[résolu] Impossible de lancer REGEDIT, CMD + liens Internet détournés

[badak]

Problème: Impossible de lancer certains programmes comme REGEDIT, CMD, ou même l'utilitaire de nettoyage "navilog"

A chaque fois qu'on essaye, explorer.exe se réinitialise en effaçant le bureau pendant 1 ou 2 secondes.

Par contre, je peux accéder à la base de registre avec un autre programme si nécessaire, ou au gestionanire des taches, ainsi qu'à MSconfig

 

Par IE7, certains liens Internet sont détournés vers ce site (entre autres): http://stabilityscandirect.co........

 

J'ai fait du nettoyage tmp, réinitialisé IE7, j'ai passé l'antivirus "trend micro office scan" et aussi "Malwarebytes' Anti-Malware", les 2 ont nettoyés des éléments (Trojan.FakeAlert et TRojan.alert) mais j'ai toujours les mêmes problèmes.

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:02:39, on 09/03/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe

C:\Program Files\Canon\DIAS\CnxDIAS.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\GBEAN\Bureau\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll

O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [iAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

O4 - HKLM\..\Run: [PDF Complete] "C:\Program Files\PDF Complete\pdfsty.exe"

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [PTHOSTTR] C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule

O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [bEWINTERNET-FR-DMESessionManager] C:\Program Files\OrangeBS\BEWInternet\SessionManager\SessionManager.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: LUMIX Simple Viewer.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = michel.com

O17 - HKLM\Software\..\Telephony: DomainName = michel.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = michel.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = michel.com

O20 - AppInit_DLLs: APSHook.dll

O20 - Winlogon Notify: OneCard - C:\Program Files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Canon Driver Information Assist Service - CANON INC. - C:\Program Files\Canon\DIAS\CnxDIAS.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe

O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe

O23 - Service: OCS INVENTORY SERVICE (OCS INVENTORY) - http://www.ocsinventory-ng.org - C:\Program Files\OCS Inventory Agent\ocsservice.exe

O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe

O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Program Files\UltraVNC\WinVNC.exe

 

--

End of file - 8115 bytes

Modifié le 12 mai 2009 par badak

[pear]

Bonjour,

 

Essayez ceci:

 

Téléchargez Toolbar-S&D sur le Bureau.

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

 

Lancez l'installation du programme en exécutant le fichier téléchargé.

Redémarrez en mode sans échec

Double-cliquez sur le raccourci de Toolbar-S&D.

Sélectionnez la langue souhaitée en tapant la lettre de votre choix puis en validant avec la touche Entrée.

Choisisssez l'option 1 (Recherche).

Patientez jusqu'à la fin de la recherche.

Postez le rapport généré. (C:\TB.txt)

Relancez Toolbar-S&D en double-cliquant sur le raccourci. Tapez sur "2" et validez par"Entrée".

Ne fermez pas la fenêtre lors de la suppression !

Un rapport sera généré,

postez son contenu ici.

NOTE : Si le Bureau ne réapparait pas, appuyer simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.

Allez à l'onglet "Processus". Cliquez en haut à gauche sur Fichier ->"Exécuter..."

Tapez explorer et validez.

[DJ2012]

salut badak, au passage: tu a quel version d'OfficeScan?

 

Regarde dans les options du scan manuel si IntelliTrap est bien coché sinon refait un scan complet.

 

Regarde aussi si tu n'a pas ces dossiers ou fichiers

 

%Program Files%\Antivirus 2009

%Start Menu%\Antivirus 2009

%Temp%\systemsecurity.exe

 

Sinon je te recommande un scan avec Prevx: http://info.prevx.com/downloadcsi.asp

 

Tu est effectivement infecté par InternetAntivirus (alias: Winwebsec) et demain tu serra redirigé vers un autre site.

 

Tous les jours un nouveau site (faux scanner) et une variante du fichier avec quelque bytes en moin est crée ce qui fait que les antivirus ne les detecte pas tous.

 

Fait moi signe! a+

 

DJ2012

Modifié le 10 mars 2009 par Qc001
voir mon post (le suivant)

[Mark]

Bonjour DJ2012 ;

 

Tu n'avais peut-être pas vu/lu l'intervention de pear juste au-dessus de la tienne (?)

 

Je t'invite donc à lire notre mini Faq de section attentivement ; c'est par là >>

http://forum.zebulon.fr/faq-fonctionnement...on-t158392.html

 

Tout est bien expliqué. Merci.

 

badak : désolé pour toute confusion possible. Ça ne se reproduira plus.

 

Bonne continuation à vous deux

[DJ2012]

Tu n'avais peut-être pas vu/lu l'intervention de pear juste au-dessus de la tienne (?)

Salut Qc001, merci pour l'info. La 'réponse de pear' sur installer Toolbar-S&D et postez le rapport généré sur le forum je l'ai tres bien lue.

 

Sur la page FAQ c'est bien expliquée et véridique, tout le monde ne donne pas son avis comme ça sur une infection.

 

Ce que je peut dire c'est qu'il y a peu de chance avec Toolbar-S&D de trouver cette infection mais plus avec la réponse que j'ai fournie a badak.

 

Merci, bonne journée.

[pear]

Ce que je peut dire c'est qu'il y a peu de chance avec Toolbar-S&D de trouver cette infection mais plus avec la réponse que j'ai fournie a badak.

 

Ce logiciel a d'autres vertus et ,en particulier, de dire s'il y a des rootkits(tdss, bagle .etc..).

Et c'est pour cette seule raison que je l'ai préconisé.

[badak]

merci pour vos réponses.

 

Quand j'exécute Toolbar-S&D en mode sans échec (en mode normal aussi), il s'arrête à chaque fois sur le scan de la base de registre. le pc n'est pas bloqué mais le scan n'avance plus.

[pear]

Je le craignais!

 

On va tenter autrement.

Faites bien attention, le renommage est très important

 

Renommer ComboFix

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

Clic droit sur http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisir "Enregistrer la cible du lien..sous...."

Choisir le bureau

En bas, à Nom du Fichier:

tapez par exemple votrenom.exe

Cliquez enfin sur -> Enregistrer

Sur le bureau

Lancez Combofix en double cliquant sur votrenom.exe

En cas de problème, :

méthode illustrée

 

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage.

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed.

La console de Récupération

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoiil vous est instament conseillé d' installer d'abord la Console de Récupération sur le pc .

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

 

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

* Lorsque ce sera terminé, un message vous dira que la Console a bien été installée puis un rapport nommé CF_RC.txt va s'afficher:

postez en le contenu .

 

Vous allez télécharger Combofix.

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer,lisez ce Mode opératoire:

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs ,Teatimer de Spybot car ils pourraient perturber le fonctionnement de cet outil

Pour éviter leur réactivation après un redémarrage, décochez les dans les options de démarrage ->MsconfigM

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Connecter tous les disques amovibles (disque dur externe, clé USB…).

*Double cliquer sur combofix.exe ou votrenom .exe pour le lancer.

 

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

 

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

[badak]

Voici le rapport

 

JE NOTE QUE CMD et REGEDIT fonctionne a nouveau, je vais voir si les détournemensts de liens internet ont disparu aussi.

 

ComboFix 09-03-10.01 - gbean 2009-03-11 9:57:03.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2039.1637 [GMT 1:00]

Lancé depuis: c:\documents and settings\GBEAN\Bureau\CF.exe

AV: F-Secure Anti-Virus Client Security 6.03 *On-access scanning enabled* (Updated)

AV: Trend Micro OfficeScan Client *On-access scanning disabled* (Updated)

FW: Pare-feu pour client - version d'entreprise Trend Micro OfficeScan *disabled*

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\ftg.hyb

c:\windows\system32\ntnet.drv

c:\windows\system32\win32hlp.cnf

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-11 au 2009-03-11 ))))))))))))))))))))))))))))))))))))

.

 

2009-03-11 09:00 . 2009-03-11 09:00 <REP> d-------- c:\program files\Enigma Software Group

2009-03-11 08:46 . 2009-03-11 08:46 <REP> d-------- c:\program files\Prevx

2009-03-11 08:46 . 2009-03-11 09:29 <REP> d-------- c:\documents and settings\All Users\Application Data\PrevxCSI

2009-03-11 08:46 . 2009-03-11 08:46 64 --a------ c:\windows\wininit.ini

2009-03-10 11:32 . 2009-03-10 11:26 343,017 --a------ C:\ToolBarSD.exe

2009-03-10 11:31 . 2009-03-11 09:33 <REP> d-------- C:\ToolBar SD

2009-03-09 17:47 . 2009-03-09 17:47 <REP> d-------- C:\fsaua.data

2009-03-09 17:44 . 2009-03-09 17:44 <REP> d--h----- c:\windows\system32\GroupPolicy

2009-03-09 17:39 . 2009-03-09 17:39 <REP> d-------- c:\program files\jv16 PowerTools

2009-03-09 17:15 . 2007-08-03 09:50 <REP> d--h----- c:\documents and settings\Administrateur.PORTABLE_GBEAN.001\Voisinage réseau

2009-03-09 17:15 . 2007-08-03 09:50 <REP> d--h----- c:\documents and settings\Administrateur.PORTABLE_GBEAN.001\Voisinage d'impression

2009-03-09 17:15 . 2007-08-03 09:01 <REP> d--h----- c:\documents and settings\Administrateur.PORTABLE_GBEAN.001\Modèles

2009-03-09 17:15 . 2009-03-09 17:15 <REP> dr------- c:\documents and settings\Administrateur.PORTABLE_GBEAN.001\Mes documents

2009-03-09 17:15 . 2007-08-03 09:50 <REP> dr------- c:\documents and settings\Administrateur.PORTABLE_GBEAN.001\Menu Démarrer

2009-03-09 17:15 . 2009-03-09 17:15 <REP> dr------- c:\documents and settings\Administrateur.PORTABLE_GBEAN.001\Favoris

2009-03-09 17:15 . 2007-08-03 09:50 <REP> d-------- c:\documents and settings\Administrateur.PORTABLE_GBEAN.001\Bureau

2009-03-09 17:15 . 2009-03-09 17:15 <REP> d-------- c:\documents and settings\Administrateur.PORTABLE_GBEAN.001

2009-03-09 17:03 . 2004-08-05 13:00 400,896 --a------ c:\windows\system32\cmd2.exe

2009-03-09 15:48 . 2009-03-09 15:48 <REP> d-------- c:\documents and settings\GBEAN\Application Data\Malwarebytes

2009-03-09 15:48 . 2009-03-09 15:48 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-03-09 15:28 . 2009-03-09 15:28 <REP> d-------- c:\program files\Navilog1

2009-03-09 10:40 . 2009-03-09 10:40 <REP> d-------- c:\program files\Skyline

2009-03-09 10:38 . 2009-03-09 16:00 <REP> d-------- c:\windows\system32\CatRoot_bak

2009-03-09 10:05 . 2009-03-09 10:37 <REP> d-------- c:\windows\LastGood(2)

2009-03-09 09:52 . 2009-03-09 09:52 <REP> d-------- c:\windows\l2schemas

2009-03-09 09:51 . 2009-03-09 09:51 <REP> d-------- c:\windows\ServicePackFiles

2009-03-09 09:49 . 2006-12-29 07:32 67,866 --------- c:\windows\system32\drivers\netwlan5.img

2009-03-09 09:49 . 2006-12-29 07:51 64,352 --------- c:\windows\system32\drivers\ativmc20.cod

2009-03-09 09:49 . 2006-12-28 12:01 19,569 --a------ c:\windows\002936_.tmp

2009-03-09 09:43 . 2009-03-09 10:40 <REP> d-------- c:\documents and settings\Administrateur.PORTABLE_GBEAN.000\Modèles

2009-03-09 09:43 . 2009-03-09 10:40 <REP> d---s---- c:\documents and settings\Administrateur.PORTABLE_GBEAN.000

2009-03-09 09:40 . 2009-03-09 10:40 <REP> d-------- c:\program files\Navilog1(2)

2009-03-05 16:16 . 2009-03-09 10:40 <REP> d-------- c:\documents and settings\Administrateur.PORTABLE_GBEAN\Modèles

2009-03-05 16:16 . 2009-03-09 10:40 <REP> d---s---- c:\documents and settings\Administrateur.PORTABLE_GBEAN

2009-03-05 14:42 . 2009-03-09 10:40 <REP> d-------- c:\program files\Skyline(2)

2009-02-27 09:58 . 2004-08-03 23:08 31,616 --a------ c:\windows\system32\drivers\usbccgp.sys

2009-02-27 09:58 . 2004-08-03 23:08 31,616 --a--c--- c:\windows\system32\dllcache\usbccgp.sys

2009-02-27 09:00 . 2009-02-27 09:03 <REP> d-------- c:\documents and settings\GBEAN\Application Data\U3

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-11 09:00 --------- d-----w c:\program files\OCS Inventory Agent

2009-03-11 08:28 --------- d-----w c:\program files\UltraVNC

2009-03-09 09:40 --------- d-----w c:\program files\Spybot - Search & Destroy

2009-03-09 09:40 --------- d-----w c:\program files\Google

2009-03-09 09:40 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-03-09 09:40 --------- d-----w c:\documents and settings\All Users\Application Data\Skyline

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-05-03 138008]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-05-03 162584]

"Persistence"="c:\windows\system32\igfxpers.exe" [2007-05-03 138008]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-12 827392]

"Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2007-01-02 40960]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]

"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-05-02 163840]

"PDF Complete"="c:\program files\PDF Complete\pdfsty.exe" [2007-05-08 331552]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]

"PTHOSTTR"="c:\program files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2007-01-09 145184]

"CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 17920]

"WatchDog"="c:\program files\InterVideo\DVD Check\DVDCheck.exe" [2007-05-23 192512]

"BEWINTERNET-FR-DMESessionManager"="c:\program files\OrangeBS\BEWInternet\SessionManager\SessionManager.exe" [2007-05-15 81920]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-09-01 282624]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"OfficeScanNT Monitor"="c:\program files\Trend Micro\OfficeScan Client\pccntmon.exe" [2005-04-09 335872]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-02-06 561213]

LUMIX Simple Viewer.lnk - c:\program files\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe [2008-03-09 57344]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]

2007-02-07 00:30 74240 c:\program files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=APSHook.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Notification Packages REG_MULTI_SZ scecli ASWLNPkg

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3914406163-798979396-1827139313-1163\Scripts\Logon\0\0]

"Script"=\\192.168.33.1\netlogon\srv-com.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\OrangeBS\\BEWInternet\\Connectivity\\ConnectivityManager.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

 

R2 ASBroker;Courtier de session de connexion;c:\windows\System32\svchost.exe -k Cognizance [2004-08-05 14336]

R2 ASChannel;Canal de communication local;c:\windows\System32\svchost.exe -k Cognizance [2004-08-05 14336]

R2 OCS INVENTORY;OCS INVENTORY SERVICE;c:\program files\OCS Inventory Agent\OcsService.exe [2008-04-21 69632]

R2 pdfcDispatcher;PDF Document Manager;c:\program files\PDF Complete\pdfsvc.exe [2007-08-10 540448]

R2 TmFilter;Trend Micro Filter;c:\program files\Trend Micro\OfficeScan Client\tmxpflt.sys [2005-02-18 205328]

R2 TmPreFilter;Trend Micro PreFilter;c:\program files\Trend Micro\OfficeScan Client\tmpreflt.sys [2005-02-18 36368]

R3 Eacfilt;Eacfilt Miniport;c:\windows\system32\drivers\eacfilt.sys [2008-02-07 11113]

S0 upekuorf;upekuorf;c:\windows\system32\drivers\djeunmm.sys --> c:\windows\system32\drivers\djeunmm.sys [?]

S3 GTFFBUS;GT FF BUS;c:\windows\system32\drivers\gtffbus.sys [2007-10-25 17152]

S3 GTMNDISIRPXP;GT M 3G+ IRP NDIS;c:\windows\system32\drivers\Gtm51Irp.sys [2007-10-25 122240]

S3 GTPTSER;GT PT SER;c:\windows\system32\drivers\gtptser.sys [2007-10-25 8064]

S3 GTUQBUS;GT UQ BUS;c:\windows\system32\drivers\gtuqbus.sys [2007-10-25 36992]

S3 HP24X;HP PC Card Smart Card Reader;c:\windows\system32\drivers\HP24X.sys [2007-08-03 33024]

S3 IPSECEXT;Nortel Extranet Access Protocol;c:\windows\system32\drivers\ipsecw2k.sys [2008-02-07 216459]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

Cognizance REG_MULTI_SZ ASBroker ASChannel

.

Contenu du dossier 'Tâches planifiées'

 

2009-01-29 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2006-08-29 14:21]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKLM-Run-Logitech Hardware Abstraction Layer - KHALMNPR.EXE

 

 

.

------- Examen supplémentaire -------

.

uStart Page = www.google.fr/

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-11 10:00:33

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe??????????????@? ????N????????@???????@

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher]

"ImagePath"="c:\program files\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(1692)

c:\program files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

c:\program files\Hewlett-Packard\IAM\bin\ItMsg.dll

 

- - - - - - - > 'lsass.exe'(1748)

c:\program files\Hewlett-Packard\IAM\bin\ASWLNPkg.dll

c:\program files\Hewlett-Packard\IAM\bin\ItMsg.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

c:\windows\system32\scardsvr.exe

c:\program files\Canon\DIAS\CnxDIAS.exe

c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

c:\program files\Intel\Intel Matrix Storage Manager\IAANTmon.exe

c:\program files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe

c:\program files\Trend Micro\OfficeScan Client\NTRtScan.exe

c:\program files\Trend Micro\OfficeScan Client\TmListen.exe

c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe

c:\program files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe

c:\windows\temp\YEFBBB.EXE

c:\windows\system32\userinit.exe

c:\program files\Hewlett-Packard\IAM\Bin\asghost.exe

c:\windows\system32\igfxsrvc.exe

c:\program files\OrangeBS\BEWInternet\Launcher\Launcher.exe

c:\progra~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe

c:\program files\OrangeBS\BEWInternet\Systray\SystrayApp.exe

c:\program files\OrangeBS\BEWInternet\Connectivity\ConnectivityManager.exe

c:\program files\OrangeBS\BEWInternet\Phonetools\TextMessaging.exe

c:\program files\OrangeBS\BEWInternet\Deskboard\Deskboard.exe

c:\program files\OrangeBS\BEWInternet\Connectivity\corecom\CoreCom.exe

c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe

c:\program files\OrangeBS\BEWInternet\Connectivity\corecom\OraConfigRecover.exe

.

**************************************************************************

.

Heure de fin: 2009-03-11 10:03:28 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-03-11 09:03:25

 

Avant-CF: 129 839 652 864 octets libres

Après-CF: 129,858,265,088 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

206 --- E O F --- 2008-12-16 18:18:08

Modifié le 11 mars 2009 par badak

[pear]

Bonjour,

 

 

 

Copier/coller ce qui suit dans le bloc notes,

sans ligne blanche au début.

Enregistrez sur le bureau sous regis.reg.

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]

"DisableMonitoring"=-

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]

"DisableMonitoring"=-

 

process.exe, dans Smitfraudfix, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

# Vous devez donc désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

[ b]Si vous êtes Sous Vista:[/b]

Désactivez le contrôle des comptes utilisateurs (Vous le réactiverez par la suite):

http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html

- Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

Sous Xp, vous faites la suite.

 

Télécharger SmitfraudFix sur le Bureau

Miroirs: si vous avez un problème pour télécharger, utilisez ces sites miroirs officiels qui hébergent aussi la dernière version:

http://siri.geekstogo.com/SmitfraudFix.exe

http://downloads.securitycadets.com/SmitfraudFix.exe

 

option 1 - Recherche :

Double cliquer sur smitfraudfix.exe

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

Poster le rapport sur le forum.

 

option 2 -Nettoyage :

Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ).

Double cliquer sur smitfraudfix.exe

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

Redémarrer en mode normal et poster le rapport sur le forum.

 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Attention que l'option 2 de l'outil supprime le fond d'écran !

Poster le rapport(c:\rapport.txt)

 

Dans Hijackthis,cochez ces lignes puis clic sur Fix checked

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: LUMIX Simple Viewer.lnk = ?

O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = michel.com

O17 - HKLM\Software\..\Telephony: DomainName = michel.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = michel.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = michel.com

 

 

 

Téléchargez Malwarebytes' Anti-Malware (MBAM)

[branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Si la mise à jour automatique échouait pour une raison quelconque,par exemple une installation de Mbam sur clé usb,

Téléchargez la mise à jour ici

double-cliquer sur le fichier mbam-rules.exe pour installer la mise à jour

 

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.