pc lent, fenêtre intempestives, redirection adult friend finder

[Apollo]

Stp pour ne pas me citer à chaque réponse, utilise le bouton Répondre mais celui qui se trouve entre flash et nouveau, merci.

 

Tu as téléchargé Antivir, pourquoi? Ton Nod32 ne fonctionne plus?

Il ne faut pas laisser deux antivirus, désinstalle donc celui que tu décideras.

 

Connecte absolument tes supports amovibles AVANT de passer à la suite.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure : dangereux.

 

>>>Désactive ton antivirus, firewall et antispyware le temps de l'analyse.<<<

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
  
• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

 

@++

[jeanclaude347]

Apollo,

 

Je te réponds avec un autre pc.

Combofix a été téléchargé, exécuté, a installé la console de récupération, a redémarré le système et bloque sur la premiere page noire après avoir fait son checking nvram, son auto detecting puis il affiche pri master : vv44..., ultra dma ... puis sec master : 0100 Hl-DT-STDVD .....

Et le curseur clignote et rien ne se passe.

 

Il m'avait demandé au cas où de noter : (root ?)

 

C:\WINDOWS\System32\drivers\gaopdxxthweecx.sys

 

et

C:\WINDOWS\System32\gaopdxoyqqhxvd.dll

 

Cela me fait un peu peur...

 

Qu'en penses tu ?

 

Merci.

 

JC

[Apollo]

Re,

 

Jamais rencontré ce problème, je pense que tu dois avoir un problème hardware.

 

Tu vas éteindre le pc, avec le gros bouton si nécessaire; attends quelques minutes puis rallume l'ordi.

 

On va faire un scan en ligne si c'est possible, après avoir viré les outils utilisés.

On fait ça dès que tu reviens avec ta machine.

 

++

[jeanclaude347]

Re,

 

Jamais rencontré ce problème, je pense que tu dois avoir un problème hardware.

 

Tu vas éteindre le pc, avec le gros bouton si nécessaire; attends quelques minutes puis rallume l'ordi.

 

On va faire un scan en ligne si c'est possible, après avoir viré les outils utilisés.

On fait ça dès que tu reviens avec ta machine.

 

++

 

 

Re Apollo?

 

Le PC a finalement redémarré.

Il a recommencé à s'exécuter. Il m'avait demandé de desactiver nod32 ce qui m'était impossible vu que je n'avais pas de bureau.

Il s'est exécuté et j'ai voulu te répondre et envoter ComboFix.txt

Est ce que c'est parce que j'essayais de répondre entre flash et nouveau, toujours est il que je n'arrivais pas à joindre le rapport.

 

J'ai remarqué aussi que mon disque dur externe n'était plus allumé.Je l'ai allumé à nouveau et j'ai recommencé un combofix sans nod32.

 

Malheureusement, je crois que tu vas me sermonner, cela a effacé le premier rapport qui faisait dans les 300 à 400 kgs/B

et je n'ai plus que le dernier à t'envoyer.

Sorry, le pire est l'ennemi du bien.

Voici ce qu'il reste :

 

ComboFix 09-02-08.02 - Jean-Claude 2009-02-10 14:41:04.6 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.255.45 [GMT 1:00]

Lancé depuis: c:\documents and settings\Jean-Claude\Bureau\ComboFix.exe

AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated)

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-10 au 2009-02-10 ))))))))))))))))))))))))))))))))))))

.

 

2009-02-10 12:00 . 2009-02-10 12:00 <REP> d-------- c:\program files\FastStone Capture

2009-02-10 12:00 . 2009-02-10 12:00 <REP> d-------- c:\documents and settings\Jean-Claude\Application Data\FastStone

2009-02-10 11:04 . 2009-02-10 11:14 <REP> d-------- c:\program files\Navilog1

2009-02-10 10:10 . 2009-02-10 10:10 <REP> d-------- c:\windows\system32\fr

2009-02-10 10:10 . 2009-02-10 10:10 <REP> d-------- c:\windows\system32\bits

2009-02-10 10:10 . 2009-02-10 10:10 <REP> d-------- c:\windows\l2schemas

2009-02-10 10:08 . 2009-02-10 10:11 <REP> d-------- c:\windows\ServicePackFiles

2009-02-10 10:01 . 2009-02-10 10:01 <REP> d-------- c:\windows\EHome

2009-02-09 23:16 . 2009-02-09 23:16 <REP> d-------- c:\windows\ERUNT

2009-02-09 23:07 . 2009-02-09 23:40 <REP> d-------- C:\SDFix

2009-02-09 17:52 . 2009-02-09 17:52 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2009-02-09 17:52 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-02-09 17:52 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-02-09 16:26 . 2009-02-09 16:26 <REP> d-------- c:\program files\Lavasoft

2009-02-09 16:25 . 2009-02-09 16:25 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard

2009-01-26 19:32 . 2009-01-26 19:32 19,784 --a------ c:\documents and settings\Jean-Claude\Application Data\GDIPFONTCACHEV1.DAT

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-10 00:45 --------- d-----w c:\program files\eMule

2009-02-09 17:05 --------- d-----w c:\program files\Applications

2009-02-09 15:26 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft

2009-01-08 18:48 --------- d-----w c:\program files\Java

2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys

2008-11-19 15:19 19,784 ----a-w c:\documents and settings\elodie\Application Data\GDIPFONTCACHEV1.DAT

2007-08-02 14:27 17,144 ----a-w c:\documents and settings\Antoine\Application Data\GDIPFONTCACHEV1.DAT

.

 

((((((((((((((((((((((((((((( SnapShot_2009-02-10_14.11.57.28 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-02-10 13:39:01 16,384 ----atw c:\windows\temp\Perflib_Perfdata_56c.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-03-28 413696]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [bU]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-08 136600]

"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]

"WiFiCtrl"="c:\program files\Hercules\Hercules WiFi Controller Software\WiFiCtrl.exe" [2006-09-23 11755520]

"snpstd"="c:\windows\vsnpstd.exe" [2003-12-31 40960]

"NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-03-28 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-03-30 267048]

"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-07-01 1447168]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [13/02/2001 08:01:04 83360]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\LimeWire\\LimeWire.exe"=

"c:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\Lavasoft\\Ad-Aware\\Ad-Aware.exe"=

"c:\\Program Files\\Malwarebytes' Anti-Malware\\mbam.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"6667:UDP"= 6667:UDP:TOTOCAM UDP

"6666:TCP"= 6666:TCP:TOTOCAM TCP

 

R0 PzWDM;PzWDM;c:\windows\system32\drivers\PzWDM.sys [02/01/2008 13:54:18 15172]

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [01/07/2008 08:04:40 34312]

R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [01/07/2008 08:02:28 468224]

S3 PSTRIP;PSTRIP;\??\c:\windows\system32\DRIVERS\PSTRIP.SYS --> c:\windows\system32\DRIVERS\PSTRIP.SYS [?]

.

Contenu du dossier 'Tâches planifiées'

 

2009-01-08 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]

.

.

------- Examen supplémentaire -------

.

uStart Page = www.google.be/

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

DPF: {BBF89515-EDB6-4236-8FBB-B6045290076D} - hxxp://tools.ebay.be/easylister/components/ImageUploader4_3-1-3.cab

DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game01.zylom.com/activex/zylomgamesplayer.cab

DPF: {DC75FEF6-165D-4D25-A518-C8C4BDA7BAA6} - hxxp://gamenextfr.oberon-media.com/gameshell/games/channel--110221340/lc--fr/room--4d03114c-9e40-4e58-aa46-581bc014efde/online/diner_dash/fr/DinerDash.1.0.0.80.cab

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-10 14:45:25

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"cd042efbbd7f7af1647644e76e06692b"=hex:c8,28,51,af,b0,29,a3,98,68,9b,a2,6a,56,

5b,af,04,c8,28,51,af,b0,29,a3,98,22,02,4e,09,aa,84,c9,70,e2,63,26,f1,3f,c8,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,09,71,81,d1,b6,

c0,46,0a,71,3b,04,66,8b,46,0d,96,0f,96,4d,95,fe,b3,73,16,6a,9c,d6,61,af,45,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,56,1c,59,a2,c0,

4d,ca,81,25,da,ec,7e,55,20,c9,26,9e,42,3d,5b,08,0b,2d,fa,ff,7c,85,e0,43,d4,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,d3,fa,55,b2,11,

96,4e,3a,3e,1e,9e,e0,57,5a,93,61,5d,62,6c,8b,30,6b,04,86,86,8c,21,01,be,91,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,4f,20,06,b8,42,

18,87,f6,cd,44,cd,b9,a6,33,6c,cd,60,a3,71,9b,e2,21,b4,ca,f5,1d,4d,73,a8,13,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:50,93,e5,ab,ec,6a,4e,ab,b8,8d,8d,a4,76,

e1,3e,a5,b0,18,ed,a7,3f,8d,37,a4,4d,23,e0,30,1a,b4,c0,da,df,20,58,62,78,6b,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"4d370831d2c43cd13623e232fed27b7b"=hex:97,20,4e,9a,c7,f1,35,ee,aa,88,47,68,9c,

49,8f,97,31,77,e1,ba,b1,f8,68,02,6f,31,73,5f,62,9e,76,c0,fb,a7,78,e6,12,2f,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,c5,05,a1,aa,9f,

60,4f,16,83,6c,56,8b,a0,85,96,ab,fb,a9,f6,2f,de,b8,87,88,01,3a,48,fc,e8,04,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:b2,46,9a,e2,1b,fe,1b,94,24,64,78,27,ed,

03,b5,eb,51,fa,6e,91,28,9e,14,cc,aa,56,f5,63,90,c3,80,32,f6,0f,4e,58,98,5b,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"f5f62a6129303efb32fbe080bb27835b"=hex:37,a4,aa,c3,a6,15,56,0a,98,50,20,50,c5,

e8,64,b8,b1,cd,45,5a,a8,c4,f8,b9,98,d2,c7,70,6e,74,06,ee,3d,ce,ea,26,2d,45,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,4b,59,0c,ec,81,

af,b9,2c,e3,0e,66,d5,eb,bc,2f,6b,c7,c2,46,50,0a,c2,78,33,2a,b7,cc,b5,b9,7f,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"8a8aec57dd6508a385616fbc86791ec2"=hex:05,73,21,dd,54,d8,4a,c5,0f,8f,97,ce,20,

84,dd,2b,fa,ea,66,7f,d4,3b,6b,70,6f,f8,a1,47,64,76,7c,c1,6c,43,2d,1e,aa,22,\

.

Heure de fin: 2009-02-10 14:48:36

ComboFix-quarantined-files.txt 2009-02-10 13:48:32

ComboFix2.txt 2009-02-10 13:13:25

ComboFix3.txt 2008-10-08 05:00:01

ComboFix4.txt 2008-07-29 12:39:10

 

Avant-CF: 191.696.490.496 octets libres

Après-CF: 191,687,290,880 octets libres

 

173 --- E O F --- 2009-02-10 09:17:56

 

 

Merci de ta patience

 

Jean-Claude

[Apollo]

Ok on va faire un scan en ligne; laisse bien tes supports amovibles connectés.

 

Désinstalle ComboFix de cette manière en copiant/collant la ligne ci-dessous dans exécuter et valide:

 

ComboFix /u

 

Vire ces dossiers: C:\Qoobox et C:\ComboFix puis vide la corbeille. (si tu les trouvais encore).

 

On reprendra Hijackthis après car il va être viré:

 

Pour désinstaller les outils utilisés:

 

Télécharger ToolsCleaner! de A.Rothstein pour enlever les programmes utilisés pendant la procédure.

http://pc-system.fr/TC/ToolsCleaner2.exe

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant qu' Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

 

Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, cliquez sur "Suppression" afin de les supprimer.

Fermez le programme en cliquant sur "Quitter ".

 

Postez le rapport qui se trouve ici >>> C:\TCleaner.txt

 

****************

Assure toi que la console Java est bien la plus récente; pour le savoir rends-toi sur cette page et clique sur Vérifier la version de Java -> http://www.java.com/fr/download/installed.jsp -> Il te sera indiqué si tu dois installer la dernière version.

Si tu installes une nouvelle version Java, désinstalle toutes les plus anciennes via ajout/suppr de programmes.

 

Fais un scan en ligne avec Kaspersky.

 

TUTO: http://www.vista-xp.fr/forum/topic109.html

 

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Patiente le temps d'installation du Webscanner.
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

@++

[jeanclaude347]

Bonjour Apollo, (je ne me trompe plus depuis un certain temps : avec un seul p)

 

Tout d'abord, je voudrais te dire que la grosse artillerie, Combofix, a fait des merveilles.

 

Je me connecte sur le site Zebulon, avant je recevais deux fenêtres pop-up, maintenant aucune.

Par curiosité, j'essaye de mettre MBAM à jour ; celle-ci s'effectue sans problème.

Je me connecte à un site qui me redirigeait automatiquement vers Adult machin chouette ; plus de redirection.

 

Bref tout semble clean.

 

Pour te tenir au courant des démarches, voici les rapports que tu m'avais demandé

 

Tool Cleaner avant suppression :

 

[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

 

-->- Recherche:

 

C:\fixnavi.txt: trouvé !

C:\cleannavi.txt: trouvé !

C:\Documents and Settings\Administrateur\Bureau\Dss.exe: trouvé !

C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: trouvé !

C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: trouvé !

C:\Documents and Settings\Administrateur\Bureau\HJTInstall.exe: trouvé !

C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !

C:\Documents and Settings\Jean-Claude\Bureau\SdFix.exe: trouvé !

C:\Documents and Settings\Jean-Claude\Bureau\Navilog1.exe: trouvé !

C:\Documents and Settings\Jean-Claude\Bureau\HijackThis.exe: trouvé !

C:\Documents and Settings\Jean-Claude\Bureau\Combofix.txt: trouvé !

C:\Documents and Settings\Jean-Claude\Bureau\hijackthis.log: trouvé !

C:\Documents and Settings\Jean-Claude\Bureau\fixnavi.txt: trouvé !

C:\Documents and Settings\Jean-Claude\Bureau\cleannavi.txt: trouvé !

C:\Documents and Settings\Jean-Claude\Bureau\SmitFraudfix: trouvé !

C:\Documents and Settings\Jean-Claude\Recent\HijackThis.lnk: trouvé !

C:\Program Files\Navilog1: trouvé !

C:\Program Files\Navilog1\Navilog1.bat: trouvé !

C:\Program Files\Trend Micro\HijackThis: trouvé !

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

 

et voici le C:\TCleaner.txt

 

[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

 

-->- Recherche:

 

C:\fixnavi.txt: trouvé !

C:\cleannavi.txt: trouvé !

C:\Documents and Settings\Administrateur\Bureau\Dss.exe: trouvé !

C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: trouvé !

C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: trouvé !

C:\Documents and Settings\Administrateur\Bureau\HJTInstall.exe: trouvé !

C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !

C:\Documents and Settings\Jean-Claude\Bureau\SdFix.exe: trouvé !

C:\Documents and Settings\Jean-Claude\Bureau\Navilog1.exe: trouvé !

C:\Documents and Settings\Jean-Claude\Bureau\HijackThis.exe: trouvé !

C:\Documents and Settings\Jean-Claude\Bureau\Combofix.txt: trouvé !

C:\Documents and Settings\Jean-Claude\Bureau\hijackthis.log: trouvé !

C:\Documents and Settings\Jean-Claude\Bureau\fixnavi.txt: trouvé !

C:\Documents and Settings\Jean-Claude\Bureau\cleannavi.txt: trouvé !

C:\Documents and Settings\Jean-Claude\Bureau\SmitFraudfix: trouvé !

C:\Documents and Settings\Jean-Claude\Recent\HijackThis.lnk: trouvé !

C:\Program Files\Navilog1: trouvé !

C:\Program Files\Navilog1\Navilog1.bat: trouvé !

C:\Program Files\Trend Micro\HijackThis: trouvé !

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

 

---------------------------------

-->- Suppression:

 

C:\Documents and Settings\Administrateur\Bureau\Dss.exe: supprimé !

C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: supprimé !

C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: supprimé !

C:\Documents and Settings\Administrateur\Bureau\HJTInstall.exe: supprimé !

C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: supprimé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !

C:\Documents and Settings\Jean-Claude\Bureau\SdFix.exe: supprimé !

C:\Documents and Settings\Jean-Claude\Bureau\Navilog1.exe: supprimé !

C:\Documents and Settings\Jean-Claude\Bureau\HijackThis.exe: supprimé !

C:\Documents and Settings\Jean-Claude\Recent\HijackThis.lnk: supprimé !

C:\Program Files\Navilog1\Navilog1.bat: supprimé !

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !

C:\fixnavi.txt: supprimé !

C:\cleannavi.txt: supprimé !

C:\Documents and Settings\Jean-Claude\Bureau\Combofix.txt: supprimé !

C:\Documents and Settings\Jean-Claude\Bureau\hijackthis.log: supprimé !

C:\Documents and Settings\Jean-Claude\Bureau\fixnavi.txt: supprimé !

C:\Documents and Settings\Jean-Claude\Bureau\cleannavi.txt: supprimé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !

C:\Documents and Settings\Jean-Claude\Bureau\SmitFraudfix: supprimé !

C:\Program Files\Navilog1: supprimé !

C:\Program Files\Trend Micro\HijackThis: supprimé !

 

 

Sur le bureau il me reste RHosts et son fichier catchme que voici :

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-10 14:41:37

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

si ce fichier est bien le produit de RHosts.

 

Suivant tes recommandations, j'ai installé Java 6.12 et supprimé les mises à jour précédentes.

 

J'ai fait un scan online chez Kaspersky dont voici le rapport :

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Tuesday, February 10, 2009

Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Tuesday, February 10, 2009 14:29:47

Records in database: 1778451

--------------------------------------------------------------------------------

 

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

 

Scan area - My Computer:

A:\

C:\

D:\

E:\

F:\

 

Scan statistics:

Files scanned: 81429

Threat name: 1

Infected objects: 1

Suspicious objects: 0

Duration of the scan: 02:38:37

 

 

File name / Threat name / Threats count

C:\Documents and Settings\Jean-Claude\Application Data\Sun\Java\Deployment\cache\6.0\46\4b176bee-249ec651 Infected: Exploit.Java.Gimsh.a 1

 

The selected area was scanned.

 

 

Voilà Apollo.

 

Je suppose que je vais devoir recharger HijackThis puisque tu me disais que nous en aurions encore besoin.

Je voudrais dire encore une fois combien je suis désolé d'avoir paumé le premier rapport ComboFix puisque c'est celui qui devait t'intéresser au plus haut point.

Problème de presse papier peut-être, j'avais essayé de le coller trois fois avant de le relancer et toujours ce foutu sablier interminable.

 

J'attends tes instructions.

 

Merci.

 

Jean-Claude

[Apollo]

Bonjour,

 

Oui c'est dommage pour le rapport ComboFix; il ne faut pas hésiter à poster le rapport en plusieurs posts à la suite lorsqu'il est trop long, car c'est sûrement pour cette raison que tu n'as pas réussi le collé ici.

 

L'espace d'un post a des limites et tu devais avoir une sacrée infection pour générer un truc aussi lourd.

 

On va vérifier si le scan de Kaspersky ne donne pas un faux-positif par un scan en ligne mais qui désinfecte.

 

http://www.eset.com/onlinescan/ Tu dois choisir de traîter les objets découverts donc tu cocheras la case du dessus lorque tu auras le choix de scanner.

 

Retélécharge HJT et poste un log après le scan en ligne stp.

 

Télécharge HijackThisV2 sur ton bureau.

• Double-clique sur HJTInstall.exe et suis les instructions d'installation.
  --> Sous VISTA: faire un clic droit/exécuter en temps qu'administrateur.
  
• Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici
  
• Lance le, valide le message d'avertissement, puis clique sur Do a system scan and save a logfile.
  
• A la fin de l'analyse, le bloc-notes va s'ouvrir. Copie-colle tout son contenu ici à la suite.
  
• Poste le rapport généré sur le forum.
  

 

@++

[jeanclaude347]

Apollo,

 

Eset en ligne n'a rien trouvé ;Threath found 0

 

Voici le log de HJT :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:37:08, on 11/02/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\Program Files\Hercules\Hercules WiFi Controller Software\WiFiCtrl.exe

C:\WINDOWS\vsnpstd.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\internet explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.be/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [WiFiCtrl] C:\Program Files\Hercules\Hercules WiFi Controller Software\WiFiCtrl.exe min

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: VPN Client.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD7/JSCDL/jdk...ows-i586-jc.cab

O16 - DPF: {BBF89515-EDB6-4236-8FBB-B6045290076D} (Image Uploader ShellCombo Control) - http://tools.ebay.be/easylister/components...ader4_3-1-3.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://gamenextfr.oberon-media.com/Gameshe...ronGameHost.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {DC75FEF6-165D-4D25-A518-C8C4BDA7BAA6} (CPlayFirstDinerDashControl Object) - http://gamenextfr.oberon-media.com/gameshe...sh.1.0.0.80.cab

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

 

--

End of file - 6806 bytes

 

 

Juste avant de lancer le scan en ligne, mon Eset/Nod32venait de me dire qu'il avait collé une infection

System32\PRCView en quarantaine.

Le petit message a disparu avant que je ne puisse le noter.

Je dis cela en passant, au cas où ...

 

A te lire,

 

J-C

[jeanclaude347]

Apollo,

 

Je sais pas si c'est normal ou pas.

 

 

A nouveau Eset qui me dit :

 

C:\System\Volume information\_restore{3F3B9F28-6E4D-48FB-9775-58887BC51360}\RP382\A0198947.exe

 

Threat Win32/PrcView application

 

Cleaned by deleting/quarantined

[Apollo]

Re,

 

Désactive puis réactive la restauration du système sur tous les lecteurs.

 

Désactivation de la Restauration du système

Pour désactiver la Restauration du système, procédez comme suit : 1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.

2. Cliquez sur l'onglet Restauration du système.

3. Activez la case à cocher Désactiver la Restauration du système (ou la case à cocher Désactiver la Restauration du système sur tous les lecteurs), puis cliquez sur OK.

4. Cliquez sur Oui lorsque vous êtes invité à désactiver la Restauration du système.

 

Activation de la Restauration du système

Pour activer la Restauration du système, procédez comme suit : 1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.

2. Cliquez sur l'onglet Restauration du système.

3. Désactivez la case à cocher Désactiver la Restauration du système (ou la case à cocher Désactiver la Restauration du système sur tous les lecteurs), puis cliquez sur OK.

 

 

Les points infectés seront supprimés et un nouveau point sera créé.

 

Je dois m'absenter, je ne sais trop combien de temps.

 

T'en fais pas trop quand-même.

 

@++