DarkPig

C'est bon alors, je n'ai plus d'infection ?

Merci du conseil. Je ne sais pas si c'est lié, mais je viens d'avoir un message d'erreur : C'est étrange, ma mémoire n'a jamais été défectueuse, et comme par hasard ça vient de l'antivirus... Toutes ces infections ont-elles pû contaminer mes deux autres partitions ou juste la partition système ? Car si ça n'en finit jamais, plutot que de vous faire perdre votre temps je devrai peut-etre me résoudre à formater la partition système et réinstaller Windows, si je suis sûr que ça règlera définitivement le probleme.

Ok, voilà le rapport : Rapport de ZHPFix 1.2.04 par Nicolas Coolman, Update du 23/04/2011 Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-11-07-2012-19-19-30.txt Run by Gros at 11/07/2012 19:19:30 Windows XP Professional Service Pack 3 (Build 2600) Web site : [url=http://www.premiumorange.com/zeb-help-process/zhpfix.html]ZHPFix Fix de rapport[/url] Web site : [url=http://nicolascoolman.skyrock.com/]Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com[/url] ========== Logiciel(s) ========== SUPPRIME Spybot - Search & Destroy SUPPRIME Spybot - Search & Destroy 1.4 ========== Clé(s) du Registre ========== SUPPRIME Key*: Service: AviraUpgradeService SUPPRIME O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\87178001.sys . (...) -- C:\WINDOWS\system32\Drivers\87178001.sys (.not file.) SUPPRIME O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\87178001.sys . (...) -- C:\WINDOWS\system32\Drivers\87178001.sys (.not file.) SUPPRIME Key*: StartupReg: IMEKRMIG6.1 ========== Valeur(s) du Registre ========== ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe ABSENT Valeur Standard Profile: FirewallRaz : ABSENT Valeur Domain Profile: FirewallRaz : Aucune valeur présente dans la clé d'exception du registre (FirewallRaz) ========== Elément(s) de donnée du Registre ========== SUPPRIME Explorer Association Data Application: [url=http://www.filefacts.net/redirect.php?lang=%04x&ext=%s]Filefacts.net[/url] SUPPRIME Explorer Association Data Intl: [url=http://www.filefacts.net/redirect.php?lang=%04x&ext=%s]Filefacts.net[/url] SUPPRIME StartMenuInternet: C:\Program Files\115\browser\115br.exe ========== Dossier(s) ========== SUPPRIME Folder: C:\Documents and Settings\Gros\Application Data\Tencent SUPPRIME Reboot Folder**: C:\Program Files\Spybot - Search & Destroy SUPPRIME Folder: C:\Documents and Settings\Gros\Local Settings\Application Data\APN SUPPRIME Flash Cookies SUPPRIME Temporaires Windows ========== Fichier(s) ========== ABSENT File: c:\windows\temp\avsetup_4edd76b4\avupgsvc.exe ABSENT File: c:\windows\system32\drivers\87178001.sys SUPPRIME File: c:\windows\ime\imkr6_1\imekrmig.exe SUPPRIME File: c:\documents and settings\gros\application data\mozilla\firefox\profiles\6lqoj7ns.default\searchplugins\askcom.xml ABSENT File: c:\documents and settings\gros\application data\mozilla\firefox\profiles\6lqoj7ns.default\searchplugins\askcom.xml SUPPRIME Flash Cookies SUPPRIME Temporaires Windows ========== Restauration Système ========== Point de restauration non crée ========== Autre ========== NON TRAITE 010 - Broken Internet access because of LSP provider (.not file.) -- mswsock.dll NON TRAITE TOOLBAR INUTILE (Navigateur internet) ========== Récapitulatif ========== 4 : Clé(s) du Registre 4 : Valeur(s) du Registre 3 : Elément(s) de donnée du Registre 5 : Dossier(s) 7 : Fichier(s) 2 : Logiciel(s) 1 : Restauration Système 2 : Autre End of clean in 01mn 54s ========== Chemin de fichier rapport ========== C:\ZHP\ZHPFix[R1].txt - 11/07/2012 19:19:30 [2802] Pourquoi m'avoir fait désinstaller Spybot ?

Je viens de faire un scan ZHPDiag et les lignes posant probleme sont toujours là : nouveau rapport ZHPDiag

Ok. Rapport après scan. Rapport après suppression. Rapport après host raz. Rapport après proxy raz. Rapport après dns raz. Rapport après racc raz.

Mon rapport Malware byte anti-malware : http://pjjoint.malekal.com/files.php?id=20120710_m15w6n12u13i7 Pour TDSS killer, je n'ai pas pû enregistrer le rapport car j'ai eu un écran bleu quelques instants après la fin, et après redémarrage je l'ai re-exécuté, du coup ça a remplacé le premier rapport. Y a t-il un moyen de le récupérer ? Sinon je viens d'en faire un nouveau : http://pjjoint.malekal.com/files.php?id=20120710_j10z8p13p6k7 Je n'ai pas réussi à enregistrer de rapport avec Microsoft safety scanner, d'ailleurs je n'ai même pas réussi à savoir quels fichiers étaient concernés, il a juste dit qu'il avait trouvé des infections et m'a demandé si je voulais réparer ou supprimer. Je l'ai re-éxécuté depuis et il n'a plus rien trouvé. Avant de venir j'avais aussi éxécuté ZHPFix, sans trop savoir m'en servir, voici le rapport : ZHPFixReport.txt

Ok, merci pour ton aide.

Bonjour Suite à un probleme avec netsh.exe et mswsock.dll (http://forum.zebulon.fr/erreur-dans-netshexe-et-mswsockdll-t194674.html&pid=1624752#entry1624752) il est apparu que mon PC est infecté. Pour résumer, plus aucun navigateur n'arrivait à se connecter, mais Outlook y arrivait toujours. J'ai eu le message d'erreur "Le point d'entrée de procédure MigrateWinsockConfiguration est introuvable dans la bibliothèque de liaisons dynamique MSWSOCK.dll", avec comme titre "netsh.exe - Point d'entrée introuvable". Avira Antivirus n'a rien trouvé, mais Malware byte anti-malware, TDSS et Microsoft safety scanner ont trouvé et effacé des malwares. Le probleme est réglé, mais ab-web m'a demandé un rapport ZHPDIAG et y a trouvé des choses louches, et m'a donc conseillé de venir ici. Voici mon rapport ZHPDIAG : ZHPDiag.txt Merci de m'aider.

Ok, merci de vérifier. ZHPDiag.txt ZHPFixReport.txt

Merci ça refonctionne. Finalement je pense que c'est un virus qui m'a fait ça. Bien que Avira Antivirus n'ait rien trouvé, TDSS m'a trouvé deux saletés, et Microsoft safety scanner m'en a trouvé 14...

Bonjour Depuis ce matin j'ai un probleme étrange, les navigateurs n'arrivent plus à accéder à internet. J'ai essayé avec Firefox, Chrome, et IE, et aucun n'arrive à se connecter. C'est étrange car Outlook par contre télécharge mes e-mails sans probleme, et les programmes arrivent à se mettre à jour : Spybot, Avira Antivirus... J'ai lancé l' "Outils de diagnostic" de sfr, pour tester ma connexion. Tout est ok selon ce programme, mais pendant le test un message d'erreur de Windows est apparu : "Le point d'entrée de procédure MigrateWinsockConfiguration est introuvable dans la bibliothèque de liaisons dynamique MSWSOCK.dll", avec comme titre "netsh.exe - Point d'entrée introuvable". J'ai redémarré en mode sans échec et j'ai remplacé les fichiers netsh.exe et mswsock.dll dans le dossier "system32" par ceux d'un deuxieme ordi qui est sous le même Windows. Ca a fonctionné, j'ai lancé chrome et il a pu se connecter. Mais lorsque j'ai redémarré en mode normal, le probleme est revenu... Comme si Windows ou un virus avait re-altéré mes fichiers entre temps. :\ Avira Antivirus ne me trouve pas de virus. J'ai fait un scan HiJackThis, tout semble ok, je poste quand même le rapport au cas où : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:19:12, on 08/07/2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\Program Files\Unlocker\UnlockerAssistant.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Creative Professional\E-MU PatchMix DSP\EmuPMixDSP.exe C:\Program Files\SpeedFan\speedfan.exe C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\Program Files\FolderSize\FolderSizeSvc.exe C:\Program Files\Java\jre7\bin\jqs.exe c:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Wacom_Tablet.exe C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe C:\WINDOWS\system32\Wacom_Tablet.exe C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe C:\WINDOWS\explorer.exe C:\Program Files\SFR\Kit\9diags.exe H:\virus\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.sfr.fr/kit/adsl/]Portail SFR: Actualités, Sport, Info, TV, Jeux et musique[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://go.microsoft.com/fwlink/?LinkId=69157]MSN Hotmail.fr, Messenger, Skype, Sydrive, Actualité, Sport, People, Femmes - MSN France[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Bing[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Bing[/url] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://go.microsoft.com/fwlink/?LinkId=69157]MSN Hotmail.fr, Messenger, Skype, Sydrive, Actualité, Sport, People, Femmes - MSN France[/url] R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Raccourci vers ouvre.lnk = ? O4 - Startup: Raccourci vers speedfan.lnk = C:\Program Files\SpeedFan\speedfan.exe O4 - Startup: Raccourci vers todo.lnk = E:\internet\e-mails\todo.rtf O9 - Extra button: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "C:\Program Files\Fiddler2\Fiddler.exe" (file missing) O9 - Extra 'Tools' menuitem: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "C:\Program Files\Fiddler2\Fiddler.exe" (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {CAFEEFAC-0017-0000-0000-ABCDEFFEDCBA} (Java Plug-in 1.7.0) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url=http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab]http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/url] O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira Planificateur (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira Protection temps réel (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira Protection Web (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: Avira Upgrade Service (AviraUpgradeService) - Unknown owner - C:\WINDOWS\TEMP\AVSETUP_4edd76b4\avupgsvc.exe (file missing) O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Program Files\Java\jre7\bin\jqs.exe O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe -- End of file - 6264 bytes Malware byte anti-malware m'a trouvé deux backdoors dans de vieux fichiers, mais je doute que ça vienne de là. ZHPFix n'a pas corrigé le probleme non plus. J'ai soupçonné la réparation de base de registre de CCleaner, donc j'ai restauré une sauvegarde datant d'il y a quelques jours et redémarré, mais non. Je précise que pendant ces manipulations j'ai eu droit à deux écrans bleus, ce qui est pourtant rare sur cette machine habituellement très stable. Merci de m'aider car moi je n'ai plus d'idée... (à part refaire le systeme mais j'ai pas envie !)