Gros soucis sur le pc

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede nickW » 18 Fév 2009, 16:57

Bonjour,

En me promenant sur internet, j'ai trouvé un rapport ComboFix que tu as envoyé sur 01.net!

Ce rapport contient des lignes qui ne me plaisent pas. :wink:

Peux-tu créer un nouveau rapport (recherche ciblée):

Étape 1: FoxScan (de Loup blanc)
Créer un nouveau dossier nommé FoxScan à la racine du disque système (en général, C:\FoxScan).
Télécharger FoxScan depuis le lien ci-dessous:
http://fradesch.perso.cegetel.net/transf/FoxScan.exe
Enregistrer ce fichier dans le dossier qui vient d'être créé (FoxScan).

Dans l'Explorateur, ouvrir le dossier FoxScan et faire un double clic sur FoxScan.exe pour lancer l'outil.
Accepter l'exécution s'il y a un "Avertissement de sécurité" signalant que le programme n'a pas de signature numérique.
Dans la fenêtre qui s'est ouverte, sur la ligne "Sélectionnez votre langue - Select your language", saisir 1 puis faire Entrée.
Le programme affiche des informations sur le système, puis "Recherche en cours..."
Attendre l'affichage des messages "Recherches terminées." et "Appuyez sur une touche pour continuer..." puis faire Entrée.
Il y a alors ouverture d'une fenêtre du Bloc-notes contenant le rapport.
Fermer le Bloc-notes.


Étape 2: Résultat
Envoyer en réponse:
*- le rapport de FoxScan (contenu du fichier SystemDrive\Rapport-FS.txt)
SystemDrive représente la partition sur laquelle est installé le système, généralement C:]


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede WAFFY » 19 Fév 2009, 23:35

Bonsoir NickW,

Ci-joint le rapport Foxscan:

FoxScan Version 1.0.5
Ecrit par Loup blanc - Zebulon.fr
Scan lancé le 19/02/2009 à 23:28:28,57


Microsoft Windows XP [version 5.1.2600]
Service Pack 2

Mozilla Firefox version : 3.0.5 (fr)
Dossier d'installation : C:\Program Files\Mozilla Firefox

Profil : default
Dossier du profil : C:\Documents and Settings\Pascal\Application Data\mozilla\firefox\Profiles\kt4wl2qk.default\
Pages de démarrage : "http://www.google.fr/"

------------------------------------------------------


//////////// Modules complémentaires \\\\\\\\\\\\\
======= Profil : default =======

La notification d'installation des modules complémentaires est activée

Nom : Java Quick Starter
Etat : Activé
Dossier : C:\Program Files\Java\jre6\lib\deploy\jqs\ff

Nom : Default
Etat : Activé
Dossier : C:\Program Files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

Nom : AVG Security Toolbar
Etat : Désactivé

Nom : AVG Safe Search
Etat : Désactivé



------------------------------------------------------



//////////// Plugins de recherche \\\\\\\\\\\\\
======= Profil : default =======

Recherche dans "prefs.js" :

browser.search.defaultenginename : ""

browser.search.defaulturl : ""

browser.search.selectedEngine : ""

keyword.URL : ""


--------- Moteurs de recherche trouvés ------------
+ Formulaire de recherche configuré pour le moteur


C:\Program Files\Mozilla Firefox\searchplugins\amazon-france.xml
template="http://www.amazon.fr/exec/obidos/external-search/">


C:\Program Files\Mozilla Firefox\searchplugins\eBay-france.xml
template="http://rover.ebay.com/rover/1/709-47295-17703-3/4">


C:\Program Files\Mozilla Firefox\searchplugins\google.xml
template="http://www.google.com/search">


C:\Program Files\Mozilla Firefox\searchplugins\MediaDICO-fr.xml
template="http://www.dictionnaire-mediadico.com/dictionnaires.asp">


C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-fr.xml
template="http://fr.wikipedia.org/wiki/Special:Recherche">


C:\Program Files\Mozilla Firefox\searchplugins\yahoo-france.xml
template="http://fr.search.yahoo.com/search">


------------------------------------------------------


//////////// DLL présentes dans C:\Program Files\Mozilla Firefox\components \\\\\\\\\\\\\

browserdirprovider.dll
brwsrcmp.dll

------------------------------------------------------

//////////// Plugins configurés dans la Base de registre \\\\\\\\\\\\\


[HKEY_LOCAL_MACHINE\software\mozillaplugins\@adobe.com/FlashPlayer]
"Description"="Adobe® Flash® Player 9"
"Vendor"="Adobe Systems Incorporated"
"Path"="C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll"

------------------------------------------------------

//////////// Recherche additionnelles pour les infections Goored, YoogSearch... \\\\\\\\\\\\\


[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions]
"{3f963a5b-e555-4543-90e2-c3908898db71}"="C:\Program Files\AVG\AVG8\Firefox" ==== Infection Goored possible ====
Contenu du dossier :
C:\Program Files\AVG\AVG8\Firefox\Chrome
C:\Program Files\AVG\AVG8\Firefox\chrome.manifest
C:\Program Files\AVG\AVG8\Firefox\Components
C:\Program Files\AVG\AVG8\Firefox\install.rdf
C:\Program Files\AVG\AVG8\Firefox\Chrome\searchshield.jar
C:\Program Files\AVG\AVG8\Firefox\Components\avgssff.dll
C:\Program Files\AVG\AVG8\Firefox\Components\ISearchShield.xpt

"{1d5287d1-8a92-0001-1f31-1cec198018d8}"="C:\Program Files\AVG\AVG8\ToolbarFF" ==== Infection Goored possible ====
Contenu du dossier :
C:\Program Files\AVG\AVG8\ToolbarFF\Chrome
C:\Program Files\AVG\AVG8\ToolbarFF\chrome.manifest
C:\Program Files\AVG\AVG8\ToolbarFF\Components
C:\Program Files\AVG\AVG8\ToolbarFF\install.rdf
C:\Program Files\AVG\AVG8\ToolbarFF\Chrome\avg.jar
C:\Program Files\AVG\AVG8\ToolbarFF\Chrome\Cache
C:\Program Files\AVG\AVG8\ToolbarFF\Chrome\Cache\overlay.dtd
C:\Program Files\AVG\AVG8\ToolbarFF\Chrome\Cache\overlay.xml
C:\Program Files\AVG\AVG8\ToolbarFF\Chrome\Cache\overlay_noavg.xml
C:\Program Files\AVG\AVG8\ToolbarFF\Chrome\Cache\quicksearch.xml
C:\Program Files\AVG\AVG8\ToolbarFF\Chrome\Cache\update.xml
C:\Program Files\AVG\AVG8\ToolbarFF\Chrome\Cache\yahoo.xml
C:\Program Files\AVG\AVG8\ToolbarFF\Components\dtfox-autocomplete.js
C:\Program Files\AVG\AVG8\ToolbarFF\Components\dtfox-service.js
C:\Program Files\AVG\AVG8\ToolbarFF\Components\vmAVGConnector.dll
C:\Program Files\AVG\AVG8\ToolbarFF\Components\vmIAVGConnector.xpt
C:\Program Files\AVG\AVG8\ToolbarFF\Components\vmIAVGDatabaseVersion.xpt
C:\Program Files\AVG\AVG8\ToolbarFF\Components\vmIAVGProgramVersion.xpt
C:\Program Files\AVG\AVG8\ToolbarFF\Components\vmIAVGSearchRatingsConfig.xpt
C:\Program Files\AVG\AVG8\ToolbarFF\Components\vmIAVGSurfResult.xpt




[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Firefox 3.0.5\extensions]


------------------ Fin du rapport ------------------

Au plaisir de te lire......
Encore merci !
WAFFY
 
Messages: 29
Inscription: 06 Fév 2009, 22:17

Messagede WAFFY » 23 Fév 2009, 08:56

A suivre ....
WAFFY
 
Messages: 29
Inscription: 06 Fév 2009, 22:17

Messagede nickW » 24 Fév 2009, 01:44

Bonsoir,

Je t'ai envoyé un MP (Message Privé).


Nouvelle recherche:

Étape 1: SystemLook (de jpshortstuff)
Télécharger SystemLook depuis l'un des deux liens ci-dessous:
http://jpshortstuff.247fixes.com/SystemLook.exe
http://images.malwareremoval.com/jpshor ... emLook.exe
Enregistrer ce fichier sur le Bureau.


Étape 2: SystemLook (de jpshortstuff)
Faire un double clic sur SystemLook.exe pour lancer l'exécution de l'outil.

Sélectionner toutes les lignes de la zone blanche située sous "Code:" ci-dessous, puis appuyer simultanément sur les touches Ctrl et C
Code: Tout sélectionner
:dir
C:\WINDOWS\system32 /ncont_*.*
c:\windows\system32 /nns*.dll
c:\windows\system32\drivers /ngao*.*
c:\windows\system32 /ngao*.*
C:\Program Files\Mozilla Firefox\components /nns*.*
C:\Program files\Mozilla Firefox\searchplugins
C:\Program files\Mozilla Firefox\plugins
C:\WINDOWS\system32 /nTDSS*.*
C:\WINDOWS\system32\Drivers /nTDSS*.*



Dans la petite fenêtre de SystemLook, faire un clic droit dans la zone blanche et choisir Coller.
Note: les lignes sélectionnées précédemment doivent avoir été recopiées dans la zone blanche de SystemLook - y compris le caractère "deux points" en début de première ligne.

Cliquer sur le bouton Look pour lancer la recherche.

Lorsque l'outil a terminé cette recherche, il y a ouverture d'une fenêtre du Bloc-notes.
Fermer le Bloc-notes.
Fermer SystemLook en cliquant sur le bouton Exit.


Étape 3: Résultat
Envoyer en réponse:
*- le rapport de SystemLook (contenu du fichier SystemLook.txt situé sur le Bureau)

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede WAFFY » 24 Fév 2009, 02:36

Bonsoir nickW,
J'ai répondu à ton mp.

Voici le rapport SystemLook:

SystemLook v1.0 by jpshortstuff (11.02.09)
Log created at 01:48 on 24/02/2009 by Pascal (Administrator - Elevation successful)

========== dir ==========

C:\WINDOWS\system32 - Parameters: "/ncont_*.*"

---Files---
None found.

---Folders---
1025 d----- <15>
1028 d----- <15>
1031 d----- <15>
1033 d----- <15>
1036 d----- <15>
1037 d----- <15>
1041 d----- <15>
1042 d----- <15>
1054 d----- <15>
2052 d----- <15>
3076 d----- <15>
3com_dmi d----- <15>
appmgmt d----- <21>
AVGUARD_43f703be d----- <14>
AVGUARD_43fa4a82 d----- <12>
AVGUARD_43fc4453 d----- <12>
AVGUARD_43fdaea5 d----- <13>
AVGUARD_43fe0a2f d----- <13>
AVGUARD_43fe4854 d----- <18>
AVGUARD_440bb55f d----- <16>
CatRoot d----- <15>
CatRoot2 d----- <15>
COLOR d----- <17>
Com d----- <15>
config d----- <15>
dhcp d----- <15>
DirectX d----- <15>
dllcache dr-hsc <15>
drivers d----- <15>
DRVSTORE d----c <11>
export d----- <15>
GroupPolicy d--h-- <08>
ias d----- <15>
icsxml d----- <15>
IME d----- <15>
inetsrv d----- <15>
Kaspersky Lab d----- <23>
Lang d----- <19>
LogFiles d----- <17>
Macromed d----- <15>
Microsoft d---s- <15>
MsDtc d----- <15>
mui d----- <15>
npp d----- <15>
NtmsData d----- <08>
oobe d----- <15>
PreInstall d----- <15>
ras d----- <15>
ReinstallBackups d----- <15>
Restore d----- <15>
Samsung_USB_Drivers d----- <04>
SCDRV d----- <17>
Setup d----- <15>
ShellExt d----- <15>
SoftwareDistribution d----- <15>
spool d----- <15>
URTTemp d----- <12>
usmt d----- <15>
wbem d----- <15>
Widelook d----- <08>
wins d----- <15>
xircom d----- <15>

c:\windows\system32 - Parameters: "/nns*.dll"

---Files---
None found.

---Folders---
1025 d----- <15>
1028 d----- <15>
1031 d----- <15>
1033 d----- <15>
1036 d----- <15>
1037 d----- <15>
1041 d----- <15>
1042 d----- <15>
1054 d----- <15>
2052 d----- <15>
3076 d----- <15>
3com_dmi d----- <15>
appmgmt d----- <21>
AVGUARD_43f703be d----- <14>
AVGUARD_43fa4a82 d----- <12>
AVGUARD_43fc4453 d----- <12>
AVGUARD_43fdaea5 d----- <13>
AVGUARD_43fe0a2f d----- <13>
AVGUARD_43fe4854 d----- <18>
AVGUARD_440bb55f d----- <16>
CatRoot d----- <15>
CatRoot2 d----- <15>
COLOR d----- <17>
Com d----- <15>
config d----- <15>
dhcp d----- <15>
DirectX d----- <15>
dllcache dr-hsc <15>
drivers d----- <15>
DRVSTORE d----c <11>
export d----- <15>
GroupPolicy d--h-- <08>
ias d----- <15>
icsxml d----- <15>
IME d----- <15>
inetsrv d----- <15>
Kaspersky Lab d----- <23>
Lang d----- <19>
LogFiles d----- <17>
Macromed d----- <15>
Microsoft d---s- <15>
MsDtc d----- <15>
mui d----- <15>
npp d----- <15>
NtmsData d----- <08>
oobe d----- <15>
PreInstall d----- <15>
ras d----- <15>
ReinstallBackups d----- <15>
Restore d----- <15>
Samsung_USB_Drivers d----- <04>
SCDRV d----- <17>
Setup d----- <15>
ShellExt d----- <15>
SoftwareDistribution d----- <15>
spool d----- <15>
URTTemp d----- <12>
usmt d----- <15>
wbem d----- <15>
Widelook d----- <08>
wins d----- <15>
xircom d----- <15>

c:\windows\system32\drivers - Parameters: "/ngao*.*"

---Files---
None found.

---Folders---
Avg d----- <14>
Avg(2) d----- <15>
disdn d----- <15>
etc d----- <15>

c:\windows\system32 - Parameters: "/ngao*.*"

---Files---
None found.

---Folders---
1025 d----- <15>
1028 d----- <15>
1031 d----- <15>
1033 d----- <15>
1036 d----- <15>
1037 d----- <15>
1041 d----- <15>
1042 d----- <15>
1054 d----- <15>
2052 d----- <15>
3076 d----- <15>
3com_dmi d----- <15>
appmgmt d----- <21>
AVGUARD_43f703be d----- <14>
AVGUARD_43fa4a82 d----- <12>
AVGUARD_43fc4453 d----- <12>
AVGUARD_43fdaea5 d----- <13>
AVGUARD_43fe0a2f d----- <13>
AVGUARD_43fe4854 d----- <18>
AVGUARD_440bb55f d----- <16>
CatRoot d----- <15>
CatRoot2 d----- <15>
COLOR d----- <17>
Com d----- <15>
config d----- <15>
dhcp d----- <15>
DirectX d----- <15>
dllcache dr-hsc <15>
drivers d----- <15>
DRVSTORE d----c <11>
export d----- <15>
GroupPolicy d--h-- <08>
ias d----- <15>
icsxml d----- <15>
IME d----- <15>
inetsrv d----- <15>
Kaspersky Lab d----- <23>
Lang d----- <19>
LogFiles d----- <17>
Macromed d----- <15>
Microsoft d---s- <15>
MsDtc d----- <15>
mui d----- <15>
npp d----- <15>
NtmsData d----- <08>
oobe d----- <15>
PreInstall d----- <15>
ras d----- <15>
ReinstallBackups d----- <15>
Restore d----- <15>
Samsung_USB_Drivers d----- <04>
SCDRV d----- <17>
Setup d----- <15>
ShellExt d----- <15>
SoftwareDistribution d----- <15>
spool d----- <15>
URTTemp d----- <12>
usmt d----- <15>
wbem d----- <15>
Widelook d----- <08>
wins d----- <15>
xircom d----- <15>

C:\Program Files\Mozilla Firefox\components - Parameters: "/nns*.*"

---Files---
nsAddonRepository.js --a--- 11659 bytes <08> <08>
nsBadCertHandler.js --a--- 3104 bytes <08> <08>
nsBlocklistService.js --a--- 29984 bytes <08> <10>
nsBrowserContentHandler.js --a--- 33087 bytes <08> <08>
nsBrowserGlue.js --a--- 32315 bytes <08> <08>
nsContentDispatchChooser.js --a--- 5005 bytes <08> <08>
nsContentPrefService.js --a--- 29973 bytes <08> <08>
nsDefaultCLH.js --a--- 6247 bytes <08> <08>
nsDownloadManagerUI.js --a--- 5737 bytes <08> <08>
nsExtensionManager.js --a--- 333468 bytes <08> <08>
nsHandlerService.js --a--- 51214 bytes <08> <08>
nsHelperAppDlg.js --a--- 41716 bytes <08> <08>
nsLivemarkService.js --a--- 36039 bytes <08> <08>
nsLoginInfo.js --a--- 4302 bytes <08> <08>
nsLoginManager.js --a--- 44047 bytes <08> <08>
nsLoginManagerPrompter.js --a--- 40367 bytes <08> <08>
nsMicrosummaryService.js --a--- 77051 bytes <08> <08>
nsPlacesTransactionsService.js --a--- 33805 bytes <08> <08>
nsPostUpdateWin.js --a--- 21420 bytes <08> <08>
nsProxyAutoConfig.js --a--- 13682 bytes <08> <08>
nsSafebrowsingApplication.js --a--- 25176 bytes <08> <08>
nsSearchService.js --a--- 110646 bytes <08> <08>
nsSearchSuggestions.js --a--- 24273 bytes <08> <08>
nsSessionStartup.js --a--- 11428 bytes <08> <08>
nsSessionStore.js --a--- 76786 bytes <08> <10>
nsSetDefaultBrowser.js --a--- 2854 bytes <08> <08>
nsSidebar.js --a--- 12513 bytes <08> <08>
nsTaggingService.js --a--- 9967 bytes <08> <08>
nsTryToClose.js --a--- 3268 bytes <08> <08>
nsUpdateService.js --a--- 112848 bytes <08> <08>
nsUrlClassifierLib.js --a--- 50600 bytes <08> <08>
nsUrlClassifierListManager.js --a--- 19984 bytes <08> <08>
nsURLFormatter.js --a--- 3097 bytes <08> <08>
nsWebHandlerApp.js --a--- 6920 bytes <08> <08>

---Folders---
None found.

C:\Program files\Mozilla Firefox\searchplugins - Parameters: "(none)"

---Files---
amazon-france.xml --a--- 1516 bytes <08> <11>
eBay-france.xml --a--- 757 bytes <08> <07>
google.xml --a--- 1706 bytes <08> <04>
MediaDICO-fr.xml --a--- 748 bytes <08> <11>
wikipedia-fr.xml --a--- 1426 bytes <08> <13>
yahoo-france.xml --a--- 652 bytes <08> <18>

---Folders---
None found.

C:\Program files\Mozilla Firefox\plugins - Parameters: "(none)"

---Files---
npdeploytk.dll --a--- 410984 bytes <22> <22>
npnul32.dll --a--- 65528 bytes <08> <10>

---Folders---
None found.

C:\WINDOWS\system32 - Parameters: "/nTDSS*.*"

---Files---
None found.

---Folders---
1025 d----- <15>
1028 d----- <15>
1031 d----- <15>
1033 d----- <15>
1036 d----- <15>
1037 d----- <15>
1041 d----- <15>
1042 d----- <15>
1054 d----- <15>
2052 d----- <15>
3076 d----- <15>
3com_dmi d----- <15>
appmgmt d----- <21>
AVGUARD_43f703be d----- <14>
AVGUARD_43fa4a82 d----- <12>
AVGUARD_43fc4453 d----- <12>
AVGUARD_43fdaea5 d----- <13>
AVGUARD_43fe0a2f d----- <13>
AVGUARD_43fe4854 d----- <18>
AVGUARD_440bb55f d----- <16>
CatRoot d----- <15>
CatRoot2 d----- <15>
COLOR d----- <17>
Com d----- <15>
config d----- <15>
dhcp d----- <15>
DirectX d----- <15>
dllcache dr-hsc <15>
drivers d----- <15>
DRVSTORE d----c <11>
export d----- <15>
GroupPolicy d--h-- <08>
ias d----- <15>
icsxml d----- <15>
IME d----- <15>
inetsrv d----- <15>
Kaspersky Lab d----- <23>
Lang d----- <19>
LogFiles d----- <17>
Macromed d----- <15>
Microsoft d---s- <15>
MsDtc d----- <15>
mui d----- <15>
npp d----- <15>
NtmsData d----- <08>
oobe d----- <15>
PreInstall d----- <15>
ras d----- <15>
ReinstallBackups d----- <15>
Restore d----- <15>
Samsung_USB_Drivers d----- <04>
SCDRV d----- <17>
Setup d----- <15>
ShellExt d----- <15>
SoftwareDistribution d----- <15>
spool d----- <15>
URTTemp d----- <12>
usmt d----- <15>
wbem d----- <15>
Widelook d----- <08>
wins d----- <15>
xircom d----- <15>

C:\WINDOWS\system32\Drivers - Parameters: "/nTDSS*.*"

---Files---
None found.

---Folders---
Avg d----- <14>
Avg(2) d----- <15>
disdn d----- <15>
etc d----- <15>

-=End Of File=-
WAFFY
 
Messages: 29
Inscription: 06 Fév 2009, 22:17

Messagede WAFFY » 24 Fév 2009, 02:58

Re_bonsoir nickW,

Suite à ton mp, voici le rapport Malwarebytes:
Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1793
Windows 5.1.2600 Service Pack 2

24/02/2009 02:44:46
mbam-log-2009-02-24 (02-44-46).txt

Type de recherche: Examen rapide
Eléments examinés: 94541
Temps écoulé: 3 minute(s), 58 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Typelib\{3160f356-e8c3-4de2-a698-92eeeb3d3400} (Adware.RightOnAds) -> Delete on reboot.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{68581ee9-114e-4c6f-b58a-31e2a8a6d4a0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.19 85.255.112.71 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{68581ee9-114e-4c6f-b58a-31e2a8a6d4a0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.19 85.255.112.71 -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
WAFFY
 
Messages: 29
Inscription: 06 Fév 2009, 22:17

Messagede WAFFY » 24 Fév 2009, 03:10

Re-re bonsoir nickW,

Et suite à ton mp, voici le rapport HiJackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:02:45, on 24/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\SCUSAPI.exe
C:\WINDOWS\ZSSnp211.exe
C:\WINDOWS\Domino.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\modem ADSL USB\modem ADSL USB\dslmon.exe
C:\HJThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://windowsupdate.microsoft.com/
R3 - Default URLSearchHook is missing
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [SCUSAPI] SCUSAPI.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [ZSSnp211] C:\WINDOWS\ZSSnp211.exe
O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Picture Package Menu.lnk = C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{68581EE9-114E-4C6F-B58A-31E2A8A6D4A0}: NameServer = 85.255.115.19 85.255.112.71
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

--
End of file - 5876 bytes

Bonne fin de soirée-début de journée, a demain j'espère.....
Encore mille fois merci pour tes efforts et ta patience !!!
WAFFY
 
Messages: 29
Inscription: 06 Fév 2009, 22:17

Messagede nickW » 24 Fév 2009, 23:29

Bonsoir,

Pourrais-tu me transmettre quatre fichiers (il faut pour ce faire les déposer sur un serveur externe afin que je puisse les récupérer):


*- Ouvrir le dossier C:\Program Files\Mozilla Firefox\components

*- Mettre dans une archive WAFFY.zip les deux fichiers:
nsBlocklistService.js et nsSessionStore.js

*- Ouvrir le dossier C:\Documents and Settings\Pascal\Application Data\mozilla\firefox\Profiles\kt4wl2qk.default

*- Ajouter dans l'archive WAFFY.zip les deux fichiers:
prefs.js et user.js

*- Aller sur http://senduit.com/

*- Cliquer sur le bouton Parcourir, naviguer jusqu'au fichier WAFFY.zip et le sélectionner

*- de retour dans le navigateur, Derrière Expire in: via la liste déroulante, choisir 2 Days

*- cliquer sur le bouton Upload

*- Attendre la fin du transfert du fichier

*- M'envoyer en MP (Message Privé) le lien qui est affiché en dessous de "This is your download URL. It expires in 2 days.".

A suivre (tout de suite :wink:),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nickW » 24 Fév 2009, 23:31

Re-

Autres manips de nettoyage:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet et il y aura des redémarrages).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).


Étape 1: The Avenger (de Swandog46), téléchargement
Télécharger The Avenger en cliquant sur ce lien: http://swandog46.geekstogo.com/avenger2/download.php
Enregistrer ce fichier sur le Bureau.
Extraire de l'archive avenger.zip le fichier avenger.exe et le placer sur le Bureau.

Étape 2: Création du fichier aven1.txt
Ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Sélectionner toutes les lignes de la zone blanche située sous "Code:" ci-dessous, puis appuyer simultanément sur les touches Ctrl et C

Code: Tout sélectionner
Begin copying here:

Files to delete:
C:\Windows\System32\iebrowserc.dll
c:\documents and settings\Pascal\Application Data\urlredir.cfg
c:\documents and settings\Thomas\Application Data\urlredir.cfg
c:\documents and settings\Cathy\Application Data\urlredir.cfg
c:\documents and settings\Léa\Application Data\urlredir.cfg
c:\documents and settings\All Users\Application Data\urlredir.cfg
c:\windows\system32\nso3C3.dll
C:\WINDOWS\System32\nso8.dll
C:\WINDOWS\system32\nsdA.dll
c:\program files\mozilla firefox\components\nsdcads.dll
C:\WINDOWS\System32\98a5e3ff-62f9-4650-087a-5f2f16a23de3.exe

Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b9a85eaa-c89c-66bd-46c6-097f778c6d43}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IeBrowserCmp.BrowserCmp

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall | 98a5e3ff-62f9-4650-087a-5f2f16a23de3


Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
Vérifier dans le menu Format (en haut) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom aven1.txt
Fermer le Bloc-notes.

Note: Les lignes de la zone Code ci-dessus ont été créées exclusivement pour CET utilisateur: WAFFY.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 3: Pas de processus de contrôle en temps réel
Désactiver le module résident de l'antivirus.
Image AVG: ouvrir AVG Control Center, double clic sur "AVG Resident Shield", décocher "Turn on AVG Resident Shield"


Étape 4: The Avenger (de Swandog46), exécution
Fermer toutes les fenêtres de programme (il va y avoir redémarrage du PC).

Lancer The Avenger en cliquant sur son icône située sur le Bureau.

Cliquer sur OK sur le message d'avertissement.
Cliquer sur l'icône Image représentant un dossier jaune.

Il y a ouverture d'une nouvelle fenêtre "Open script file"
Dans cette fenêtre, naviguer jusqu'au Bureau et sélectionner (double clic) le fichier aven1.txt

Le contenu du fichier aven1.txt doit s'afficher dans la zone blanche (sous "Input script here:").

Ensuite cliquer sur le bouton Image "Execute" pour lancer l'exécution du script.

Cliquer sur "Oui" deux fois quand demandé (fenêtres "Confirm execution" et "First step completed").
Il va y avoir un ou deux redémarrages (avec une brève apparition d'une fenêtre de commande à fond noir).
En fin d'exécution, le rapport s'affichera dans le Bloc-notes.
Fermer le Bloc-notes.


Étape 5: Processus de contrôle en temps réel
Important: Réactiver le module résident de l'antivirus.


Étape 6: OTListIt2 (de OldTimer)
Fermer toutes les fenêtres de programme ouvertes.

Faire un double clic sur OTListIt2.exe pour lancer l'outil.

L'écran principal de OTListIt2 s'affiche:
Image

Si ce n'est déjà fait, dans le paragraphe Extra Registry, cocher le bouton-radio Use SafeList

Cocher (en haut) la case située devant Scan All Users: Image

Puis cliquer sur le bouton Run Scan: Image

Laisser l'outil travailler sans l'interrompre.
Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant un rapport (log).
Fermer le Bloc-notes.
Le second rapport est visible dans la Barre des tâches. Le fermer également.
Fermer la fenêtre de OTListIt2.


Étape 7: Résultats
Envoyer en réponse:
*- le rapport de The Avenger (contenu du fichier SystemDrive\avenger.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Envoyer ensuite en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les deux rapports de OTListIt2 (contenu des fichiers OTListIt.txt et Extras.txt situés sur le Bureau).
Les rapports envoyés sur le forum doivent se terminer par une ligne contenant <End>. Si ce n'est pas le cas, ils sont incomplets, et doivent alors être découpés en plusieurs messages.

Note importante: Pour l'envoi de ta(tes) réponse(s), il ne faut pas créer un nouveau sujet, mais cliquer sur le bouton "Répondre"
Image pour continuer dans ce fil de discussion.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede WAFFY » 25 Fév 2009, 02:18

Bonsoir nickW,

Je t'ai envoyé un MP.

J'ai effectué ta procédure Avenger, par contre je n'ai pas eu d'ouverture du bloc note comme indiqué.
Le pc a juste rebooté. D'ailleurs, je ne trouve pas le rapport avenger.txt dans c.
Mon aven1.txt semble conforme :
Begin copying here:

Files to delete:
C:\Windows\System32\iebrowserc.dll
c:\documents and settings\Pascal\Application Data\urlredir.cfg
c:\documents and settings\Thomas\Application Data\urlredir.cfg
c:\documents and settings\Cathy\Application Data\urlredir.cfg
c:\documents and settings\Léa\Application Data\urlredir.cfg
c:\documents and settings\All Users\Application Data\urlredir.cfg
c:\windows\system32\nso3C3.dll
C:\WINDOWS\System32\nso8.dll
C:\WINDOWS\system32\nsdA.dll
c:\program files\mozilla firefox\components\nsdcads.dll
C:\WINDOWS\System32\98a5e3ff-62f9-4650-087a-5f2f16a23de3.exe

Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b9a85eaa-c89c-66bd-46c6-097f778c6d43}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IeBrowserCmp.BrowserCmp

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall | 98a5e3ff-62f9-4650-087a-5f2f16a23de3

Je pense avoir suivi tes instructions , je me suis juste déconnecté d'internet après avoir désactiver Avg Resident Shield à l'étape 3:
j'espère que ce n'est pas çà......
Ceci dit, il est tard: j'ai peut-être fait une con.....
A suivre les rapports OT LIST 2
WAFFY
 
Messages: 29
Inscription: 06 Fév 2009, 22:17

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 26 invités

cron