[Resolu]Quelque chose a changé à mon insu dans le pc

[magaly]

http://www.ask.com/web?o=101701&l=dis&...r&qsrc=2870

 

http://toolbar.ask.com/toolbarv/askRedirec...orum.zebulon.fr

 

 

Voilà ce que j'ai copié pour vous de la bibliothèque dans historique losque j'ai tenté de réouvrir une page pour venir sur le forum

A+ je vais faire ce que vous m'avez demandé avec Toolbar-S&D

[magaly]

Voilà, le rapport obtenu

 

-----------\\ ToolBar S&D 1.2.8 XP/Vista

 

 

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )

Option : [2] ( 14/05/2009|21:31 )

 

-----------\\ Recherche de Fichiers / Dossiers ...

 

 

-----------\\ Extensions

 

(magaly) - {3d7eb24f-2740-49df-8937-200b1cc08f8a} => flashblock

(magaly) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus

(magaly) - {fce36c1e-58d8-498a-b2a5-66ad1cedebbb} => customizegoogle

 

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"'>http://go.microsoft.com/fwlink/?LinkId=69157"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Search Bar"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"SearchMigratedDefaultURL"="http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"

"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"'>http://go.microsoft.com/fwlink/?LinkId=54896"

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Start Page"="http://www.msn.com/"

 

 

--------------------\\ Recherche d'autres infections

 

 

Aucune autre infection trouvée !

 

 

1 - "C:\ToolBar SD\TB_1.txt" - 14/05/2009|19:48 - Option : [1]

2 - "C:\ToolBar SD\TB_2.txt" - 14/05/2009|21:33 - Option : [2]

 

-----------\\ Fin du rapport a 21:33:21,46

[Apollo]

L'analyse que tu as faite avec MBAM, c'était une complète?

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

[*]Double-clique sur RSIT.exe afin de lancer RSIT.

 

Sous VISTA: clic droit/exécuter en temps qu'administrateur.

[*]Clique Continue à l'écran Disclaimer.

[*]Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

[*]Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)

++

[magaly]

Re

Depuis un moment ,le téléchargement de ce RSIT n'avance plus. Il reste bloqué à 96% .

 

Pour l'analyse MBAM, oui j avais fait un examen complet juste après une mise à jour et j'avais déconnecté physiquement le pc du net.

[Apollo]

C'est bien avec Firefox que ce phénomène se produit? Pas avec Explorer?

 

Pour Firefox, essayer ceci:

 

1 Taper dans la barre url about:config

Cette action permet de voir s'afficher tous les paramètres de configuration de firefox.

 

2 Acquiescer à la mise en garde qui s'affiche

La liste des paramètres de configuration de firefox s'affiche alors...

 

3 Trouver keyword.url

Vous découvrirez alors que ce champs vous redirige vers une url de Ask.com !

 

4. Double clicker sur keyword.url et changer la valeur (par exemple, pour avoir comme moteur de recherche google, il suffit d'entrer http://www.google.com/search?q=

 

Remarque supplémentaire : vous trouverez des champs prenant comme valeur Ask, ce qui ne signifie pas que ces champs font référence à Ask.com

Il ne faut donc pas toucher à ces champs...

 

Essaie toujours ça et dis-moi ce que ça donne.

 

++

[magaly]

Oui , c'est avec firefox.

Entre temps, j'ai cliqué sur pause dans le téléchargement, puis relancé et ça a continué le reste du téléchargement.

Voilà le rapport que vous demandiez

 

 

 

Logfile of random's system information tool 1.06 (written by random/random)

Run by magaly at 2009-05-14 22:14:05

Microsoft Windows XP Professionnel Service Pack 2

System drive C: has 12 GB (60%) free of 20 GB

Total RAM: 247 MB (22% free)

 

HijackThis download failed

 

======Scheduled tasks folder======

 

C:\WINDOWS\tasks\Vérifier les mises à jour de Windows Live Toolbar.job

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

Java Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-09 73728]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2005-06-21 126976]

"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2005-06-21 155648]

"TkBellExe"=C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe [2008-11-23 185872]

"ZoneAlarm Client"=C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe [2008-07-09 919016]

"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-03-09 148888]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

C:\Program Files\Windows Live\Messenger\msnmsgr.exe /background []

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"MDM"=2

"SharedAccess"=2

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]

C:\WINDOWS\system32\igfxsrvc.dll [2005-06-21 348160]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=145

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d7abf48-9318-11dd-8767-00eeb10281bb}]

shell\AutoRun\command - wscript.exe .\.vbs

shell\open\command - wscript.exe .\.vbs

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d7abf7b-9318-11dd-8767-00eeb10281bb}]

shell\AutoRun\command - wscript.exe .\.vbs

shell\open\command - wscript.exe .\.vbs

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d215aae-20d9-11de-919a-00eeb10281bb}]

shell\AuTOplAY\command - nfgq.pif

shell\AutoRun\command - nfgq.pif

shell\Explore\command - nfgq.pif

shell\Open\command - nfgq.pif

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f30bf836-0302-11de-a80d-00eeb10281bb}]

shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

 

 

======File associations======

 

.scr - config - "%1" /S

 

======List of files/folders created in the last 1 months======

 

2009-05-14 22:14:09 ----D---- C:\Program Files\trend micro

2009-05-14 22:14:05 ----D---- C:\rsit

2009-05-14 19:46:53 ----A---- C:\TB.txt

2009-05-14 19:44:36 ----D---- C:\ToolBar SD

2009-04-27 12:06:58 ----A---- C:\WINDOWS\SchedLgU.Txt

2009-04-25 20:20:14 ----D---- C:\WINDOWS\usbbin

2009-04-25 20:20:13 ----A---- C:\WINDOWS\system32\AcerScaD.dll

 

======List of files/folders modified in the last 1 months======

 

2009-05-14 22:15:28 ----D---- C:\WINDOWS\Internet Logs

2009-05-14 22:14:09 ----RD---- C:\Program Files

2009-05-14 22:14:08 ----D---- C:\WINDOWS\Prefetch

2009-05-14 21:34:47 ----D---- C:\Program Files\Mozilla Firefox

2009-05-14 19:08:30 ----D---- C:\WINDOWS\Temp

2009-05-14 19:08:16 ----D---- C:\WINDOWS\system32\CatRoot2

2009-05-14 11:11:47 ----D---- C:\WINDOWS

2009-05-13 07:33:00 ----D---- C:\WINDOWS\Help

2009-05-11 20:05:56 ----D---- C:\WINDOWS\system32\NtmsData

2009-05-06 16:29:34 ----RSD---- C:\WINDOWS\Fonts

2009-04-25 20:20:20 ----RSHDC---- C:\WINDOWS\system32\dllcache

2009-04-25 20:20:13 ----D---- C:\WINDOWS\system32

2009-04-25 20:20:12 ----D---- C:\WINDOWS\system32\drivers

2009-04-23 15:09:09 ----A---- C:\WINDOWS\win.ini

 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys []

R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-04-29 96104]

R1 intelppm;Pilote de processeur Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-04 40320]

R1 KLIF;KLIF; C:\WINDOWS\system32\DRIVERS\klif.sys [2007-07-19 127768]

R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-02-13 28376]

R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2008-07-09 394952]

R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-04-29 55640]

R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2003-03-13 100224]

R3 hidusb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-10-02 9600]

R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2005-06-21 807998]

R3 mouhid;Pilote HID de souris; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-10-02 12288]

R3 rtl8139;Pilote NT de carte Realtek PCI Fast Ethernet à base RTL8139(A/B/C); C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-04 20992]

R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2003-05-27 578304]

R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-04 26624]

R3 usbhub;Concentrateur USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600]

R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480]

S3 CCDECODE;Décodeur sous-titre fermé; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]

S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]

S3 NABTSFEC;Codec NABTS/FEC VBI; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]

S3 NdisIP;Connection TV/vidéo Microsoft; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]

S3 QCDonner;Logitech QuickCam Express; C:\WINDOWS\system32\DRIVERS\OVCD.sys [2001-08-17 28032]

S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136]

S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360]

S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]

S3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]

S3 WSTCODEC;Codec Teletext standard; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R2 AntiVirSchedulerService;Avira AntiVir Scheduler; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-04-29 108289]

R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-03-02 185089]

R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-03-09 152984]

R2 SoundMAX Agent Service (default);SoundMAX Agent Service; C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe [2002-09-20 45056]

R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2008-07-09 75304]

S4 MDM;Machine Debug Manager; C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe [2003-06-20 322120]

 

-----------------EOF-----------------

[Apollo]

Pour Ask.com, si cela n'a pas marché avec les manipulations dans Firefox, tu peux essayer avec l'outil de désinstallation fourni par... Ask. Le fichier est sain, il a été analysé par un ami conseiller et moi-même.

 

http://media.ask.com/media/toolbar/tools/A...archUtility.exe Enregistre le fichier sur le bureau, ferme tes navigateurs (même les messageries!) puis exécute-le.

Redémarre le pc et vois si cela a réglé ton souci.

Au pire, cela ne marchera pas, mais cela n'infectera pas ton pc.

 

====================================

Autre-chose:

 

Je pense que ton pc est infecté par Kido IH.

 

Crée un nouveau dossier sur le bureau et nomme le Kidokiller.

 

Télécharges-y KidoKiller v3.4.7.zip

 

Ouvre le dossier et décompresse-y le dossier compressé par clic droit/extraire ici.

 

Débranche physiquement le pc du net (retire le câble).

 

Double-clique sur KK.exe

 

 

Patiente le temps de l'analyse.

 

Presse sur une touche quand cela te sera demandé.

 

NB: -> Si tu veux que l'outil analyse en même temps tes supports amovibles (clé usb et autres lecteurs), branche ceux-ci. Va dans le menu Démarrer/exécuter/Parcourir: rends-toi dans le dossier KidoKiller sur le bureau et sélectionne KK.exe.

Dans la ligne de commande "exécuter" ajoute -r en respectant un écart entre kk.exe" et le -r

 

Cela donne ceci:

 

Clique alors sur Ok ou presse la touche Enter.

 

 

http://support.kaspersky.com/wks6mp3/error?qid=208279973

 

=============

Après ça, mets Antivir à jour et lance une analyse complète y compris les supports amovibles (clés usb etc.) qui devront être toujours branchés.

 

@++

Modifié le 15 mai 2009 par Apollo

[magaly]

Bonjour Apollo

Je n'avais pas encore tenté les manipulations via firefox pour Ask.com

Je vais donc commencer par ça, puis ce que vous recommandez avec Kidokiller. Je repasserai vous dire ce qui en est.

Je ne sais pas utiliser cet outil, si je dois prendre certaines précautions spécifiques avant ou pendant son utilisation et qui ne sont pas décrites dans votre message, ce serait bien de m'en faire part, s'il vous plait avant de m'y mettre..

Merci et bonne continuation.

[Apollo]

Bonjour,

 

C'est sûrement un peu confus pour toi, mais j'ai rédigé cette procédure au plus vite car je n'avais pas encore cet outil dans l'arsenal; donc j'ai dû composer un peu.

 

La précaution à prendre, c'est de débrancher le pc du net en retirant le câble de la tour.

 

Cette infection est dûe à une faille non comblée dans Windows, de l'importance cruciale d'avoir son système parfaitement à jour.

 

Après discussion avec un conseiller, il est essentiel de faire la manoeuvre pour tuer Kido avec les supports amovibles connectés (clé usb et autres qui se connectent par USB).

 

Il faut donc employer la seconde manière que j'ai indiqué soit par la commande Démarrer/Exécuter/Parcourir/ chercher le fichier KK.exe dans le dossier KidoKiller et ajouter l'attribut -r en respectant un espace entre le guillemet de KK.exe" et -r comme sur ma capture d'écran.

 

Il semblerait qu'il soit préférable de lancer cet outil en mode sans échec: Pour faire des analyses en mode sans echec faire comme suit: http://www.vista-xp.fr/forum/topic93.html

 

Il est possible que cela ne fonctionne pas du premier coup, aussi, n'hésite pas à me faire part de tes difficultés si tu en rencontres.

 

Je devrais peut-être renommer cet outil et l'héberger si tu avais des problèmes pour l'exécuter tel quel.

 

@+tard.

Modifié le 15 mai 2009 par Apollo

[magaly]

Bonjour Apollo

Je tiens tout d'abord à m'excuser du retard. Une petite fièvre m'a clouée au lit depuis hier. Ce kido ih à dû me contaminer physiquement moi même.

Je n'ai donc rien pu faire depuis. Une chose surprenant, à l'instant en allumant le pc, la foutue ASK ne s'est pas pointée et c'est mon ancienne page de demarrage google que j'ai eut sans avoir à batailler comme ce fut le cas ces derniers jours.

Je vais faire ce que vous m'indiquez avec ce logiciel kidokiller.

a+ si tout va bien et merci de votre compréhension