Trojan Win32:swizzor (résolu)

[dreamer9]

Voici le rapport combofix :

 

ComboFix 09-08-06.01 - Fabienne 07/08/2009 17:07.2.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.512.338 [GMT 2:00]

Running from: c:\documents and settings\Fabienne\Bureau\ComboFix.exe

Command switches used :: c:\documents and settings\Fabienne\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

AV: avast! antivirus 4.8.1296 [VPS 090805-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

 

((((((((((((((((((((((((( Files Created from 2009-07-07 to 2009-08-07 )))))))))))))))))))))))))))))))

.

 

2009-08-07 13:55 . 2009-08-07 14:23 -------- d-----w- C:\Lop SD

2009-08-07 13:16 . 2009-08-07 13:16 0 ----a-w- c:\windows\nsreg.dat

2009-08-07 13:16 . 2009-08-07 13:16 -------- d-----w- c:\documents and settings\Fabienne\Local Settings\Application Data\Mozilla

2009-08-07 12:17 . 2009-08-07 12:17 -------- d-----w- c:\documents and settings\Fabienne\Application Data\Yahoo!

2009-08-07 12:17 . 2009-08-07 12:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion

2009-08-07 12:17 . 2009-08-07 12:18 -------- d-----w- c:\program files\Yahoo!

2009-08-07 12:17 . 2009-08-07 12:19 -------- d-----w- c:\program files\CCleaner

2009-08-07 11:21 . 2004-08-03 21:08 26496 -c--a-w- c:\windows\system32\dllcache\usbstor.sys

2009-08-02 16:35 . 2004-08-05 12:00 221184 ----a-w- c:\windows\system32\wmpns.dll

2009-07-31 14:58 . 2008-10-16 12:06 268648 ----a-w- c:\windows\system32\mucltui.dll

2009-07-31 14:58 . 2008-10-16 12:06 208744 ----a-w- c:\windows\system32\muweb.dll

2009-07-31 07:36 . 2009-08-03 20:45 664 ----a-w- c:\windows\system32\d3d9caps.dat

2009-07-31 07:36 . 2009-07-31 07:36 -------- d-----w- c:\windows\Sun

2009-07-31 07:36 . 2009-07-31 07:35 410984 ----a-w- c:\windows\system32\deploytk.dll

2009-07-31 07:35 . 2009-07-31 07:35 -------- d-----w- c:\program files\Java

2009-07-31 07:35 . 2009-07-31 07:35 152576 ----a-w- c:\documents and settings\Fabienne\Application Data\Sun\Java\jre1.6.0_14\lzma.dll

2009-07-30 18:10 . 2009-08-07 13:46 -------- d-----w- c:\documents and settings\Fabienne\Tracing

2009-07-30 18:08 . 2009-07-30 18:08 -------- d-----w- c:\program files\Microsoft

2009-07-30 18:08 . 2009-07-30 18:08 -------- d-----w- c:\program files\Windows Live SkyDrive

2009-07-30 18:08 . 2009-07-30 18:09 -------- d-----w- c:\program files\Windows Live

2009-07-30 17:10 . 2009-07-30 17:10 -------- d-----w- c:\program files\Fichiers communs\Windows Live

2009-07-30 17:10 . 2009-07-30 17:10 86576 ----a-w- c:\documents and settings\Fabienne\Application Data\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe

2009-07-30 17:10 . 2009-07-30 17:10 392728 ----a-w- c:\documents and settings\Fabienne\Application Data\Microsoft\Services Windows Live\Services Windows Live.dll

2009-07-30 17:10 . 2009-07-30 17:10 135680 ----a-w- c:\documents and settings\Fabienne\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe

2009-07-30 17:10 . 2009-07-30 17:10 132672 ----a-w- c:\documents and settings\Fabienne\Application Data\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe

2009-07-30 17:02 . 2009-07-30 17:02 -------- d-----w- c:\windows\ie8updates

2009-07-30 16:29 . 2009-07-03 16:57 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll

2009-07-30 16:29 . 2009-07-03 16:57 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll

2009-07-30 16:29 . 2009-07-03 16:57 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll

2009-07-30 16:29 . 2009-07-03 16:57 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll

2009-07-30 16:29 . 2009-07-03 16:57 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll

2009-07-27 16:28 . 2009-07-27 16:28 -------- d-sh--w- c:\documents and settings\Fabienne\PrivacIE

2009-07-27 16:27 . 2009-07-27 16:27 -------- d-sh--w- c:\documents and settings\Fabienne\IETldCache

2009-07-27 16:23 . 2009-07-27 16:24 -------- dc-h--w- c:\windows\ie8

2009-07-27 16:23 . 2009-07-27 16:24 -------- d-----w- c:\windows\system32\fr-FR

2009-07-25 14:01 . 2009-08-05 17:01 -------- d-----w- c:\documents and settings\Fabienne\Local Settings\Application Data\Temp

2009-07-19 16:45 . 2009-07-19 16:45 11067392 -c----w- c:\windows\system32\dllcache\ieframe.dll

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-08-07 11:31 . 2009-01-15 17:21 -------- d-----w- c:\documents and settings\Fabienne\Application Data\32 Dvd

2009-07-30 18:09 . 2009-01-09 23:15 17728 ----a-w- c:\documents and settings\Fabienne\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-07-25 14:42 . 2009-01-08 21:38 48616 ----a-w- c:\windows\system32\perfc00C.dat

2009-07-25 14:42 . 2009-01-08 21:38 367658 ----a-w- c:\windows\system32\perfh00C.dat

2009-07-03 16:57 . 2009-01-08 21:37 915456 ----a-w- c:\windows\system32\wininet.dll

2009-06-16 14:54 . 2009-01-08 21:37 119808 ----a-w- c:\windows\system32\t2embed.dll

2009-06-16 14:54 . 2009-01-08 21:35 82432 ----a-w- c:\windows\system32\fontsub.dll

2009-06-03 19:27 . 2009-01-08 21:37 1296896 ----a-w- c:\windows\system32\quartz.dll

2009-01-08 21:27 . 2009-01-08 21:27 11208 ---ha-w- c:\program files\folder.htt

.

 

------- Sigcheck -------

 

 

[-] 2008-04-13 16:39 142592 8BED39E3C35D6A489438B8141717A557 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\aec.sys

[7] 2004-08-03 21:39 142464 841F385C6CFAF66B58FBD898722BB4F0 c:\windows\SoftwareDistribution\Download\8d1470bed452b5d6aa1e9ba186868288\backup\aec.sys

.

((((((((((((((((((((((((((((( SnapShot@2009-08-07_13.42.14 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-08-07 13:46 . 2009-08-07 13:46 16384 c:\windows\TEMP\Perflib_Perfdata_cc.dat

+ 2009-08-07 13:45 . 2009-08-07 13:45 16384 c:\windows\TEMP\Perflib_Perfdata_5dc.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DOESLIST"="c:\docume~1\Fabienne\APPLIC~1\32DVD~1\third start.exe" [2009-04-27 536576]

"Google Update"="c:\documents and settings\Fabienne\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-04-26 133104]

"MessengerPlus3"="c:\program files\MessengerPlus! 3\MsgPlus.exe" [2009-01-13 190024]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-04 1667584]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]

"MessengerPlus3"="c:\program files\MessengerPlus! 3\MsgPlus.exe" [2009-01-13 190024]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-31 148888]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

 

c:\documents and settings\Fabienne\Menu D‚marrer\Programmes\D‚marrage\

Notification de cadeaux MSN.lnk - c:\documents and settings\Fabienne\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-7-30 135680]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\WINDOWS\\SYSTEM32\\dpvsetup.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

 

R1 aswSP;avast! Self Protection;c:\windows\SYSTEM32\DRIVERS\aswSP.sys [10/01/2009 10:35 111184]

R2 aswFsBlk;aswFsBlk;c:\windows\SYSTEM32\DRIVERS\aswFsBlk.sys [10/01/2009 10:35 20560]

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

.

Contents of the 'Scheduled Tasks' folder

 

2009-08-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-602162358-1078081533-725345543-1004Core.job

- c:\documents and settings\Fabienne\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-04-26 11:55]

 

2009-08-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-602162358-1078081533-725345543-1004UA.job

- c:\documents and settings\Fabienne\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-04-26 11:55]

.

.

------- Supplementary Scan -------

.

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Fabienne\Application Data\Mozilla\Firefox\Profiles\308kst34.default\

 

---- FIREFOX POLICIES ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");

c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-08-07 17:09

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'winlogon.exe'(696)

c:\windows\system32\sirenacm.dll

 

- - - - - - - > 'explorer.exe'(1940)

c:\program files\MessengerPlus! 3\MsgPlusLoader.dll

c:\windows\system32\msi.dll

c:\windows\system32\webcheck.dll

.

Completion time: 2009-08-07 17:11

ComboFix-quarantined-files.txt 2009-08-07 15:11

ComboFix2.txt 2009-08-07 13:43

 

Pre-Run: 35 227 111 424 octets libres

Post-Run: 35 183 656 960 octets libres

 

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

 

190 --- E O F --- 2009-08-03 11:46

[Apollo]

Si la connexion est toujours impossible, essaie de la réparer dans un premier temps comme ceci:

 

Voici comment la réparer ICI.

 

 

*************

Ensuite:

1) Télécharger ATF Cleaner par Atribune.

• Installe-le sur le bureau. (A conserver car très utile après chaque séance de surf)
   
  Double-clique ATF-Cleaner.exe afin de lancer le programme.
  --> Sous Vista: Clic droit/exécuter en temps qu'administrateur.
   
  Sous l'onglet Main, choisis : Select All
  Cliquer sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.
  

Clique Exit, du menu principal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

**************

2) Télécharge Boum (MalwareBytes renommé) sur le Bureau.

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!!

 

Poste alors un nouveau log Hijackthis stp..

 

Si tu ne peux pas faire de mise à jour de MBAM de suite, lance quand-même l'analyse, on verra bien après.

 

@++

[dreamer9]

OK.

 

Pour la réparation, ça n'a pas marché car il n'a pu générer une nouvelle adresse ip.

 

Je passe à BOUM directement car toujours les mm symptômes (ordi rame et pas accès internet). Je ne pourrai faire la maj.

 

Je poste dans 5 min un nouveau rapport hijackthis, mais je vais devoir bouger ensuite dans moins d'une demi heure.

 

Sinon je consulterai ta réponse demain.

 

Merci pour tout.

[dreamer9]

Le scan mbam être long bien sur.

Alors à demain j'espère.

[Apollo]

Le pc n'aurait pas été infecté par Bagle et traité ailleurs qu'ici?

Parce que Bagle détruit la connexion Internet au niveau du registre. Si c'était le cas on regardera pour réparer ce qu'il faut dans le regsitre.

 

Sinon voir aussi ceci:

 

En cas de refus de vidage de cache DNS sur XP et/ou d'échec de réparation de la connexion réseau:

 

Symptômes

Lorsque vous exécutez la commande ipconfig /flushdns à effacer le cache DNS sur un ordinateur Microsoft Windows XP, un message d'erreur qui ressemble à ce qui suit s'affiche :

Impossible de vider le cache de résolution DNS : fonction a échoué lors d'exécution.

Lorsque vous essayez la réparation de la connexion réseau, un message d'erreur qui ressemble à ce qui suit s'affiche :

Windows n'a pas pu terminer la réparation du problème parce que l'opération suivante n'a pas pu être terminée :

Effacer le cache DNS

 

"Contactez la personne qui gère votre réseau pour obtenir d'assistance."

 

Solution:

 

Pour résoudre ce problème, procédez comme suit :

• 1. Cliquez sur Démarrer, cliquez sur Exécuter, tapez services.msc et puis cliquez sur OK.
  2. Dans la liste de services, cliquez sur Client DNS.
  3. Assurez-vous que la colonne État affiche Démarré et que la colonne Type de démarrage affiche Automatique.
  

 

4. Si le service n'est pas défini sur Démarrer ou si le type de démarrage pour le service Client DNS n'est pas défini sur Automatique, procédez comme suit:

• 1. Cliquez avec le bouton droit sur Client DNS et puis cliquez sur Propriétés.
  2. Dans la boîte de dialogue Propriétés de DNS Client , cliquez sur l'onglet Général et puis cliquez sur Automatique dans la liste Type de démarrage.
  3. Cliquez sur Démarrer, cliquez sur Appliquer et puis cliquez sur OK.
  

 

NB: En général il est préférable de laisser ce service désactivé et arrêté, par sécurité.

 

 

 

N°d'article Microsoft: 919746.

 

@+

[Apollo]

Le scan mbam être long bien sur.

Alors à demain j'espère.

 

 

Ok, à demain, si je vis encore...

[dreamer9]

MBAM n'a rien trouvé.

Voici le rapport Highjakthis.

L'ordi est toujours sans connection...

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:46:01, on 07/08/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Safe mode

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Fabienne\Bureau\HiJackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [DOESLIST] C:\DOCUME~1\Fabienne\APPLIC~1\32DVD~1\third start.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Fabienne\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\Fabienne\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1231543705699

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

 

--

End of file - 4644 bytes

[Apollo]

Il faudra relancer MBAM en analyse complète quand tu le pourras car tu as sûrement fait une rapide pour que ça aille aussi vite...

 

Ce script a été rédigé spécialement pour cet utilisateur; ne pas l'utiliser sur une autre machine: dangereux!

 

1. Ferme tous les navigateurs ouverts.

2. Désactive provisoirement l'antivirus.

 

2. Ferme/désactive tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

 

3. Ouvre le Bloc-notes et fais un copier/coller du texte situé dans la boîte Code ci-dessous dans le Bloc-notes: (sans le mot code)!

 

File:: 
c:\program files\32dvd~1\third start.exe

Registry:: 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"DOESLIST"=-

 

Enregistre le fichier sous le nom CFScript.txt, au même endroit que ComboFix.exe

 

 

 

Comme sur l'image ci-dessus, fais glisser CFScript puis dépose-le sur ComboFix.exe

 

Lorsque l'outil aura terminé, il t'affichera un rapport nommé C:\ComboFix.txt que tu devras m'envoyer dans ton prochain message.

 

@++

[dreamer9]

Bon. J'arrive ce matin et la connexion est rétablie.

Je n'ai pas dû être assez patient hier. Donc merci beaucoup et bravo.

 

Néanmoins cet ordi rame à mort, et l'affichage est à pleurer; lorsqu'on actionne l'ascenseur d'une page, ou qu'on déplace une fenêtre, elle défile style "image par image" avec une lenteur déconcertante. Mais je suppose que ce type d'optimisation vidéo(??) n'est pas le bon sujet de ce forum.

 

Cependant avast affiche toujours le blocage de l'accès d'un site malveillant...???

 

En tout cas merci beaucoup.

 

Je vais remplacer avast par avira, et surtout faire la maj de Malwarebytes' Anti-Malware.

 

A+

Modifié le 8 août 2009 par dreamer9

[dreamer9]

DAMNED!!!

MBAM n'a rien trouvé.

Mais wizzor est déja detecté par avast à plusieurs endroit, notamment dans les volumes de restauration!!!

Modifié le 8 août 2009 par dreamer9