résolu

[domi et minouche]

Bonjour.

 

Ci dessous une partie du rapport de zeb help apres une analyse par Malwarebytes' Anti-Malware, je suis perdu, comment les supprimer ?

 

 

 

 

---\\ Recherche d'infection de Base de Registres (O71)

O71 - BDRI:[hklm\software\microsoft\windows\currentversion\internet settings\zonemap\domains\mirarsearch.com]

O71 - BDRI:[hklm\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com]

O71 - BDRI:[hklm\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com\awbeta]

O71 - BDRI:[hklm\software\microsoft\windows\currentversion\internet settings\zonemap\domains\getmirar.com]

O71 - BDRI:[hklm\software\microsoft\windows\currentversion\internet settings\zonemap\domains\contentmatch.net]

O71 - BDRI:[hklm\software\search settings]

O71 - BDRI:[hkcu\software\microsoft\internet explorer\main]:error dlg displayed on every error

O71 - BDRI:[hkcu\software\microsoft\internet explorer\main]:error dlg details pane open

O71 - BDRI:[hkcu\software\search settings]

 

 

 

Merci

 

Domi

Modifié le 15 septembre 2008 par domi et minouche

[Falkra]

Bonjour, bienvenue.

 

Poste un rapport HijackThis dans ta prochaine réponse stp.

 

Clique sur ce lien pour télécharger HijackThis 2.0.2 :

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau.

 

Double-clique sur l'icône HijackThis :

 

HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport).

Clique dessus.

 

Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

[domi et minouche]

Bonsoir.

 

Ci dessous mon rapport HijackThis.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:45:49, on 13/09/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

D:\Program Files\NERO\InCD\InCDsrv.exe

C:\WINDOWS\system32\svchost.exe

D:\Program Files\Avast\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

D:\Program Files\Avast\ashServ.exe

D:\PROGRA~1\Avast\ashDisp.exe

C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe

D:\Program Files\SuperCopier2\SuperCopier2.exe

D:\Program Files\RamBoost XP\rambxpfr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\devldr32.exe

C:\WINDOWS\System32\LckFldService.exe

C:\Program Files\PC Tools Firewall Plus\FWService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

D:\Program Files\Avast\ashMaiSv.exe

D:\Program Files\Avast\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\Program Files\MSN Messenger\usnsvc.exe

D:\Mozilla firefox\firefox.exe

D:\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vendee.fr/meteo/marine/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - D:\money\System\mnyside.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - D:\Program Files\Copernic Agent\CopernicAgentExt.dll

O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\Avast\ashDisp.exe

O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s

O4 - HKCU\..\Run: [superCopier2.exe] D:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [RamBoostXp] D:\Program Files\RamBoost XP\rambxpfr.exe

O8 - Extra context menu item: Chercher avec Copernic Agent - res://D:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Télécharger avec Star Downloader - D:\Program Files\Star Downloader\sdie.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - D:\money\System\mnyside.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O20 - Winlogon Notify: !SASWinLogon - D:\Antispy\SASWINLO.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Avast\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Avast\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Avast\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Avast\ashWebSv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\NERO\InCD\InCDsrv.exe

O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\System32\LckFldService.exe

O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe

 

--

End of file - 5983 bytes

 

 

 

 

Je ne retrouve pas les lignes 71 donné par zeb help ????

 

 

Merci

 

domi

[Falkra]

C'est normal, hijackthis ne va pas dans ces coins là ; de toute façon, ces lignes ressemblent plus à des résidus qu'à autre chose.

 

Ton rapport est clean (rien de méchant actif). On va quand même faire les vérifs nécessaires pour virer les résidus éventuels.

 

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.

• Lance l'installation du programme en exécutant le fichier téléchargé.
  
• Double-clique maintenant sur le raccourci de Toolbar-S&D.
  
• Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
  
• Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
  
• Poste le rapport généré. (C:\TB.txt)
  

[domi et minouche]

Voici le rapport:

 

 

-----------\\ ToolBar S&D 1.1.9 XP/Vista

 

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2

X86-based PC ( Uniprocessor Free : AMD Athlon Processor )

BIOS : Default System BIOS

USER : sarah ( Administrator )

BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1229 [VPS 080913-0] 4.8.1229 (Activated)

Firewall : PC Tools Firewall Plus 4.0.0 (Activated)

 

"C:\ToolBar SD" ( MAJ : 13-09-2008|02:54 )

Option : [1] ( 13/09/2008|22:14 )

 

-----------\\ Recherche de Fichiers / Dossiers ...

 

 

-----------\\ Extensions

 

(LocalService.AUTORITE NT.000) - {6e84150a-d526-41f1-a480-a67d3fed910d} => ieview

(LocalService.AUTORITE NT.000) - {B5EDFBB0-9827-11DA-A72B-0800200C9A66} => forecastfox

 

(sarah.SARAH-6PO4H8SRG) - {4BBDD651-70CF-4821-84F8-2B918CF89CA3} => febe

(sarah.SARAH-6PO4H8SRG) - {84b30000-62f6-364b-eba5-2e5e2061d7e6} => pagestyle2tab

(sarah.SARAH-6PO4H8SRG) - {a1f99b9c-30d3-4848-a646-afd282011a72} => prntprvw

(sarah.SARAH-6PO4H8SRG) - {B5EDFBB0-9827-11DA-A72B-0800200C9A66} => forecastfox

(sarah.SARAH-6PO4H8SRG) - {ef62e1ce-d2a4-4cdd-b7ec-92b120366b66} => foxlingo

 

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Start Page"="http://www.vendee.fr/meteo/marine/"

"Local Page"="C:\\WINDOWS\\SYSTEM32\\blank.htm"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"

"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"'>http://go.microsoft.com/fwlink/?LinkId=54896"

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Start Page"="http://www.msn.com/"

 

 

--------------------\\ Recherche d'autres infections

 

 

Aucune autre infection trouvée !

 

 

1 - "C:\ToolBar SD\TB_1.txt" - 13/09/2008|22:18 - Option : [1]

 

-----------\\ Fin du rapport a 22:18:13,76

[Falkra]

Pas de souci ici.

Tu peux désinstaller toolbar S&D via ajout/suppression de programmes.

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

NB : Si MBAM te demande à redémarrer, fais-le.

[domi et minouche]

voila le rapport:

 

Malwarebytes' Anti-Malware 1.28

Version de la base de données: 1142

Windows 5.1.2600 Service Pack 2

 

13/09/2008 22:37:18

mbam-log-2008-09-13 (22-37-18).txt

 

Type de recherche: Examen rapide

Eléments examinés: 53481

Temps écoulé: 6 minute(s), 49 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 2

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Broken.SecurityProviders) -> Bad: (msapsspc.dll schannel.dll digest.dll msnsspc.dll) Good: (msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\scrfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("%1" %*) Good: ("%1" /S) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Documents and Settings\sarah.SARAH-6PO4H8SRG\Application Data\urlredir.cfg (Adware.RightOnAds) -> Quarantined and deleted successfully.

[Falkra]

Ok, bien ça (quelques petites réparations).

Ca veut dire que ce ne sont que de vieux restes, ce que tu as. On peut les virer.

 

• Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous :
  

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\internet settings\zonemap\domains\mirarsearch.com]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com\awbeta]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\internet settings\zonemap\domains\getmirar.com]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\internet settings\zonemap\domains\contentmatch.net]
[-HKEY_LOCAL_MACHINE\software\search settings]
[-HKEY_CURRENT_USER\software\search settings]

• Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc).
  
• Le fichier va être créé avec une icône de base de registre, double clique dessus et confirme pour l'ajouter au registre.
  

 

Ensuite contrôle avec ZHPdiag tes O71.

[domi et minouche]

Message d' erreur:

 

impossible d' importer le fichier ........... le fichier n'est pas un script du registre

[Falkra]

La première ligne du fichier est bien "Windows Registry Editor Version 5.00" ? (clic droit, "modifier" pour voir dedans).

Pas de ligne vide au début ?