Problème d'infection, je ne sais pas par où commencer à l'aide

[angelique]

J'ai un fond d'écran bleu avant j'avais une photo

 

Tu remets le fond d'ecran que tu veux , c'est du à l'utilisation de SmitFraudFix que tu as utilisé le 2008-11-17 20:32

 

tu restes un minimum connecté au net car tu es en SP1 et avec IE6

 

• relance HijackThis(renommé par RSIT C:\Program Files\Trend Micro\HijackThis\Tommy.exe) " do a system scan only" , coche uniquement les lignes ci dessous et clic Fixchecked:

 

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [CPM679c3253] Rundll32.exe "c:\windows\system32\forukabe.dll",a

O4 - HKUS\S-1-5-19\..\Run: [rotezuniga] Rundll32.exe "C:\WINDOWS\System32\lawariko.dll",s (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [rotezuniga] Rundll32.exe "C:\WINDOWS\System32\lawariko.dll",s (User 'SERVICE RÉSEAU')

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -

O20 - AppInit_DLLs: c:\windows\system32\forukabe.dll

O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\forukabe.dll (file missing)

O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\forukabe.dll (file missing)

 

 

==> clic Fixchecked

 

• supprime:

 

C:\ComboFix

C:\rapport.txt

 

• * Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître)

* Copie-colle l'entièreté de ceci dans la partie "Paste Instructions for Items to be Moved" comme indiqué sur la capture (en-dessous de la barre jaune) :

 

:files
C:\WINDOWS\System32\lawariko.dll
c:\windows\system32\forukabe.dll

:commands
[emptytemp]

 

 

 

* Clique sur le bouton rouge Moveit! pour lancer le nettoyage

* Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results (en vert à droite)

--> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)

* Ferme OTMoveIt3 (en cliquant sur Exit)

 

 

Note : Si un fichier ou un dossier ne sait être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter...

 

• installe de toute urgence le SP2 de XP, et verifie que le parefeu est activé dans le panneau de configuration\parefeu

 

http://www.microsoft.com/downloads/details...45-9e368d3cdb5a

 

• Passe ensuite ,une fois le SP2 installé ,à l'installation de IE7

 

http://www.microsoft.com/downloads/details...;displaylang=fr

 

• » telecharge sur ton bureau:

 

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

 

ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

le prochain reboot sera un petit peu plus long, le %windir%\prefetch ayant été vidé.

 

• reposte un nouveau rapport HijackThis pour verification avec le rapport OTMoveIt

[saturn2222]

Merci de ta rapidité angelique. Bon alors j'ai relancé le hijackthis supprimer le c: combofix et rapport. Puis j'ai double-clique sur OTMoveIt3.exe et j'ai mis ce que tu m'as indique dans les instructions. J'ai installé AtfCleaner puis je l'ai exécuter mais y'a pas trouver rien. Voici les 2 rapports hijackthis et OTmoveit3. Pour ce qui est d'installer XP SP2 et IE7, je ne sais pas si c'est une bonne idée car je n'ai pas un original de XP. Que faire?

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:58:15, on 2008-11-24

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\notepad.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\TomTom HOME 2\HOMERunner.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Raxco\PerfectDisk\PDSched.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

C:\Program Files\internet explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"

O4 - HKUS\S-1-5-18\..\Run: [uniblue Registry Booster] C:\Program Files\Uniblue\Registry Booster\RegistryBooster.exe /S (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [uniblue Registry Booster] C:\Program Files\Uniblue\Registry Booster\RegistryBooster.exe /S (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

O15 - Trusted Zone: *.finefind.nettraffic2cash.biz

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1137878581502

O16 - DPF: {6824D897-F7E1-4E41-B84B-B1D3FA4BF1BD} (PCPitstop AntiVirus) - http://utilities.pcpitstop.com/Exterminate...opAntiVirus.dll

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1137878570476

O16 - DPF: {6F750203-1362-4815-A476-88533DE61D0C} (Kodak Gallery Easy Upload Manager Class) - http://www.kodakgallery.ca/downloads/BUM/B..._2/axofupld.cab

O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} (ActiveCGM Control) - http://www.registrefoncier.gouv.qc.ca/Sirf...iveCGM/Acgm.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0C6C0F17-AFF5-4DEF-BE91-EA5D5D0BC1A8}: NameServer = 208.67.220.220 208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{290E63B3-F140-4638-A476-95C249ECF706}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{65CE5EBE-E646-4158-9827-39D5D83E9E58}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{6F032269-A0BA-43D6-8995-2B9FE63BEE09}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{D3DDC1D2-1AAC-4145-B560-FE4B5122FF82}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{E5D915B6-D730-4BCD-B8C7-9247AA3BE0E6}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS2\Services\Tcpip\..\{0C6C0F17-AFF5-4DEF-BE91-EA5D5D0BC1A8}: NameServer = 208.67.220.220 208.67.222.222

O17 - HKLM\System\CS3\Services\Tcpip\..\{0C6C0F17-AFF5-4DEF-BE91-EA5D5D0BC1A8}: NameServer = 208.67.220.220 208.67.222.222

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)

 

--

End of file - 6692 bytes

 

OTmoveit3

 

========== FILES ==========

File/Folder C:\WINDOWS\System32\lawariko.dll not found.

File/Folder c:\windows\system32\forukabe.dll not found.

========== COMMANDS ==========

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

Windows Temp folder emptied.

Java cache emptied.

FireFox cache emptied.

Temp folders emptied.

 

OTMoveIt3 by OldTimer - Version 1.0.7.1 log created on 11242008_084845

 

Files moved on Reboot...

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully.

[angelique]

• ton FAI est Bell Canada toronto, ON CA, tu es derriere un routeur firewall au moins nop??

 

• si non installe au moins un Firewall :

 

http://forum.malekal.com/viewtopic.php?f=45&t=7601

 

http://www.malekal.com/firewall.php

 

• supprime C:\ _OTMoveIt

 

• corrige ces 2 lignes avec HijackThis (Fixchecked) car tu as apparemment desinstaller party Poker truc:

 

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

 

et supprime C:\Program Files\PartyGaming.Net ainsi que la sauvegarde d'HijackThis (le dossier backups souligé gras:

C:\Program Files\Trend Micro\HijackThis\backups

 

tu n'as plus d'infections actives , c'est ok.

[saturn2222]

Merci angelique, est-ce que le proactive defense de Kaspersky est un firewall? Et est-ce que je peux remettre le resident de spybot? Y'a t-il une solution pour upgrader à sp2 si mon xp n'est pas original?

[angelique]

est-ce que le proactive defense de Kaspersky est un firewall?

 

non! http://support.kaspersky.com/fr/kav6mp2/pr...e?qid=200880205

 

est-ce que je peux remettre le resident de spybot?

 

Non , il n'a pas protégé l'ingrité de tes O4-Run , ni O2-BHO , soi c'est passé comme ça , soit il a couiné et ça a été autorisé!

 

Y'a t-il une solution pour upgrader à sp2 si mon xp n'est pas original?

 

ç'est contraire à la charte du Forum que de t'aider à "cracker"\installer le SP2 , le SP2 verifie la validité de ta Clé??

 

Installe un Firewall.