC~1\ShoppingReport
      Supprime! - C:\Program Files\ShoppingReport

      -----------\\ Recherche de Fichiers / Dossiers ...


      -----------\\ [..\Internet Explorer\Main]

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
      "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
      "Start Page"="https://www.google.fr/?gws_rd=ssl"
      "Search Page"="https://www.google.com/?gws_rd=ssl"
      "Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
      "Default_Page_URL"="https://fr.yahoo.com/"
      "Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"
      "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
      "Start Page"="https://www.msn.com/fr-fr/"


      --------------------\\ Recherche d'autres infections

      --------------------\\ ROOTKIT !!

      Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS]
      Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TDSSSERV.SYS]
      Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS]




      1 - "C:\ToolBar SD\TB_1.txt" - 07/12/2008| 0:20 - Option : [1]
      2 - "C:\ToolBar SD\TB_2.txt" - 07/12/2008| 0:29 - Option : [2]

      -----------\\ Fin du rapport a 0:29:37,18
      0
  10. Utilisateur anonyme
     
    lol

    alors oublie otmoveit 3

    * Télécharge SDFix depuis ce lien : http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    * Enregistre SDFix sur ton bureau
    * Double-clique sur l'icone SDFix
    * Une fenêtre s'ouvre, laisse les options telles quelles puis clique sur le bouton InstallSDFix .

    Pour la suite le nettoyage se fait en mode sans échec.

    Pour redémarrer en mode sans échec :

    * Redémarre ton PC, avant le logo Windows et après le changement du premier écran
    * Tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuie sur la touche entrée du clavier.
    * Pour plus d'informations, voir la page comment redémarrer en mode sans échec

    * Une fois en mode sans échec, clique sur le menu Démarrer puis Exécuter et colle la commande suivant :
    C:\SDFix\RunThis.bat
    * Cliquez sur OK.
    * Une fenêtre noire s'ouvre vous donnant la version du Fix.
    * Appuyez sur la touche Y (pour yes) du clavier et appuyez sur Entrée

    *A ce moment le bureau (Menu Démarrer etc.) va disparaître.

    * Le Fix commence son travail, cela peut durer une trentaines de minutes
    * Une fois les opérations de nettoyage effectuées... SDFix signale que l'ordinateur doit être redémarré :

    >>>The PC Will now restart

    * Appuie sur une touche du clavier

    * L'ordinateur va redémarrer normalement.
    * Avant d'arriver sur le bureau, une nouvelle fenêtre de SDFix va s'ouvrir. Ca peut durer cinq minutes...

    >> Le rapport SDFix s'ouvre alors fais un copier coller et envoi le.

    0
    1. manojouen Messages postés 28 Statut Membre
       
      je peux pas le télécharger !
      0
  11. Utilisateur anonyme
     
    ok c la faute du rootkit (tibs)

    attend je te passe un autre lien
    0
  12. Utilisateur anonyme
     
    re

    telecharge sdfix ici :

    http://sd-1.archive-host.com/membres/up/116615172019703188/Antimerdouilles.exe

    et suis la procedure
    0
    1. manojouen Messages postés 28 Statut Membre
       
      [b]SDFix: Version 1.240 [/b]
      Run by marie on 07/12/2008 at 00:48

      Microsoft Windows XP [version 5.1.2600]
      Running From: C:\SDFix

      [b]Checking Services [/b]:


      Restoring Default Security Values
      Restoring Default Hosts File

      Rebooting


      [b]Checking Files [/b]:

      Trojan Files Found:

      C:\WINDOWS\system32\TDSSbrsr.dll - Deleted
      C:\WINDOWS\system32\TDSSriqp.dll - Deleted
      C:\WINDOWS\system32\TDSScfum.dll - Deleted
      C:\WINDOWS\system32\TDSSlxwp.dll - Deleted
      C:\WINDOWS\system32\TDSSosvd.dat - Deleted
      C:\WINDOWS\system32\TDSStkdv.log - Deleted


      Could Not Remove C:\WINDOWS\system32\TDSSoiqh.dll



      Removing Temp Files

      [b]ADS Check [/b]:



      [b]Final Check [/b]:

      catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-12-07 00:52:24
      Windows 5.1.2600 Service Pack 2 NTFS

      scanning hidden processes ...

      scanning hidden services & system hive ...

      disk error: C:\WINDOWS\system32\config\system, 0
      scanning hidden registry entries ...

      disk error: C:\WINDOWS\system32\config\software, 0
      disk error: C:\Documents and Settings\marie\ntuser.dat, 0
      scanning hidden files ...

      disk error: C:\WINDOWS\

      please note that you need administrator rights to perform deep scan

      [b]Remaining Services [/b]:




      Authorized Application Key Export:

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
      "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
      "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
      "C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
      "C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"="C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe:*:Enabled:Veoh Client"
      "C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"="C:\\Program Files\\Freeplayer\\vlc\\vlc.exe:*:Disabled:VLC media player"
      "C:\\Program Files\\QuickBox\\VLC\\vlc.exe"="C:\\Program Files\\QuickBox\\VLC\\vlc.exe:*:Disabled:VLC media player"
      "C:\\Program Files\\HomePlayer\\HomePlayer.exe"="C:\\Program Files\\HomePlayer\\HomePlayer.exe:*:Enabled:HomePlayer"

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
      "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

      [b]Remaining Files [/b]:

      C:\WINDOWS\system32\TDSSoiqh.dll Found

      File Backups: - C:\SDFix\backups\backups.zip

      [b]Files with Hidden Attributes [/b]:

      Thu 4 Dec 2008 72 A..H. --- "C:\Program Files\InterActual\InterActual Player\iti1D.tmp"

      [b]Finished![/b]
      0
  13. Utilisateur anonyme
     
    Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    -> Double clique sur combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    0
    1. manojouen Messages postés 28 Statut Membre
       
      ça marche pas qd je double clique rien ne se passe
      0
  14. Utilisateur anonyme
     
    essai ça

    supprime le combofix que tu as telechargé

    ensuite renome le comme ça :

    Avant de telecharger clic sur enregistrer renome le en killbagle et enregistre le sur le bureau

    et suis la procedure
    0
    1. manojouen Messages postés 28 Statut Membre
       
      ça veut plus télécharger !
      0
  15. Utilisateur anonyme
     
    telecharge combofix ici :

    http://sd-1.archive-host.com/membres/up/116615172019703188/AntiTibs.exe
    0
    1. manojouen Messages postés 28 Statut Membre
       
      bon ça na pas marché le truc était bloqué...je commence à fatiguer...est ce que tu seras la demain ds la journée?
      0
    2. manojouen Messages postés 28 Statut Membre
       
      autant pr moi ! mon google remarche comme avant en espérant que ça dure ! merci pr tout !
      0