Ordinateur infecter (trojan spyware virus)

[blueraid]

Bonjour tous le monde, voila j'ai un petit soucis avec mon ordinateur, ma copine qui s'y connait pas trop en informatique a telecharger des logiciel d'antivirus et d'antispyware qui sont eux méme des virus en faite, et depuis le pc est infecter de toolbare et de logiciel inutile

 

Je 'narrive pas a tout supprimer c'est trés embetant, si quelqu'un peut m'expliquer la démarche a suivre ce serai vraiment gentil

 

Merci de votre comprehension

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:56:48, on 30/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Online Video Add-on\icthis.exe

C:\WINDOWS\ATK0100\HControl.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Internet Download Manager\IDMan.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\AntiSpywareShield\AntiSpywareShield.exe

C:\Program Files\Online Video Add-on\icmntr.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Internet Download Manager\IEMonitor.exe

C:\Program Files\RealVNC\VNC4\winvnc4.exe

C:\Program Files\Hamachi\hamachi.exe

C:\WINDOWS\system32\regmod.exe

C:\Documents and Settings\Admin\Local Settings\Temp\wzacb8\HijackThis.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ffinder.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ffinder.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: ieffse32.msdn_hlp - {C1C6426B-FB16-4123-ACBE-74D94FB0E663} - C:\WINDOWS\system32\ieffse32.dll

O2 - BHO: (no name) - {D579A683-0CC7-4023-BAE7-0544D0D1DA3A} - C:\Program Files\Online Video Add-on\isfmdl.dll (file missing)

O3 - Toolbar: IE Custom Tools - {41F6170D-6AF8-4188-8D92-9DDAB3C71A78} - C:\Program Files\Online Video Add-on\ictmdl.dll

O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [iDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot

O4 - HKCU\..\Run: [VoipBuster] "C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized

O4 - HKCU\..\Run: [AntiSpywareShield] C:\Program Files\AntiSpywareShield\AntiSpywareShield.exe

O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe

O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\Online Video Add-on\isfmntr.exe

O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\Online Video Add-on\icthis.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')

O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1179879072046

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.touslesdrivers.com/fichiers/har...on.cab?version=

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O22 - SharedTaskScheduler: homeridae - {95dde900-8bf3-428c-b9be-8345c9d194f7} - C:\WINDOWS\system32\vzfhprk.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 7417 bytes

Modifié le 30 septembre 2007 par blueraid

[wong]

Bonjour blueraid et bienvenue,

 

Examen de ton rapport en cours.

 

Retour dans 20'

 

Cordialement.

[wong]

Bonjour blueraid

 

 

1°) Ton HijackThis est mal placé ( il ne doit pas se trouver dans un repertoire temporaire ). Désinstalle-le.

 

Télécharge Hijackthis V 2.0.2 : http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe

Enregistre le fichier sur le bureau. Ferme tous les programmes ouverts y compris le navigateur ( sauf ton anti-virus et pare-feux ).

Fais un double clic sur HJTInstall.exe afin de lancer l'installation.

 

2°) Je ne vois pas de Pare-feu dans ton rapport. Utilises-tu celui de XP ?

 

 

Télécharge SmitFraudFix de S!Ri : http://siri.urz.free.fr/Fix/SmitfraudFix.exe

 

Pour utiliser SmitFraudFix:

Faux positif : process.exe est détecté par certains antivirus ( AntiVir, Dr.Web, Kaspersky Anti-Virus ) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité ( Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Autorise-le à s'installer.

• Double clique sur SmitfraudFix.exe
  
• Sélectionne 1 et presse Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection.
  
• Le rapport se trouve à la racine du disque système C:\rapport.txt
  
• Copie/Colle le rapport dans ton prochain message.
  

@ +

Modifié le 30 septembre 2007 par wong

[blueraid]

Bonjour wong, j'ai suivis étape par étape

 

1- Jai desinstalé et reinstaler comme tu m'as expliquer

 

2- J'utilise le pare feu de windows xp et aucun autre pare feu

 

3- Voici le rapport SmitFraud

 

SmitFraudFix v2.234

 

Rapport fait à 8:58:15,17, 01/10/2007

Executé à partir de C:\Documents and Settings\Admin\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Online Video Add-on\icthis.exe

C:\WINDOWS\ATK0100\HControl.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Internet Download Manager\IDMan.exe

C:\Program Files\Online Video Add-on\icmntr.exe

C:\Program Files\AntiSpywareShield\AntiSpywareShield.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Internet Download Manager\IEMonitor.exe

C:\Program Files\Hamachi\hamachi.exe

C:\Program Files\RealVNC\VNC4\winvnc4.exe

C:\WINDOWS\system32\regmod.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\ieffse32.dll PRESENT !

C:\WINDOWS\system32\regmod.exe PRESENT !

C:\WINDOWS\system32\vzfhprk.dll PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Admin

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Admin\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

C:\DOCUME~1\ALLUSE~1.WIN\MENUDM~1\Online Security Guide.url PRESENT !

C:\DOCUME~1\ALLUSE~1.WIN\MENUDM~1\Security Troubleshooting.url PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Admin\Favoris

 

C:\DOCUME~1\Admin\Favoris\Online Security Test.url PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

C:\DOCUME~1\ALLUSE~1.WIN\Bureau\Online Security Guide.url PRESENT !

C:\DOCUME~1\ALLUSE~1.WIN\Bureau\Security Troubleshooting.url PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

C:\Program Files\AntiVirGear 3.8\ PRESENT !

C:\Program Files\Online Video Add-on\ PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{95dde900-8bf3-428c-b9be-8345c9d194f7}"="homeridae"

 

[HKEY_CLASSES_ROOT\CLSID\{95dde900-8bf3-428c-b9be-8345c9d194f7}\InProcServer32]

@="C:\WINDOWS\system32\vzfhprk.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{95dde900-8bf3-428c-b9be-8345c9d194f7}\InProcServer32]

@="C:\WINDOWS\system32\vzfhprk.dll"

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Carte réseau virtuelle FreeBox USB #2 - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.53.252

DNS Server Search Order: 212.27.54.252

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{698F61FA-4EFF-4827-8ED2-0EDC42ECF0CF}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{698F61FA-4EFF-4827-8ED2-0EDC42ECF0CF}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS2\Services\Tcpip\..\{698F61FA-4EFF-4827-8ED2-0EDC42ECF0CF}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[wong]

Bonjour blueraid

 

 

1°) Télécharge Clean ( de Malekal ) : http://www.malekal.com/download/clean.zip

• Enregistre-le sur ton bureau.
  
• Tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu cliques sur extrait tout ou extraire ici.
  
• Cela va créer un dossier clean sur ton bureau.
  

 

2°) Redémarre en mode sans échec

 

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou, événtuellement, d'enregistrer ) la procédure.

• Clique sur Démarrer
  
• Clique sur Arrêter l'ordinateur
  
• Dans la fenêtre qui s'ouvre : clique sur " Redémarrer "
  
• Appui sur la touche F8 ( ou F5 sur certains PC ) dès qu'un écran de texte apparaît ( puis disparaît ).
  
• Utilise les touches de direction pour sélectionner le mode sans échec voulu ( " mode sans échec " seul )
  
• Appui dur la touche " ENTRÉE "
  
• Attend la fenêtre avec le choix des sessions ( noms d'administrateurs ).
  
• Clique sur ta session normale : ton nom (Administrateur )
  
• Une nouvelle fenêtre s'affiche " Bureau " : clique sur OUI
  

Pour éventuellement t'aider voici un tuto en images : http://www.malekal.com/modesansechec.php

 

 

2.1 - Nettoyage avec Clean

• Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
  
• Double-clic sur clean. Cela va ouvrir une fenêtre noire.
  
• Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.
  
• Clean va travailler.
  
• Un rapport va etre génèré, Copie/Colle le contenu du rapport dans ta prochaine réponse
  

 

2.2 - Nettoyage avec SmitFraudFix

• Double clique sur SmitfraudFix.exe
  
• Sélectionne 2 et presse Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
  
• A la question: Voulez-vous nettoyer le registre ? répond O ( OUI ) et presse Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
  
• Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répond O ( OUI ) et presse Entrée pour remplacer le fichier corrompu.
  
• Un redémarrage sera peut être nécessaire pour terminer la procedure de nettoyage.
  
• Le rapport se trouve à la racine du disque système C:\rapport.txt
  
• Copie/Colle le rapport dans ta prochaine réponse
  

3°) Redémarre en mode normal

 

3.1 - Nettoyage avec HijackThis

 

Lance un scan HijackThis : Clique sur Do a system scan only et coche les lignes ci-dessous si présentes :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ffinder.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ffinder.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: ieffse32.msdn_hlp - {C1C6426B-FB16-4123-ACBE-74D94FB0E663} - C:\WINDOWS\system32\ieffse32.dll

O2 - BHO: (no name) - {D579A683-0CC7-4023-BAE7-0544D0D1DA3A} - C:\Program Files\Online Video Add-on\isfmdl.dll (file missing)

O3 - Toolbar: IE Custom Tools - {41F6170D-6AF8-4188-8D92-9DDAB3C71A78} - C:\Program Files\Online Video Add-on\ictmdl.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [AntiSpywareShield] C:\Program Files\AntiSpywareShield\AntiSpywareShield.exe

O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\Online Video Add-on\isfmntr.exe

O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\Online Video Add-on\icthis.exe

 

Ferme toutes les fenêtres, sauf le logiciel Hijackthis, et Clique sur Fix checked puis ferme HijackThis.

 

 

3.2 - Lance HijackThis

 

Copie/Colle un nouveau rapport HijackThis dans ta réponse

 

 

J'attends 3 rapports ( celui de Clean, celui de SmitFraudFix et celui de Hijackthis ).

 

 

Cordialement.

[blueraid]

Bonjour voila j'ai fais comme tu as dit :

 

rapport hijachthis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:03:53, on 01/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ATK0100\HControl.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Internet Download Manager\IDMan.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Hamachi\hamachi.exe

C:\Program Files\Internet Download Manager\IEMonitor.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\Program Files\RealVNC\VNC4\winvnc4.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\RunServices: [vnc] C:\"C:\Program Files\RealVNC\VNC4\winvnc4.exe" -noconsole

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [iDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot

O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')

O4 - Startup: Hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe

O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.touslesdrivers.com/fichiers/har...on.cab?version=

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 4822 bytes

 

Rapport DE Clean :

Script execute en mode sans echec

Rapport clean par Malekal_morte - http://www.malekal.com

Script execute en mode sans echec 01/10/2007 a 21:39:57,40

 

Microsoft Windows XP [version 5.1.2600]

 

*** Suppression des fichiers dans C:

 

*** Suppression des fichiers dans C:\WINDOWS\

 

*** Suppression des fichiers dans C:\WINDOWS\system32

 

*** Suppression des fichiers dans C:\Program Files

 

*** Suppression des clefs du registre effectuee..

*** Fin du rapport !

 

Rapport de SmitFraud

 

SmitFraudFix v2.234

 

Rapport fait à 21:48:04,90, 01/10/2007

Executé à partir de C:\Documents and Settings\Admin\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

127.0.0.1 localhost

 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

 

S!Ri's WS2Fix: LSP not Found.

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\system32\regmod.exe supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{988CF431-ECEC-4C71-892C-39FB17CBDC63}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{988CF431-ECEC-4C71-892C-39FB17CBDC63}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS2\Services\Tcpip\..\{698F61FA-4EFF-4827-8ED2-0EDC42ECF0CF}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[wong]

Bonjour blueraid

 

 

1°) Téléchargement d'utilitaires :

 

 

Télécharge ATF Cleaner par Atribune : http://www.atribune.org/ccount/click.php?id=1

 

Enregistre-le dans un dossier à créer C:\ATF par exemple ( ce petit utilitaire est à garder ).

 

 

Télécharge AVG Anti-Spyware de ewido/grisoft : http://www.ewido.net/en/download/

• Enregistre-le sur ton bureau.
  
• Lance le depuis l'icône presente sur ton bureau.
  
• Clique sur modifier l'état du bouclier résident et mise à jour automatique, pour désactiver ces deux fonctions.
  
• Clique sur mise à jour, commencer la mise à jour.
  
• Clique sur analyse puis sur paramètres.
  
• Clique sur actions recommandées puis sur quarantaine.
  
• Ferme le programme.
  

 

2°) Redémarre en mode sans échec

 

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou, événtuellement, d'enregistrer ) la procédure.

• Clique sur Démarrer
  
• Clique sur Arrêter l'ordinateur
  
• Dans la fenêtre qui s'ouvre : clique sur " Redémarrer "
  
• Appui sur la touche F8 ( ou F5 sur certains PC ) dès qu'un écran de texte apparaît ( puis disparaît ).
  
• Utilise les touches de direction pour sélectionner le mode sans échec voulu ( " mode sans échec " seul )
  
• Appui dur la touche " ENTRÉE "
  
• Attend la fenêtre avec le choix des sessions ( noms d'administrateurs ).
  
• Clique sur ta session normale : ton nom (Administrateur )
  
• Une nouvelle fenêtre s'affiche " Bureau " : clique sur OUI
  

Pour éventuellement t'aider voici un tuto en images : http://www.malekal.com/modesansechec.php

 

 

AVG Anti-Spyware

 

2.1 - Nettoyage pour utiliser AVG Anti-Spyware

 

Procedure préalable à l'utilisation d'AVG Anti-Spyware : Très important pour bien supprimer les fichiers tmp ,cookies et autres, pour une meilleure lecture du rapport d'AVG Anti-Spyware.

 

Double-clique ATF Cleaner.exe afin de lancer le programme.

• Main correspond à IE
  
• Sous l'onglet Main, choisis : Select All
  
• Clique sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  
• Clique le bouton Empty Selected
  
• NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  
• Clique le bouton Empty Selected
  
• NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu principal, afin de fermer le programme.

 

 

2.2 - Lance AVG Anti-Spyware

 

Clique sur scanner, puis sur scan complet du système.

 

 

Si des fichiers malveillants sont trouvés :

• Clique sur Appliquer toutes les actions
  
• Clique sur enregistrer le rapport d'analyse.
  
• Colle le rapport dans ton prochain message
  

Pour t'aider tu as deux tutos à ta disposition:

• ATFCleaner: http://pitcatsite.ovh.org/html/ATFCleaner.html
  
• AVG Anti-Spyware: http://pitcatsite.ovh.org/html/avg_a-s.html
  

3°) Redémarre en mode normal

 

 

Copie/Colle le rapport AVG AS dans ta réponse

 

 

Cordialement

[blueraid]

Bonjour voici le rapport AVG Antispyware et encore merci pour votre aide

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 16:36:23 02/10/2007

 

+ Résultat de l'analyse:

 

 

 

C:\Program Files\AntiSpywareShield\AntiSpywareShield0.dll -> Adware.BraveSentry : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\AntiSpywareShield\AntiSpywareShield1.dll -> Adware.BraveSentry : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\AntiSpywareShield\AntiSpywareShield3.dll -> Adware.BraveSentry : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\AntiSpywareShield\AntiSpywareShield0.ad -> Adware.DrAntispy : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{9F87A529-0DD3-4D14-817F-17061C01FB3F}\RP49\A0017586.ini -> Adware.Qworke : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\Admin\Mes documents\Downloads\Programs\installdrivecleanerstart_fr.exe -> Adware.WinFixer : Nettoyé et sauvegardé (mise en quarantaine).

C:\RECYCLER\S-1-5-21-1715567821-1123561945-682003330-500\Dc1.rar/Tirez votre copie de Windows 100% vritable en 2 secondes\Divers\Couteau suisse Xp.exe/RockXP4.exe -> Not-A-Virus.PSWTool.Win32.RAS.a : Nettoyé et sauvegardé (mise en quarantaine).

C:\RECYCLER\S-1-5-21-1715567821-1123561945-682003330-500\Dc2.rar/Tirez votre copie de Windows 100% vritable en 2 secondes\Divers\Couteau suisse Xp.exe/RockXP4.exe -> Not-A-Virus.PSWTool.Win32.RAS.a : Nettoyé et sauvegardé (mise en quarantaine).

:mozilla.41:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\n2n9t4x5.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.

:mozilla.59:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\n2n9t4x5.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.

:mozilla.48:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\n2n9t4x5.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.

:mozilla.49:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\n2n9t4x5.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.

:mozilla.50:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\n2n9t4x5.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.

:mozilla.74:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\n2n9t4x5.default\cookies.txt -> TrackingCookie.Com : Nettoyé.

:mozilla.12:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\n2n9t4x5.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.

:mozilla.32:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\n2n9t4x5.default\cookies.txt -> TrackingCookie.Googleadservices : Nettoyé.

:mozilla.33:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\n2n9t4x5.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyé.

:mozilla.10:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\n2n9t4x5.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.11:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\n2n9t4x5.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.9:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\n2n9t4x5.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.78:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\n2n9t4x5.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.

:mozilla.6:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\n2n9t4x5.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.

:mozilla.7:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\n2n9t4x5.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.

 

 

Fin du rapport

[wong]

Bonjour blueraid,

 

AVG AS a bien travaillé. Comment se comporte ton PC ?

 

On va faire une vérification car j'ai un doute ( stp ne te trompes pas ) :

 

1°) Redémarre en mode sans échec

 

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou, événtuellement, d'enregistrer ) la procédure.

 

Nettoyage avec SmitFraudFix

• Double clique sur SmitfraudFix.exe
  
• Sélectionne 2 et presse Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
  
• A la question: Voulez-vous nettoyer le registre ? répond O ( OUI ) et presse Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
  
• Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répond O ( OUI ) et presse Entrée pour remplacer le fichier corrompu.
  
• Un redémarrage sera peut être nécessaire pour terminer la procedure de nettoyage.
  
• Le rapport se trouve à la racine du disque système C:\rapport.txt
  
• Copie/Colle le rapport dans ta prochaine réponse
  

2°) Redémarre en mode normal

 

2.1 - Scan ton PC avec ton Antivirus ( tu as Kaspersky )

Tu me fournis le rapport seulement si Kaspersky a trouvé quelque chose.

 

2.2 - Lance HijackThis

 

Copie/Colle un nouveau rapport HijackThis dans ta réponse

 

 

J'attends 2 rapports ( celui de SmitFraudFix et celui de Hijackthis ).

 

 

Cordialement.