PC qui se reboot tout seul (RESOLU)

[kingleroideskong]

Bonjour,

 

Depuis peu, mon portable est plus lent que d'habitude et à chaque tentative de connection internet, je suis redirigé vers plusieurs pages commerciales

 

Quelqu'un peut-il m'aider?

 

merci d'avance

 

A+

Modifié le 23 décembre 2008 par kingleroideskong

[pparto]

pc infecté par des spyware. nettoie le avec un anti spyware type spybot ou adware

[kingleroideskong]

pc infecté par des spyware. nettoie le avec un anti spyware type spybot ou adware

 

Bonsoir,

 

Spybot ou ad aware????

Je pourrai aussi essayé de laver mon PC avec un Karcher et ensuite de le confier à un rebouteux.Non sérieusement, je cherche quelqu'un qui connaisse réellement les solutions à ce genre de problemes.

 

A+

[Falkra]

Bonsoir, c'est pour cette raison que dans la sectin désinfection, seul le groupe sécurité désinfecte, car nous sommes formés pour cela. Voir ma signature (pour pparto).

 

Spybot et ad-aware sont dépassés, voir inaptes sur les infections les plus fréquentes et coriaces, de toute façon : à oublier.

 

 

Kingleroideskong, on va regarder ce qui tourne pour voir quelle est l'infection s'il y en a.

 

Voici de quoi démarrer.

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  
• NB : Les rapports sont sauvegardés dans le dossier C:\rsit
  Ca fait deux rapports donc.
  

[kingleroideskong]

Bonsoir, c'est pour cette raison que dans la sectin désinfection, seul le groupe sécurité désinfecte, car nous sommes formés pour cela. Voir ma signature (pour pparto).

 

Spybot et ad-aware sont dépassés, voir inaptes sur les infections les plus fréquentes et coriaces, de toute façon : à oublier.

 

 

Kingleroideskong, on va regarder ce qui tourne pour voir quelle est l'infection s'il y en a.

 

Voici de quoi démarrer.

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  
• NB : Les rapports sont sauvegardés dans le dossier C:\rsit
  Ca fait deux rapports donc.
  

 

 

Bonjour

Cela s'arrete et le message suivant apparait

 

"Line -1:"

 

"Error:Error parsing function call"

 

A+

[Falkra]

Ok, on essaie avec un autre. Poste un rapport HijackThis dans ta prochaine réponse stp.

 

Clique sur ce lien pour télécharger HijackThis 2.0.2 :

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau.

 

Double-clique sur l'icône HijackThis :

 

HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport).

Clique dessus.

 

Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

[kingleroideskong]

Ok, on essaie avec un autre. Poste un rapport HijackThis dans ta prochaine réponse stp.

 

Clique sur ce lien pour télécharger HijackThis 2.0.2 :

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau.

 

Double-clique sur l'icône HijackThis :

 

HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport).

Clique dessus.

 

Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Bonsoir,

 

Voici le rapport

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:59:59, on 18/12/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AskBarDis\bar\bin\AskService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Neuf\Kit\WiFi\9wifi.exe

C:\Program Files\Search Settings\SearchSettings.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Messenger\msmsgs.exe

C:\documents and settings\marion.clairdelune\local settings\application data\saqyqug.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\marion.CLAIRDELUNE\Desktop\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O3 - Toolbar: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdwsh.exe] C:\WINDOWS\system32\kdwsh.exe

O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] "C:\Program Files\Neuf\Kit\WiFi\9wifi.exe"

O4 - HKLM\..\Run: [searchSettings] C:\Program Files\Search Settings\SearchSettings.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [saqyqug] "c:\documents and settings\marion.clairdelune\local settings\application data\saqyqug.exe" saqyqug

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/fichier...ion_3_0_4_0.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6CE2D873-CC35-4ADB-AF3E-763099E83405}: NameServer = 85.255.112.121;85.255.112.76

O17 - HKLM\System\CCS\Services\Tcpip\..\{B195154D-2B35-4954-86CA-B1739341ED3A}: NameServer = 85.255.112.121;85.255.112.76

O17 - HKLM\System\CCS\Services\Tcpip\..\{B38B313A-71CD-42FD-B668-5EF8C510A312}: NameServer = 85.255.112.121;85.255.112.76

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe

O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 5806 bytes

[Falkra]

Ha bah ya du monde, en effet. 3-4 familles de bestioles au complet. Par quoi commencer ?

 

On va faire quelques rapports de diagnostic et nettoyer tout ça.

 

** 1 **

 

• Télécharge SmitFraudFix de S!Ri sur le bureau :
  http://siri.urz.free.fr/Fix/SmitfraudFix.exe
  
• Note: si tu as une version de SmitfraudFix, ne l'utilise pas, élimine là et télécharge la dernière version.
  
• Double-clique sur smitfraudfix.exe
  
• Choisis l'option 1 pour créer un rapport des fichiers responsables de l'infection.
  
• Poste le rapport sur le forum dans ta prochaine réponse. (si tu ne le trouves pas, il est dans "C:\rapport.txt")
  

 

Si un virus est détecté par ton antivirus ou un autre logiciel (genre riskTool.win32.reboot), n'en tiens pas compte (choisis d'ignorer) et ne bloque pas le fichier, il faut partie de l'outil et des antivirus qui y voient un danger potentiel.

 

** 2 **

 

• Clique sur ce lien de navilog1 de IL-MAFIOSO :
  http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
  
• Enregistre le fichier sur ton bureau.
  
• Ensuite double clique sur navilog1.exe pour lancer l'installation.
  
• Une fois l'installation terminée, navilog1 s'exécutera automatiquement.
  (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
  
• Laisse-toi guider. Au menu principal, choisis 1 et valide.
  (ne fais pas le choix 2,3 ou 4 sans accord)
  
• Cela dure un moment, attends le message :

  *** Analyse Termine le ..... ***

• Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
  
• Copie-colle l'intégralité du rapport dans ton prochain post. Referme le bloc note.
  

 

Note :

Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt)

Si ton antivirus se plaint de fichiers de Navilog1, dis lui d'ignorer les fichiers.

 

** 3 **

 

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.

• Double-clique maintenant sur le fichier téléchargé.
  
• Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
  
• Choisis maintenant l'option (Recherche). Patiente jusqu'à la fin de la recherche.
  
• Poste le rapport généré. (C:\TB.txt)
  

[kingleroideskong]

Ha bah ya du monde, en effet. 3-4 familles de bestioles au complet. Par quoi commencer ?

 

On va faire quelques rapports de diagnostic et nettoyer tout ça.

 

** 1 **

 

• Télécharge SmitFraudFix de S!Ri sur le bureau :
  http://siri.urz.free.fr/Fix/SmitfraudFix.exe
  
• Note: si tu as une version de SmitfraudFix, ne l'utilise pas, élimine là et télécharge la dernière version.
  
• Double-clique sur smitfraudfix.exe
  
• Choisis l'option 1 pour créer un rapport des fichiers responsables de l'infection.
  
• Poste le rapport sur le forum dans ta prochaine réponse. (si tu ne le trouves pas, il est dans "C:\rapport.txt")
  

 

Si un virus est détecté par ton antivirus ou un autre logiciel (genre riskTool.win32.reboot), n'en tiens pas compte (choisis d'ignorer) et ne bloque pas le fichier, il faut partie de l'outil et des antivirus qui y voient un danger potentiel.

 

** 2 **

 

• Clique sur ce lien de navilog1 de IL-MAFIOSO :
  http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
  
• Enregistre le fichier sur ton bureau.
  
• Ensuite double clique sur navilog1.exe pour lancer l'installation.
  
• Une fois l'installation terminée, navilog1 s'exécutera automatiquement.
  (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
  
• Laisse-toi guider. Au menu principal, choisis 1 et valide.
  (ne fais pas le choix 2,3 ou 4 sans accord)
  
• Cela dure un moment, attends le message :
   
  
• Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
  
• Copie-colle l'intégralité du rapport dans ton prochain post. Referme le bloc note.
  

 

Note :

Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt)

Si ton antivirus se plaint de fichiers de Navilog1, dis lui d'ignorer les fichiers.

 

** 3 **

 

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.

• Double-clique maintenant sur le fichier téléchargé.
  
• Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
  
• Choisis maintenant l'option (Recherche). Patiente jusqu'à la fin de la recherche.
  
• Poste le rapport généré. (C:\TB.txt)
  

 

 

Bonsoir,

 

Je poste les 3 rapports l'un derriere l'autre

 

 

SmitFraudFix v2.387

 

Scan done at 21:16:05,96, 18/12/2008

Run from C:\Documents and Settings\marion.CLAIRDELUNE\Desktop\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in normal mode

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AskBarDis\bar\bin\AskService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Neuf\Kit\WiFi\9wifi.exe

C:\Program Files\Search Settings\SearchSettings.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\documents and settings\marion.clairdelune\local settings\application data\saqyqug.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\marion.CLAIRDELUNE\Desktop\HiJackThis.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Azureus\Azureus.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

hosts file corrupted !

 

127.0.0.1 mpa.one.microsoft.com

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

C:\resycled\ FOUND !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\marion.CLAIRDELUNE

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MARION~1.CLA\LOCALS~1\Temp

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\marion.CLAIRDELUNE\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MARION~1.CLA\FAVORI~1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="My Current Home Page"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch

!!!Attention, following keys are not inevitably infected!!!

 

o4Patch

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, following keys are not inevitably infected!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

!!!Attention, following keys are not inevitably infected!!!

 

Agent.OMZ.Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, following keys are not inevitably infected!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, following keys are not inevitably infected!!!

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"="kdwsh.exe"

 

kdwsh.exe detected !

 

 

»»»»»»»»»»»»»»»»»»»»»»»» RK

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Your computer may be victim of a DNS Hijack: 85.255.x.x detected !

 

Description: Intel® PRO/Wireless LAN 2100 3B Mini PCI Adapter - Packet Scheduler Miniport

DNS Server Search Order: 85.255.112.121;85.255.112.76

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6CE2D873-CC35-4ADB-AF3E-763099E83405}: NameServer=85.255.112.121;85.255.112.76

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B195154D-2B35-4954-86CA-B1739341ED3A}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B195154D-2B35-4954-86CA-B1739341ED3A}: NameServer=85.255.112.121;85.255.112.76

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B38B313A-71CD-42FD-B668-5EF8C510A312}: NameServer=85.255.112.121;85.255.112.76

HKLM\SYSTEM\CS1\Services\Tcpip\..\{6CE2D873-CC35-4ADB-AF3E-763099E83405}: NameServer=85.255.112.121;85.255.112.76

HKLM\SYSTEM\CS1\Services\Tcpip\..\{B195154D-2B35-4954-86CA-B1739341ED3A}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{B195154D-2B35-4954-86CA-B1739341ED3A}: NameServer=85.255.112.121;85.255.112.76

HKLM\SYSTEM\CS1\Services\Tcpip\..\{B38B313A-71CD-42FD-B668-5EF8C510A312}: NameServer=85.255.112.121;85.255.112.76

HKLM\SYSTEM\CS2\Services\Tcpip\..\{6CE2D873-CC35-4ADB-AF3E-763099E83405}: NameServer=85.255.112.121;85.255.112.76

HKLM\SYSTEM\CS2\Services\Tcpip\..\{B195154D-2B35-4954-86CA-B1739341ED3A}: NameServer=85.255.112.121;85.255.112.76

HKLM\SYSTEM\CS2\Services\Tcpip\..\{B38B313A-71CD-42FD-B668-5EF8C510A312}: NameServer=85.255.112.121;85.255.112.76

HKLM\SYSTEM\CS3\Services\Tcpip\..\{6CE2D873-CC35-4ADB-AF3E-763099E83405}: NameServer=85.255.112.121;85.255.112.76

HKLM\SYSTEM\CS3\Services\Tcpip\..\{B195154D-2B35-4954-86CA-B1739341ED3A}: DhcpNameServer=85.255.112.121;85.255.112.76

HKLM\SYSTEM\CS3\Services\Tcpip\..\{B195154D-2B35-4954-86CA-B1739341ED3A}: NameServer=85.255.112.121;85.255.112.76

HKLM\SYSTEM\CS3\Services\Tcpip\..\{B38B313A-71CD-42FD-B668-5EF8C510A312}: NameServer=85.255.112.121;85.255.112.76

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

 

 

»»»»»»»»»»»»»»»»»»»»»»»» End

 

 

 

 

Search Navipromo version 3.7.0 commencé le 18/12/2008 à 21:20:45,94

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

 

Mise à jour le 10.12.2008 à 21h00 par IL-MAFIOSO

 

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2

X86-based PC ( Uniprocessor Free : Intel® Pentium® M processor 1600MHz )

BIOS : Rev 1.0 XXX

USER : marion ( Administrator )

BOOT : Normal boot

 

Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)

Firewall : ZoneAlarm Firewall 7.0.483.000 (Activated)

 

C:\ (Local Disk) - NTFS - Total:74 Go (Free:46 Go)

D:\ (CD or DVD)

 

 

Recherche executé en mode normal

 

*** Recherche Programmes installés ***

 

Favorit

 

*** Recherche dossiers dans "C:\WINDOWS" ***

 

 

*** Recherche dossiers dans "C:\Program Files" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\All Users.WINDOWS\startm~1\programs" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\All Users.WINDOWS\startm~1" ***

 

 

*** Recherche dossiers dans "c:\docume~1\alluse~1.win\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\marion.CLAIRDELUNE\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1.POR\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\marion.CLAIRDELUNE\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1.POR\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\marion.CLAIRDELUNE\startm~1\programs" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\startm~1\programs" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1.POR\startm~1\programs" ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans "C:\WINDOWS\system32" *

 

* Recherche dans "C:\Documents and Settings\marion.CLAIRDELUNE\locals~1\applic~1" *

 

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

 

* Recherche dans "C:\DOCUME~1\ADMINI~1.POR\locals~1\applic~1" *

 

 

 

*** Recherche fichiers ***

 

 

 

*** Recherche clés spécifiques dans le Registre ***

!! Les clés trouvées ne sont pas forcément infectées !!

 

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"saqyqug"="\"c:\\documents and settings\\marion.clairdelune\\local settings\\application data\\saqyqug.exe\" saqyqug"

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans "C:\WINDOWS\system32" :

 

 

* Dans "C:\Documents and Settings\marion.CLAIRDELUNE\locals~1\applic~1" :

 

saqyqug.exe trouvé !

saqyqug.dat trouvé !

saqyqug_nav.dat trouvé !

saqyqug_navps.dat trouvé !

 

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :

 

 

* Dans "C:\DOCUME~1\ADMINI~1.POR\locals~1\applic~1" :

 

 

3)Recherche Certificats :

 

Certificat Egroup absent !

Certificat Electronic-Group trouvé !

Certificat Montorgueil absent !

Certificat OOO-Favorit trouvé !

Certificat Sunny-Day-Design-Ltd absent !

 

4)Recherche autres dossiers et fichiers connus :

 

 

 

*** Analyse terminée le 18/12/2008 à 21:23:40,45 ***

 

 

 

-----------\\ ToolBar S&D 1.1.6 XP/Vista

 

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2

X86-based PC ( Uniprocessor Free : Intel® Pentium® M processor 1600MHz )

BIOS : Rev 1.0 XXX

USER : marion ( Administrator )

BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)

Firewall : ZoneAlarm Firewall 7.0.483.000 (Activated)

 

"C:\ToolBar SD" ( MAJ : 30-08-2008|00:19 )

Option : [1] ( 18/12/2008|21:25 )

 

-----------\\ Recherche de Fichiers / Dossiers ...

 

C:\Program Files\AskSBar

C:\Program Files\AskSBar\bar

C:\WINDOWS\Prefetch\SEARCHSETTINGS.EXE-253CB611.pf

C:\DOCUME~1\MARION~1.CLA\APPLIC~1\Search Settings

C:\DOCUME~1\MARION~1.CLA\APPLIC~1\Search Settings\kb127

C:\Program Files\Search Settings

C:\Program Files\Search Settings\kb127

C:\Program Files\Search Settings\SearchSettings.exe

C:\DOCUME~1\MARION~1.CLA\LOCALS~1\Temp\nsy11.tmp

 

-----------\\ Extensions

 

(marion.CLAIRDELUNE) - {E9A1DEE0-C623-4439-8932-001E7D17607D} => ajtoolbar

 

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://www.google.fr/"

"Search Page"="http://recherche.neuf.fr/"

"Search Bar"="http://recherche.neuf.fr/ie/default.html"

"Url"="http://go.microsoft.com/fwlink/?LinkId=68929"

"Url"="http://go.microsoft.com/fwlink/?LinkId=68928"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"

 

 

--------------------\\ Recherche d'autres infections

 

 

C:\DOCUME~1\MARION~1.CLA\LOCALS~1\APPLIC~1\saqyqug.dat

C:\DOCUME~1\MARION~1.CLA\LOCALS~1\APPLIC~1\saqyqug.exe

C:\DOCUME~1\MARION~1.CLA\LOCALS~1\APPLIC~1\saqyqug_nav.dat

C:\DOCUME~1\MARION~1.CLA\LOCALS~1\APPLIC~1\saqyqug_navps.dat

==> EGDACCESS <==

 

[HKLM\SYSTEM\CurrentControlSet\..\{6CE2D873-CC35-4ADB-AF3E-763099E83405}]

NameServer REG_SZ 85.255.112.121;85.255.112.76

[HKLM\SYSTEM\CurrentControlSet\..\{B195154D-2B35-4954-86CA-B1739341ED3A}]

NameServer REG_SZ 85.255.112.121;85.255.112.76

[HKLM\SYSTEM\CurrentControlSet\..\{B38B313A-71CD-42FD-B668-5EF8C510A312}]

NameServer REG_SZ 85.255.112.121;85.255.112.76

[HKLM\SYSTEM\ControlSet001\..\{6CE2D873-CC35-4ADB-AF3E-763099E83405}]

NameServer REG_SZ 85.255.112.121;85.255.112.76

[HKLM\SYSTEM\ControlSet001\..\{B195154D-2B35-4954-86CA-B1739341ED3A}]

NameServer REG_SZ 85.255.112.121;85.255.112.76

[HKLM\SYSTEM\ControlSet001\..\{B38B313A-71CD-42FD-B668-5EF8C510A312}]

NameServer REG_SZ 85.255.112.121;85.255.112.76

[HKLM\SYSTEM\ControlSet002\..\{6CE2D873-CC35-4ADB-AF3E-763099E83405}]

NameServer REG_SZ 85.255.112.121;85.255.112.76

[HKLM\SYSTEM\ControlSet002\..\{B195154D-2B35-4954-86CA-B1739341ED3A}]

NameServer REG_SZ 85.255.112.121;85.255.112.76

[HKLM\SYSTEM\ControlSet002\..\{B38B313A-71CD-42FD-B668-5EF8C510A312}]

NameServer REG_SZ 85.255.112.121;85.255.112.76

[HKLM\SYSTEM\ControlSet003\..\{6CE2D873-CC35-4ADB-AF3E-763099E83405}]

NameServer REG_SZ 85.255.112.121;85.255.112.76

[HKLM\SYSTEM\ControlSet003\..\{B195154D-2B35-4954-86CA-B1739341ED3A}]

NameServer REG_SZ 85.255.112.121;85.255.112.76

[HKLM\SYSTEM\ControlSet003\..\{B195154D-2B35-4954-86CA-B1739341ED3A}]

DhcpNameServer REG_SZ 85.255.112.121;85.255.112.76

[HKLM\SYSTEM\ControlSet003\..\{B38B313A-71CD-42FD-B668-5EF8C510A312}]

NameServer REG_SZ 85.255.112.121;85.255.112.76

==> WAREOUT <==

 

 

 

 

1 - "C:\ToolBar SD\TB_1.txt" - Wed 09/03/2008|21:51 - Option : [1]

2 - "C:\ToolBar SD\TB_2.txt" - Thu 09/04/2008|22:29 - Option : [2]

3 - "C:\ToolBar SD\TB_3.txt" - 18/12/2008|21:29 - Option : [1]

 

-----------\\ Fin du rapport a 21:29:43,86

 

 

A+

[Falkra]

Ok, on nettoie !

Tout doit disparaître !

 

 

** 1 **

 

• Double-clique sur smitfraudfix.exe
  
• Choisis l'option 2 pour créer un rapport des fichiers responsables de l'infection.
  
• Aux questions posées par le programme répondre O (oui) pour effectuer les nettoyages et désinfections proposées.
  
• Le fond d'écran peut être supprimé.
   
  
• Poste le rapport sur le forum dans ta prochaine réponse.
  

 

 

** 2 **

 

• Double-clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
  
• Au menu principal, choisis 2 et valide.
  
• Le programme va t'informer qu'il va alors redémarrer ton PC.
  
• Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts.
  
• Appuie sur une touche comme demandé. Le pc va redémarrer.
  
• Au redémarrage de ton PC, choisis ta session habituelle. Attends le message :

  *** Nettoyage Termine le ..... ***

• Le Bloc-notes va s'ouvrir : sauvegarde le rapport de manière à le retrouver.
  
• Referme le Bloc-notes. Ton bureau va réapparaitre
  

 

PS: Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"

Tape explorer.exe et valide. Cela fera revenir ton bureau.

 

Note:

Si tu ne trouves pas le rapport, il se nomme cleannavi.txt et se trouve dans C:\

 

Ajoute après ça un nouveau rapport HijackThis stp.

 

 

** 3 **

 

Relance Toolbar-S&D. Choisis cette fois l'option "suppression" puis valide en appuyant sur "Entrée".

! Ne ferme pas la fenêtre lors de la suppression !

Un rapport sera généré, poste son contenu ici.

 

NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.

Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."

Tape explorer puis valide.

 

** 4 **

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

NB : Si MBAM te demande à redémarrer, fais-le.