AccueilCalendrierFAQRechercherMembresGroupesS'enregistrerConnexion
Statistiques Antivir
Rechercher
 
 

Résultats par :
 
Rechercher Recherche avancée
Derniers sujets
» Infection + PC très lent
Sam 14 Déc - 22:03:56 par Fred_R

» J'ai quelque chose qui est en train de bouffer mon pc
Dim 5 Mai - 19:12:45 par Marco2404

» systeme de plugin a l'adress 0*e4783995 a recu l'erreur critique
Lun 20 Juin - 15:58:24 par rositaa

» Démarrage bloquer
Sam 30 Jan - 19:55:46 par Nemesis31

» scan Security tool virus
Sam 30 Jan - 19:54:57 par Nemesis31

» coupure du PC
Mer 9 Déc - 22:40:37 par Nemesis31

» Mon Pc Ram Comme Un Fou :@
Mar 3 Nov - 0:18:46 par shion-ares

» coupure d'internet tout les 5 minutes plus d'executer sous xp
Jeu 10 Sep - 0:28:07 par gollum

» soupson d'infection
Jeu 3 Sep - 13:42:30 par Nemesis31

Navigation
 Accueil
 Membres
 Profil
 FAQ
 Rechercher
Connexion
Nom d'utilisateur:
Mot de passe:
Connexion automatique: 
:: Récupérer mon mot de passe
Partenaires
Forum gratuit



Tchat Blablaland


Meilleurs posteurs
geoffrey5
 
shion-ares
 
plopus
 
didier68
 
Anthony5151
 
Juliensl
 
bluestyle
 
ginga
 
Nemesis31
 
gobiel
 
La boutique du forum
vous avez la possibilité d'acheter des articles propres au forum
Sondage

Partagez | 
 

 PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus

Voir le sujet précédent Voir le sujet suivant Aller en bas 
Aller à la page : 1, 2  Suivant
AuteurMessage
Marco2404
Membre
Membre


Masculin
Nombre de messages : 71
Age : 54
Localisation : Chambly (Québec)
Système d\'exploitation * : XP pro
Date d'inscription : 22/11/2008

MessageSujet: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Sam 23 Mai - 10:05:23

Bonsoir.

Je n'étais pas revenu sur votre site depuis novembre dernier où vous aviez gentiment sauvé la vie de mon pc qui était alors infecté au max.

Aujourd'hui c'est beaucoup moins grave comme situation mais, après ma précédente expérience, je préfère maintenant agir plus tôt que tard.

Voici, depuis 2 jours environ, j'ai constaté que des liens menant à des pubs s'ajoutent au texte des pages que je consulte. Quand je fais des recherches Google, je vois bien que, certaines fois, les pages de résultats qui s'affichent sont «piratées». D'autres fois, ce sont les liens suggérés par Google qui me redirigent plutôt vers de la pub intempestive.

Quand je me suis aperçu de cela, j'ai eu le réflexe de lancer tout ce que j'ai comme défense anti-tout. J'ai constaté alors que Spybot et AdAware ne veulent plus s'ouvrir et ce, même si je vois bien qu'ils sont actifs comme processus dans mon gestionnaire des tâches. Je viens tout juste de m'apercevoir que c'est la même chose aussi pour ce qui est de Malwarebites (j'avais gardé ce logiciel suite à votre dernière intervention).

J'ai AVG Free comme anti-virus et il semble fonctionner mais sans avoir rien détecté. J'ai aussi CCleaner et CleanUp qui eux fonctionnent toujours mais je ne suis pas certain que ce soient les remèdes appropriés. J'ai quand même lancé CCleaner et il a pu faire son job. Quant à CleanUp, il a démarré et fait une partie du travail mais il est tout à coup disparu quelques secondes plus tard. J'ai redémarré l'ordi et je suis de retour.

Par ailleurs, quand je redémarre mon pc, je reçois un message à l'effet que PowerIso Power Drive n'est pas installé correstement et doit être réinstallé.?

Par une recherche Google, j'ai tenté de télécharger HJT. Les premiers liens étaient tous redirigés vers de la pub. J'ai finalement réussis à le télécharger et j'ai renommé le .exe «HJT».

J'utilise principalement Firefox comme navigateur mais IE s'arrange toujours pour s'ouvrir en priorité pour certaines tâches.

Mon XP Pro est légal et mis à jour (SP2, etc...).

Je suis loin d'être un expert mais j'en sais suffisamment maintenant pour conclure que mon pc est infecté avec quelque chose de pas très joli.

Pourriez-vous m'aider svp?

Merci d'avance.

P.S.: Chez moi, au Québec, il est 04h10

Voici le log HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:08:20, on 2009-05-23
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ArcCon.ac
C:\Program Files\Trend Micro\HijackThis\HJT.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [itype] "c:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WeatherEye] C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PHOTOfunSTUDIO -viewer-.lnk = C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5483.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187888806093
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: NameServer = 85.255.112.184,85.255.112.75
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.184,85.255.112.75
O17 - HKLM\System\CS1\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: NameServer = 85.255.112.184,85.255.112.75
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.184,85.255.112.75
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 8464 bytes


Dernière édition par Marco2404 le Jeu 2 Juil - 11:12:12, édité 1 fois
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Nemesis31
En formation
En formation


Masculin
Nombre de messages : 139
Age : 47
Localisation : tlse
Système d\'exploitation * : XP pro
Date d'inscription : 26/04/2009

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Sam 23 Mai - 13:29:41

Salut !

je m'y connais pas en rapport HJT, mais je vais essayer de trouver quelques pistes..


  • As-tu essayer de réinstaller Spybot et AdAware ?
  • AVG trouve rien... as-tu essayer de faire des scans en ligne ? (Kapersky, Bitdefender...)

Je voudrais tester un truc:

  • va dans "Démarrer",
  • clique sur "Exécuter",
  • dans la petite fenêtre qui s'ouvre, écrit mrt
  • normalement, y'a une fenêtre intitulé "Outil de suppression de logiciels malveillants ..." qui s'ouvre,
  • si ça s'ouvre, pourquoi ne pas le lancer ^^ (clik sur "Suivant, puis tu coches 'Analyse complète", puis tu clik sur "Suivant" et tu laisses tourner)

Voilà ! Attend un expert en rapport HJT pour voir ce qu'il en dit Very Happy Bonne Chance !
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://fortressviafun.verygames.net
ric025
Helper
Helper
avatar

Masculin
Nombre de messages : 62
Age : 34
Localisation : Valentigney
Système d\'exploitation * : XP Pro SP3
Date d'inscription : 09/04/2009

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Sam 23 Mai - 15:34:42

Salut Marco2404 !

Tu es victime de détournements DNS. On va utiliser Smitfraudfix pour nettoyer puis tenter de rétablir la situation. Wink

Option 1 - Recherche :

  • Télécharge Smitfraudfix et enregistre le sur le bureau
  • Ensuite double clique sur smitfraudfix puis exécuter
  • Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
  • (attention : N'utilise pas l'option 2 si je ne te l'ai pas demandé !!)
  • Copie/colle le rapport dans la réponse.


(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)


++
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Marco2404
Membre
Membre


Masculin
Nombre de messages : 71
Age : 54
Localisation : Chambly (Québec)
Système d\'exploitation * : XP pro
Date d'inscription : 22/11/2008

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Sam 23 Mai - 18:34:02

Merci ric025!

Merci aussi à Nemesis31.

Voici le rapport:

SmitFraudFix v2.416

Rapport fait à 11:30:32,34, 2009-05-23
Executé à partir de C:\Documents and Settings\Marco\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ArcCon.ac
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\autorun.inf PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Marco


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Marco\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Marco\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Marco\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.112.184
DNS Server Search Order: 85.255.112.75

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CCS\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: NameServer=85.255.112.184,85.255.112.75
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: NameServer=85.255.112.184,85.255.112.75
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: NameServer=85.255.112.184,85.255.112.75
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.184,85.255.112.75
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.184,85.255.112.75
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.112.184,85.255.112.75


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Nemesis31
En formation
En formation


Masculin
Nombre de messages : 139
Age : 47
Localisation : tlse
Système d\'exploitation * : XP pro
Date d'inscription : 26/04/2009

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Sam 23 Mai - 20:28:06

Re

de rien marco Very Happy j'ai essayé de faire ce que je pouvais faire Very Happy
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://fortressviafun.verygames.net
ric025
Helper
Helper
avatar

Masculin
Nombre de messages : 62
Age : 34
Localisation : Valentigney
Système d\'exploitation * : XP Pro SP3
Date d'inscription : 09/04/2009

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Sam 23 Mai - 21:12:59

Salut Marco !

Excuse du délais de réponse. Wink

Comme tu vois, Smitfraudfix a détecté le détournement DNS : Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté ! C'est déjà bien !! Very Happy
Bien on va nettoyé déjà :
Option 2 - Nettoyage :

Redémarre l'ordinateur en mode sans échec. !! Pour cela, ne passe jamais par le MSCONFIG !!

===============Suis cette astuce==============

• Redémarre ton ordinateur
• Tout de suite après le bip de démarrage, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.


============En Mode Sans Échec==========

  • Double clique sur smitfraudfix
  • Sélectionne 2 pour supprimer les fichiers responsables de l'infection.
  • A la question: Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
  • Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
  • Enregistre le rapport sur ton bureau
  • Redémarre en mode normal et poste le rapport.


++


Dernière édition par ric025 le Sam 23 Mai - 21:14:05, édité 1 fois (Raison : Mise en page)
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Marco2404
Membre
Membre


Masculin
Nombre de messages : 71
Age : 54
Localisation : Chambly (Québec)
Système d\'exploitation * : XP pro
Date d'inscription : 22/11/2008

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Sam 23 Mai - 21:21:35

Merci encore Nemesis.

Ça semblait effectivement faire du sens d'essayer tes conseils. Seulement, avec le décalage horaire, j'étais encore au dodo et je n'ai pas pu prendre ton message avant l'intervention de ric.

C'était chic de ta part de t'en être donné la peine toutefois.

Ric, je fais ce que tu m'indiques et je te reviens ensuite.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Marco2404
Membre
Membre


Masculin
Nombre de messages : 71
Age : 54
Localisation : Chambly (Québec)
Système d\'exploitation * : XP pro
Date d'inscription : 22/11/2008

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Sam 23 Mai - 21:36:29

Voilà, c'est fait et voici le rapport.

Toutefois, on ne m'a pas demandé de corriger wininet.dll. L'opération s'est terminée après le nettoyage du registre.

En redémarrant, j'ai encore eu le message que le Virtual Drive de PowerIso n'est pas installé correctement et qu'il faut le réinstaller. Est-ce que ça aurait un rapport avec tout ça? Je fais quoi, je désinstalle, je télécharge à nouveau et je réinstalle PowerIso?

SmitFraudFix v2.416

Rapport fait à 14:25:42,04, 2009-05-23
Executé à partir de C:\Documents and Settings\Marco\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
...

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\autorun.inf supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CCS\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: NameServer=85.255.112.184,85.255.112.75
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: NameServer=85.255.112.184,85.255.112.75
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: NameServer=85.255.112.184,85.255.112.75
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.184,85.255.112.75
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.184,85.255.112.75
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.112.184,85.255.112.75


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ric025
Helper
Helper
avatar

Masculin
Nombre de messages : 62
Age : 34
Localisation : Valentigney
Système d\'exploitation * : XP Pro SP3
Date d'inscription : 09/04/2009

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Sam 23 Mai - 21:41:30

Ok ! On verra le logiciel PowerIso ensuite ! Wink

  • Double clique sur smitfraudfix

  • Sélectionne l'option 5

  • Poste le rapport pour vérifier si tout s'est bien passé.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Marco2404
Membre
Membre


Masculin
Nombre de messages : 71
Age : 54
Localisation : Chambly (Québec)
Système d\'exploitation * : XP pro
Date d'inscription : 22/11/2008

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Sam 23 Mai - 21:51:45

SmitFraudFix v2.416

Rapport fait à 14:51:07,56, 2009-05-23
Executé à partir de C:\Documents and Settings\Marco\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.112.184
DNS Server Search Order: 85.255.112.75

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CCS\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: NameServer=85.255.112.184,85.255.112.75
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: NameServer=85.255.112.184,85.255.112.75
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: NameServer=85.255.112.184,85.255.112.75
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.184,85.255.112.75
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.184,85.255.112.75
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.112.184,85.255.112.75

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 24.200.241.37
DNS Server Search Order: 24.201.245.77
DNS Server Search Order: 24.200.243.189

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2EE39D9F-C004-47F4-A66A-ECE8C7E23455}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ric025
Helper
Helper
avatar

Masculin
Nombre de messages : 62
Age : 34
Localisation : Valentigney
Système d\'exploitation * : XP Pro SP3
Date d'inscription : 09/04/2009

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Sam 23 Mai - 21:55:36

Parfait ! Wink

Si tu ne l'as pas déjà :

  • Télécharge Malwarebytes Anti-Malware (MBAM):

    MBAM

  • Installe-le en vérifiant que la case de mise à jour soit bien cochée en fin d'installation.

  • Après la mise à jour, lance-le et coche "Examen Rapide". Puis "Rechercher".

  • Si MBAM trouve quelque chose: fais "Voir les résultats" puis "Supprimer la sélection".

  • Poste le rapport généré.


=========

Si tu as déjà MBAM, mets le à jour via l'onglet "Mise à jour" avant de lancer l'examen rapide.

++

A++ Wink
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Marco2404
Membre
Membre


Masculin
Nombre de messages : 71
Age : 54
Localisation : Chambly (Québec)
Système d\'exploitation * : XP pro
Date d'inscription : 22/11/2008

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Sam 23 Mai - 22:17:43

Ric,

J'ai MBAM mais quand je double-clique sur le raccourci que j'ai sur le bureau ça fait la même chose qu'avant avec Spybot et AdAware. Il n'y a aucune fenêtre qui s'ouvre.

Je dois quitter pour quelques heures. Je verrai ça à mon retour. Pour vous il fera nuit depuis un temps. Au pire, on communiquera demain pour la suite.

Ça te va? Y seras-tu et sinon est-ce que quelqu'un d'autre pourra assurer la suite?

Marco
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ric025
Helper
Helper
avatar

Masculin
Nombre de messages : 62
Age : 34
Localisation : Valentigney
Système d\'exploitation * : XP Pro SP3
Date d'inscription : 09/04/2009

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Sam 23 Mai - 23:11:59

Les recherches Google sont-elles mieux dirigées ?

Télécharge CCleaner, version Slim, sans toolbar:

CCLEANER

  • Va dans "Options">>"Avancé". Décoche la première ligne.
  • Va dans la section "Nettoyeur". Lance l'analyse. La liste créée, lance le nettoyage deux fois de suite afin d'obtenir 0bytes supprimé!
  • Ensuite dans "Registre", lance une recherche des erreurs. La liste créée, fais-les réparer.
  • /!\ A ce moment CCleaner te demande normalement de sauvegarder le registre, fais-le. /!\
  • Recommence ensuite le cycle Recherche/Réparation des erreurs jusqu'à n'en trouver aucune lors de la recherche.


=============Puis===============


  • Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

    http://images.malwareremoval.com/random/RSIT.exe

  • Double-clique sur RSIT.exe.

  • Clique sur Continue à l'écran Disclaimer.

  • Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

  • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

  • A noter: Les rapports se trouvent également ici: C:\rsit.


  • /!\ Poste les deux rapports (log + info) dans deux messages séparés, merci /!\


A noter: Si les rapports sont trop longs, mieux vaut les uploader. http://www.cijoint.fr/

======================

A plus tard, je pense que je serai là ! Wink
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Marco2404
Membre
Membre


Masculin
Nombre de messages : 71
Age : 54
Localisation : Chambly (Québec)
Système d\'exploitation * : XP pro
Date d'inscription : 22/11/2008

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Dim 24 Mai - 6:54:52

Bonsoir Ric,

Je suis de retour.

Je fais la prochaine étape et je te reviens.

Marco
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Marco2404
Membre
Membre


Masculin
Nombre de messages : 71
Age : 54
Localisation : Chambly (Québec)
Système d\'exploitation * : XP pro
Date d'inscription : 22/11/2008

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Dim 24 Mai - 9:55:27

J'ai fait ce que tu m'as demandé avec CCleaner.

Et aussi avec RSIT.

Voici le lien upload de log.txt:

http://www.cijoint.fr/cjlink.php?file=cj200905/cijwLw7h98.txt

Et celui de info.txt:

http://www.cijoint.fr/cjlink.php?file=cj200905/cijZBoW1pg.txt
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Marco2404
Membre
Membre


Masculin
Nombre de messages : 71
Age : 54
Localisation : Chambly (Québec)
Système d\'exploitation * : XP pro
Date d'inscription : 22/11/2008

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Dim 24 Mai - 12:24:10

Les recherches Google sont toujours en bonne partie redirigées vers de la pub.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Marco2404
Membre
Membre


Masculin
Nombre de messages : 71
Age : 54
Localisation : Chambly (Québec)
Système d\'exploitation * : XP pro
Date d'inscription : 22/11/2008

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Dim 24 Mai - 19:14:43

Youhou! Il y a quelqu'un?
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ric025
Helper
Helper
avatar

Masculin
Nombre de messages : 62
Age : 34
Localisation : Valentigney
Système d\'exploitation * : XP Pro SP3
Date d'inscription : 09/04/2009

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Dim 24 Mai - 20:40:23

Salut Marco !

Si je ne suis pas là, c'est que je suis absent, comme dirait La Palisse ! Smile

====================

On vient de me rappeler un oubli. Smile ((Merci Anthony))

Fais ce qui suit s'il te plaît :

/!\ Désactive tes protections résidentes (Antivirus, Antispywares, etc...) /!\


Télécharge ComboFix (ici renommé et hébergé) (de sUBs) sur ton Bureau.


http://sd-1.archive-host.com/membres/up/21362097671547645/Marco.exe

* Double-clique sur Marco.exe (le .exe n'est pas forcément visible) afin de le lancer.

* Il va te demander d'installer la console de récupération : ACCEPTE!.

* Ne touche pas au pc durant le scan.

* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.


Pour t'aider : Un Tutoriel sur l'utilisation de ComboFix (à lire avant de le lancer)


-->> http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



++
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Marco2404
Membre
Membre


Masculin
Nombre de messages : 71
Age : 54
Localisation : Chambly (Québec)
Système d\'exploitation * : XP pro
Date d'inscription : 22/11/2008

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Lun 25 Mai - 8:25:59

Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ric025
Helper
Helper
avatar

Masculin
Nombre de messages : 62
Age : 34
Localisation : Valentigney
Système d\'exploitation * : XP Pro SP3
Date d'inscription : 09/04/2009

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Lun 25 Mai - 16:28:17

Salut Marco !

Très bien ! Les détournements DNS sont accompagnés de Rootkit. Combofix a bien bossé et l'a supprimé.

====================

Tu peux maintenant relancer MBAM, le mettre à jour et lancer un examen rapide.

Poste le rapport.

++ Very Happy
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Marco2404
Membre
Membre


Masculin
Nombre de messages : 71
Age : 54
Localisation : Chambly (Québec)
Système d\'exploitation * : XP pro
Date d'inscription : 22/11/2008

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Jeu 28 Mai - 8:06:16

Bonsoir Ric!

Désolé du délai. J'ai été submergé.

Tiens, voici le rapport MBAM. Il a détecté six fichiers Trojan.DNS quelque chose.

Qu'est-ce qui est arrivé au juste svp? C'est quoi cette chose-là et qu'est-ce que ça fait au pc?

Malwarebytes' Anti-Malware 1.37
Version de la base de données: 2186
Windows 5.1.2600 Service Pack 3

2009-05-28 00:57:06
mbam-log-2009-05-28 (00-57-06).txt

Type de recherche: Examen rapide
Eléments examinés: 99087
Temps écoulé: 5 minute(s), 55 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\DVDConv (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DVDConv (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\DVDConv (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\documents and settings\Marco\Bureau\MediaPlayerCodec(2).exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
c:\documents and settings\Marco\Bureau\MediaPlayerCodec.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
c:\program files\DVDConv\Uninstall.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ric025
Helper
Helper
avatar

Masculin
Nombre de messages : 62
Age : 34
Localisation : Valentigney
Système d\'exploitation * : XP Pro SP3
Date d'inscription : 09/04/2009

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Jeu 28 Mai - 15:05:39

Salut Marco !



MediaPlayerCodec -->
Voilà le responsable certainement !

Tu peux envoyer un nouveau rapport RSIT stp pour vérification ?

A++
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Marco2404
Membre
Membre


Masculin
Nombre de messages : 71
Age : 54
Localisation : Chambly (Québec)
Système d\'exploitation * : XP pro
Date d'inscription : 22/11/2008

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Dim 31 Mai - 11:53:17

Salut Ric!

Avec un nom semblable ça semble pourtant innocent, non?

Voici le rapport RSIT:

http://www.cijoint.fr/cjlink.php?file=cj200905/cijAEJcbrQ.txt
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ric025
Helper
Helper
avatar

Masculin
Nombre de messages : 62
Age : 34
Localisation : Valentigney
Système d\'exploitation * : XP Pro SP3
Date d'inscription : 09/04/2009

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Dim 31 Mai - 13:49:07

Salut Marco.

Oui, cela dépend aussi où tu as téléchargé tes codecs ! Wink

=============

Fais ceci stp :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec mais sans passer par le msconfig !! Suis cette procédure :

• Redémarre ton ordinateur
• Tout de suite après le bip de démarrage, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

===En Mode Sans Échec===

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur une touche pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

• Appuie sur une touche pour redémarrer le PC.

• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.

++
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Marco2404
Membre
Membre


Masculin
Nombre de messages : 71
Age : 54
Localisation : Chambly (Québec)
Système d\'exploitation * : XP pro
Date d'inscription : 22/11/2008

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Lun 1 Juin - 5:22:33

Bonsoir Ric,

J'ai beau ne pas être un as du pc mais je sais comprendre à mi-mots. Il y aura enquête.

La confidentialité des mots de passe et la consistance en la séparation des utilisateurs est la base, je le sais. Et c'est là où je vais resserrer la vis en premier mais ça ne me donnera pas de piste pour aller plus loin. Ceci dit Ric, pour fins d'enquête interne familiale de la part d'un père concerné, après que le pc aura été nettoyé, accepterais-tu de m'expliquer un peu plus amplement où se trouvait cette chose et comment je pourrais arriver à fair les liens qui s'imposent? Svp.

Voici le rapport SDFix:


SDFix: Version 1.240
Run by Marco on 2009-05-31 at 21:41

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-31 22:07:15
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000001
"ujdew"=hex:52,b0,96,d2,44,8c,e4,9a,72,a7,39,52,b5,e6,49,3d,2b,e3,be,eb,c6,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:c7,b5,c4,da,47,5d,db,1d,1f,07,3e,1f,ff,f3,70,82,6e,fe,4e,ac,01,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000001
"ujdew"=hex:52,b0,96,d2,44,8c,e4,9a,72,a7,39,52,b5,e6,49,3d,2b,e3,be,eb,c6,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:c7,b5,c4,da,47,5d,db,1d,1f,07,3e,1f,ff,f3,70,82,6e,fe,4e,ac,01,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000051
"TracesSuccessful"=dword:00000044

scanning hidden files ...

C:\Documents and Settings\Marco\Local Settings\Application Data\Microsoft\Windows\GameExplorer\{DFEF49D9-FC95-4301-99B9-2FB91C6ABA06}\PlayTasks\1\Les Sims™ 2 : Boit@Look.lnk 1087 bytes hidden from API

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 1


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\EA GAMES\\MOHAA\\MOHAA.exe"="C:\\Program Files\\EA GAMES\\MOHAA\\MOHAA.exe:*:Enabled:Medal of Honor Allied Assault(tm)"
"C:\\Program Files\\EA GAMES\\MOHAA\\moh_spearhead.exe"="C:\\Program Files\\EA GAMES\\MOHAA\\moh_spearhead.exe:*:Enabled:Medal of Honor Allied Assault(tm) Spearhead"
"C:\\Program Files\\EA GAMES\\MOHAA\\moh_Breakthrough.exe"="C:\\Program Files\\EA GAMES\\MOHAA\\moh_Breakthrough.exe:*:Enabled:Medal of Honor Allied Assault(tm) Breakthrough"
"C:\\Program Files\\EA GAMES\\Medal of Honor Pacific Assault(tm)\\mohpa.exe"="C:\\Program Files\\EA GAMES\\Medal of Honor Pacific Assault(tm)\\mohpa.exe:*:Enabled:Medal of Honor Pacific Assault(tm)"
"C:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaW.exe"="C:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaW.exe:*:Enabled:Call of Duty(R) - World at War(TM) "
"C:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"="C:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe:*:Enabled:Call of Duty(R) - World at War(TM) "
"C:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"="C:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe:*:Enabled:CoD2MP_s"
"C:\\Program Files\\Activision\\Call of Duty\\CoDMP.exe"="C:\\Program Files\\Activision\\Call of Duty\\CoDMP.exe:*:Enabled:CoDMP"
"C:\\Program Files\\Participatory Culture Foundation\\Miro\\Miro_Downloader.exe"="C:\\Program Files\\Participatory Culture Foundation\\Miro\\Miro_Downloader.exe:*:Enabled:Miro_Downloader"
"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"="C:\\Program Files\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.exe"
"C:\\Program Files\\AVG\\AVG8\\avgnsx.exe"="C:\\Program Files\\AVG\\AVG8\\avgnsx.exe:*:Enabled:avgnsx.exe"
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Program Files\\Participatory Culture Foundation\\Miro\\Miro.exe"="C:\\Program Files\\Participatory Culture Foundation\\Miro\\Miro.exe:*:Enabled:Miro"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :

Mon 26 Jan 2009 1,740,632 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 26 Jan 2009 5,365,592 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Thu 5 Mar 2009 2,260,480 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

Finished!
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ric025
Helper
Helper
avatar

Masculin
Nombre de messages : 62
Age : 34
Localisation : Valentigney
Système d\'exploitation * : XP Pro SP3
Date d'inscription : 09/04/2009

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Lun 1 Juin - 15:11:54

Salut Marco.

On va faire un petit nettoyage :

* Télécharge CCleaner, version Slim, sans toolbar:

CCLEANER

* Va dans "Options">>"Avancé". Décoche la première ligne.

* Va dans la section "Nettoyeur". Lance l'analyse. La liste créée, lance le nettoyage deux fois de suite afin d'obtenir 0bytes supprimé!

* Ensuite dans "Registre", lance une recherche des erreurs. La liste créée, fais-les réparer.

/!\ A ce moment CCleaner te demande normalement de sauvegarder le registre, fais-le. /!\


* Recommence ensuite le cycle Recherche/Réparation des erreurs jusqu'à n'en trouver aucune lors de la recherche.

=========================================

Poste un dernier RSIT pour vérifications.

++
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Marco2404
Membre
Membre


Masculin
Nombre de messages : 71
Age : 54
Localisation : Chambly (Québec)
Système d\'exploitation * : XP pro
Date d'inscription : 22/11/2008

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Lun 1 Juin - 17:29:50

Bonjour Ric!

C'est fait pour CCleaner. Voici le nouveau rapport RSIT:

http://www.cijoint.fr/cjlink.php?file=cj200906/cijTpatxQT.txt
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ric025
Helper
Helper
avatar

Masculin
Nombre de messages : 62
Age : 34
Localisation : Valentigney
Système d\'exploitation * : XP Pro SP3
Date d'inscription : 09/04/2009

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Mar 2 Juin - 1:26:23

Salut Marco.

Bon, un fichier à supprimer et c'est ok. J'ai d'abord pensé que SDFix le ferait mais l'a pas eu envie ! Wink

Bien, de toute façon, suite à l'infection DNS, il faut vérifier les disques amovibles. Donc :

▶ Télécharge UsbFix de C_XX & Chiquitine29

Tutoriel d'installation si besoin.

Tutoriel de recherche si besoin.

▶ Lance l'installation avec les paramètres par défaut

▶ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

▶ Double clique sur le raccourci UsbFix sur ton bureau

▶ Choisis l'option 1 (recherche)

▶ Laisse travailler l'outil

▶ Ensuite poste le rapport UsbFix.txt qui apparaîtra

* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

* Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Marco2404
Membre
Membre


Masculin
Nombre de messages : 71
Age : 54
Localisation : Chambly (Québec)
Système d\'exploitation * : XP pro
Date d'inscription : 22/11/2008

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Mar 2 Juin - 9:00:31

Est-ce à dire que quelqu'un aurait-il pu infecter le pc en y insérant un disque amovible Ric?

Tu semblais me parler plutôt d'un téléchargement.

?

Marc

Je fais ce que tu conseilles concernant UsbFix et je te reviens. Ici il est déjà très tard alors ça ira probablement à demain soir.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Marco2404
Membre
Membre


Masculin
Nombre de messages : 71
Age : 54
Localisation : Chambly (Québec)
Système d\'exploitation * : XP pro
Date d'inscription : 22/11/2008

MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   Mar 2 Juin - 9:05:40

Tout ce que j'ai moi-même c'est une petit clé usb. Le jeunes devraient, en principe, me tenir au courant s'ils ont et utilisent autre chose.

J'aimerais bien comprendre au moins un peu, après que tout sera nettoyé, comment ça a commencé et jusqu'où (ainsi que sous quelle forme) ça a été.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Contenu sponsorisé




MessageSujet: Re: PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus   

Revenir en haut Aller en bas
 
PC infecté - Pub intempestive - Spybot et AdAware ne fonctionnent plus
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 2Aller à la page : 1, 2  Suivant
 Sujets similaires
-
» [Résolu] PC infecté, publicité intempestive sur chrome
» [résolu]Infecté par l"Antivirus System 2011"...
» [résolu]Sans doute infecté, j'ai besoin d'aide, svp
» fenetre intempestive
» Suis-je infecté ?

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
 :: Forums :: Virus/Sécurité-
Sauter vers: