impossible de supprimer rogue windows protection suite

OumHilal

Posté(e) le 8 novembre 2009

Auteur

- Signaler
- Partager

Posté(e) le 8 novembre 2009 (modifié)

Bonsoir !

oGu, jeudi 05 novembre 2009 à 19h31
Je crois qu'on (Nardino et moi) va te laisser te débrouiller seul(e?), non ?

Dois-je comprendre que je ne peux définitivement plus attendre d'aide de votre part ? Avoir posté en double est-il une faute si condamnable qu'elle me bannit du site ? (Mais après avoir lu les posts épinglés (comment poster...) - ce que j'aurais dû faire avant de poster , mea culpa - j'ai bien compris ce que ça engendrait comme désagrément pr celui qui apporte son aide.)

Auriez-vous l'obligeance de me préciser clairement si je dois abandonner l'espoir d'obtenir une aide ici ?

PS : J'ai, comme je l'avais dit, clos le post sur PC astuces. La preuve ici :

pc astuces impossible de supprimer rogue windows protection suite

Merci de votre réponse.

Modifié le 8 novembre 2009 par OumHilal

Citer

Lien vers le commentaire

Partager sur d’autres sites

oGu

Posté(e) le 8 novembre 2009

- Signaler
- Partager

Posté(e) le 8 novembre 2009

Bonsoir.

Dois-je comprendre que je ne peux définitivement plus attendre d'aide de votre part ?

Non, mais il faut comprendre que nous sommes des bénévoles, et que notre temps est précieux pour nous aussi. Je crois que maintenant c'est clair dans ton esprit.

Je te poste une procédure plus "agressive" demain.

Ciao.

Citer

Lien vers le commentaire

Partager sur d’autres sites

oGu

Posté(e) le 9 novembre 2009

- Signaler
- Partager

Posté(e) le 9 novembre 2009 (modifié)

Salut!

COMBOFIX

Télécharge ComboFix de sUBs sur ton BUREAU en cliquant sur cette image:

** IMPORTANT !!! Il est impératif d'enregistrer ce logiciel sur ton Bureau

Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils
Connecte tes clés USB et ton disque dur externe
Fais un double clic sur combofix.exe & suis les invites.
Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de t'aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage (ce qui est très rare!).
Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela t' est demandé, accepte le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, tu devrais voir le message suivant:

Clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

Lorsque l'outil aura terminé, il affichera un rapport. Copie le contenu de C:\ComboFix.txt dans ta prochaine réponse:

Nota: il se peut que ComboFix endommage ta connection Internet: si tu ne peux plus te connecter après le scan de cet outil, redémarre ton PC. Si cela s'avère insuffisant, suis cette méthode:

Clique sur le bouton Démarrer.
Clique sur l'option de menu Paramètres.
Clique sur l'option Panneau de configuration.
Après l'ouverture du Panneau de configuration, fais un double clic sur l'icône Connexions réseau. Si ton Panneau de configuration est paramétré pour un affichage en catégories, fais un double clic sur Connexions réseau et Internet puis clique sur Connexions réseau tout en bas.
Tu verras alors une liste de toutes les connexions réseau disponibles. Repère la connexion Réseau local (ou Sans fil si tu es en Wifi) et fais un clic droit dessus.
Tu verras alors un menu similaire à celui de l'image ci-dessous. Clique simplement sur l'option de menu Réparer.

Modifié le 9 novembre 2009 par oGu

Citer

Lien vers le commentaire

Partager sur d’autres sites

OumHilal

Posté(e) le 14 novembre 2009

Auteur

- Signaler
- Partager

Posté(e) le 14 novembre 2009

Bonsoir !

J'ai enfin essayé de reprendre le nettoyage. Il était tps ! Mais je ne suis vraiment pas allée loin !!

J'ai enregistré Combofix sur mon bureau. Mais le programme ne s'exécute pas. D'abord il m'indique que Bit defender protection en tps réel est activée, alors que je l'ai supprimé. Ensuite, je lui dmde qd m^me de continuer. Alors il m'annonce erreur de date, pourtant mon PC affiche la bonne date. Puis il ne veut pas aller plus loin.

C'est grave docteur ?

Qd je pose cette question, je ne plaisante qu'à demi : je m'inquiète sur l'état de mon PC, d'après toi, l'infection est vraiment grave (type pandémie H1N1 ?? ) ou c'est une simple grippe saisonnière ?

J'attends la suite de l'ordonnance pr reprendre le traitement. Merci d'avance.

Citer

Lien vers le commentaire

Partager sur d’autres sites

OumHilal

Posté(e) le 18 novembre 2009

Auteur

- Signaler
- Partager

Posté(e) le 18 novembre 2009

Bonsoir !

Enfin ! J'ai réussi Enfin, j'ai pas fait grd chose. Simplement Combofix a accepté de s'exécuter.

Voici le rapport :

ComboFix 09-11-15.01 - User 18/11/2009 17:02..1 - FAT32x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.447.192 [GMT 1:00]

Lancé depuis: c:\documents and settings\User\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

AV: Bitdefender Antivirus *On-access scanning enabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}

FW: Bitdefender Firewall *enabled* {4055920F-2E99-48A8-A270-4243D2B8F242}

FW: Outpost Firewall Pro *disabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\404Fix.exe

c:\windows\system32\Agent.OMZ.Fix.exe

c:\windows\system32\dumphive.exe

c:\windows\system32\IEDFix.C.exe

c:\windows\system32\IEDFix.exe

c:\windows\system32\o4Patch.exe

c:\windows\system32\Process.exe

c:\windows\system32\SrchSTS.exe

c:\windows\system32\tmp.reg

c:\windows\system32\VACFix.exe

c:\windows\system32\VCCLSID.exe

c:\windows\system32\WS2Fix.exe

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-10-18 au 2009-11-18 ))))))))))))))))))))))))))))))))))))

.

2009-11-08 22:34 . 2009-11-11 12:18 -------- d-----w- c:\program files\Fichiers communs\BitDefender

2009-11-07 17:52 . 2009-11-07 17:53 -------- dc----w- C:\rsit

2009-11-04 15:10 . 2009-11-04 15:10 -------- d-----w- c:\documents and settings\User\Application Data\Malwarebytes

2009-11-04 15:10 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-11-04 15:10 . 2009-11-04 15:10 -------- dc----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-11-04 15:10 . 2009-11-04 15:10 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-11-04 15:10 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-11-04 10:22 . 2009-11-04 10:22 -------- dc----w- C:\Nouveau dossier

2009-11-04 10:07 . 2009-11-04 10:07 -------- d-----w- c:\program files\Trend Micro

2009-10-31 13:26 . 2009-10-31 15:15 63 ----a-w- c:\documents and settings\User\jagex_runescape_preferences2.dat

2009-10-31 13:25 . 2009-10-31 15:34 38 ----a-w- c:\documents and settings\User\jagex_runescape_preferences.dat

2009-10-31 13:25 . 2009-10-31 13:25 -------- d-----w- c:\windows\.jagex_cache_32

2009-10-26 17:54 . 2009-10-26 17:54 -------- d-----w- c:\program files\Windows Live SkyDrive

2009-10-21 18:04 . 2009-10-23 06:03 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-10-21 18:04 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2009-10-21 18:04 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2009-10-21 18:04 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2009-10-21 18:03 . 2009-10-21 18:03 -------- dc----w- c:\documents and settings\All Users\Application Data\Avira

2009-10-21 18:03 . 2009-10-21 18:03 -------- d-----w- c:\program files\Avira

2009-10-21 11:39 . 2009-09-23 12:55 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys

2009-10-21 11:39 . 2009-10-21 11:39 534344 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\aawapi.dll

2009-10-21 11:37 . 2009-10-21 11:40 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}

2009-10-21 11:37 . 2009-10-03 08:15 2924848 -c--a-w- c:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe

2009-10-20 01:24 . 2009-10-20 01:24 -------- d-----w- c:\documents and settings\LocalService\Menu Démarrer

2009-10-20 00:58 . 2009-10-21 11:43 -------- d-----w- c:\program files\ThreatFire

2009-10-20 00:45 . 2009-11-01 12:45 -------- d-----w- c:\documents and settings\User\Local Settings\Application Data\Temp

2009-10-20 00:45 . 2009-10-20 00:45 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google

2009-10-20 00:40 . 2009-10-20 00:40 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google

2009-10-20 00:39 . 2008-11-20 19:19 9072 ------w- c:\windows\system32\drivers\cdr4_xp.sys

2009-10-20 00:39 . 2008-11-20 19:19 9200 ------w- c:\windows\system32\drivers\cdralw2k.sys

2009-10-20 00:38 . 2009-10-20 00:38 -------- d-----w- c:\windows\system32\IOSUBSYS

2009-10-19 16:56 . 2009-10-19 16:56 -------- dcsh--w- c:\documents and settings\Administrateur\IETldCache

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-11-18 15:29 . 2009-10-17 05:44 -------- d-----w- c:\program files\Mozilla Firefox2

2009-11-11 12:23 . 2009-10-17 11:03 -------- d-----w- c:\program files\SUPERAntiSpyware

2009-11-11 12:17 . 2007-06-22 16:12 81984 ----a-w- c:\windows\system32\bdod.bin

2009-11-07 19:02 . 2007-04-25 17:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-11-04 09:36 . 2007-02-26 16:15 -------- d-----w- c:\documents and settings\User\Application Data\Skype

2009-11-02 10:25 . 2004-08-05 12:00 96996 ----a-w- c:\windows\system32\perfc00C.dat

2009-11-02 10:25 . 2004-08-05 12:00 536948 ----a-w- c:\windows\system32\perfh00C.dat

2009-10-26 17:56 . 2006-09-08 13:27 43952 ----a-w- c:\documents and settings\User\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-10-26 17:54 . 2009-09-25 18:13 -------- d-----w- c:\program files\Windows Live

2009-10-22 03:50 . 2007-01-01 23:01 -------- d-----w- c:\program files\Google

2009-10-21 12:51 . 2007-02-11 14:38 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP

2009-10-21 11:39 . 2009-06-27 10:58 854872 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\threatwork.exe

2009-10-21 11:39 . 2009-06-27 10:57 387408 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\lavalicense.dll

2009-10-21 11:39 . 2009-06-27 10:57 205152 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\lavamessage.dll

2009-10-21 11:39 . 2009-06-27 10:57 368480 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\UpdateManager.dll

2009-10-21 11:39 . 2009-06-27 10:58 192864 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\Savapibridge.dll

2009-10-21 11:39 . 2009-06-27 10:57 162144 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\ShellExt.dll

2009-10-21 11:38 . 2009-06-27 10:57 324976 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\RPAPI.dll

2009-10-21 11:38 . 2009-06-27 10:57 86880 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\PrivacyClean.dll

2009-10-21 11:38 . 2009-06-27 10:57 969064 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\CEAPI.dll

2009-10-21 11:38 . 2009-10-17 10:56 636760 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\AutoLaunch.exe

2009-10-21 11:38 . 2009-06-27 10:57 809336 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\Ad-AwareCommand.exe

2009-10-21 11:38 . 2009-06-27 10:57 806760 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\Ad-AwareAdmin.exe

2009-10-21 11:38 . 2009-06-27 10:57 1439048 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\Ad-Aware.exe

2009-10-21 11:38 . 2009-06-27 10:57 781656 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\AAWTray.exe

2009-10-21 11:38 . 2009-06-27 10:57 1170768 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\AAWService.exe

2009-10-20 06:40 . 2007-02-26 16:14 -------- d-----r- c:\program files\Skype

2009-10-20 06:40 . 2007-02-26 16:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype

2009-10-17 11:04 . 2009-10-17 11:04 117760 ----a-w- c:\documents and settings\User\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL

2009-10-17 11:03 . 2009-10-17 11:03 -------- dc----w- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com

2009-10-17 11:03 . 2009-10-17 11:03 -------- d-----w- c:\documents and settings\User\Application Data\SUPERAntiSpyware.com

2009-10-17 10:56 . 2009-06-27 10:58 15688 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\lsdelete.exe

2009-10-17 10:56 . 2009-10-17 10:56 17632 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\WSCUpdate.dll

2009-10-17 10:56 . 2009-06-27 10:57 1630560 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\Resources.dll

2009-10-17 10:56 . 2009-03-20 10:34 68640 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\Drivers\64\lbd.sys

2009-10-17 10:56 . 2009-03-20 10:34 303976 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\Drivers\64\AAWDriverTool.exe

2009-10-17 10:56 . 2009-06-27 10:57 640760 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\AAWWSC.exe

2009-10-17 06:39 . 2007-04-25 17:21 -------- d-----w- c:\program files\Spybot - Search & Destroy

2009-10-15 18:07 . 2009-09-26 10:58 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2

2009-10-15 17:32 . 2009-10-15 15:39 -------- dc----w- c:\documents and settings\All Users\Application Data\fbec3

2009-09-25 18:16 . 2009-09-25 18:16 -------- d-----w- c:\program files\Microsoft Sync Framework

2009-09-25 18:15 . 2009-09-25 18:15 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition

2009-09-25 18:14 . 2009-09-25 18:14 -------- d-----w- c:\program files\Microsoft

2009-09-25 18:08 . 2009-09-25 18:08 -------- d-----w- c:\program files\Fichiers communs\Windows Live

2009-09-11 14:18 . 2004-08-05 12:00 136192 ----a-w- c:\windows\system32\msv1_0.dll

2009-09-04 21:04 . 2004-08-05 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll

2009-08-29 07:56 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll

2009-08-29 07:56 . 2006-11-07 20:03 11069440 ----a-w- c:\windows\system32\ieframe(2).dll

2009-08-26 08:01 . 2004-08-05 12:00 247326 ----a-w- c:\windows\system32\strmdll.dll

2008-12-20 18:12 . 2008-12-20 18:13 496 ----a-w- c:\program files\real.exe

2007-11-08 02:30 . 2007-11-08 02:30 1271557 ----a-w- c:\program files\winrar371fr.exe

2006-10-20 15:32 . 2006-10-20 15:32 278528 ----a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2009-04-16 251264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]

"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]

"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-01-09 282624]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-10-21 781656]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Ex‚cution automatique de VideoCam Suite 1.0.lnk - c:\program files\Panasonic\VideoCamSuite\VideoCamSuiteAutoStart.exe [2009-7-7 161160]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"NeroCheck"=c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=

"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=

"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=

"c:\\Program Files\\IncrediMail\\bin\\ImLc.exe"=

"c:\\eMule\\emule.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"6346:TCP"= 6346:TCP:shareaza

"6346:UDP"= 6346:UDP:shareaza

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [21/10/2009 12:39 64288]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [21/10/2009 19:04 108289]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [20/10/2009 01:40 133104]

S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 12:17 1170768]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - MBR

*NewlyCreated* - PROCEXP113

*Deregistered* - mbr

*Deregistered* - PROCEXP113

.

Contenu du dossier 'Tâches planifiées'

2009-11-14 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 11:38]

2009-11-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-20 00:39]

2009-11-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-20 00:39]

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.netvibes.com/

uInternet Connection Wizard,ShellNext = iexplore

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

TCP: {BB04A734-F955-4653-8868-FE8E23E6F242} = 212.27.40.240,212.27.40.241

DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab

DPF: {38D6D77C-5EC1-4A4A-AFEB-85FE780CD61A} - hxxp://www.qurancomplex.org/downloads/FontDown.cab

DPF: {B0067CA5-2C37-4C6B-AAEC-5E2CE8635061} - hxxp://www.qurancomplex.org/Downloads/FontSmooth.cab

FF - ProfilePath - c:\documents and settings\User\Application Data\Mozilla\Firefox\Profiles\sw1is22i.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.mm-blog.fr/index.php?subaction=categorie&id_categorie=92361&PHPSESSID=887944cc2823fd6192ad77b147a0d8e1

FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=

FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll

FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll

FF - plugin: c:\program files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox2\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

.

- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{472734EA-242A-422B-ADF8-83D1E48CC825} - (no file)

HKLM-Run-Google Quick Search Box - c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe

AddRemove-Malwarebytes' RogueRemover FREE_is1 - c:\program files\RogueRemover FREE\unins000.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-11-18 17:11

Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

Heure de fin: 2009-11-18 17:15

ComboFix-quarantined-files.txt 2009-11-18 16:15

Avant-CF: 32 319 750 144 octets libres

Après-CF: 32 615 227 392 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 6CFF5BE9B4490B46792AD3388B8E7383

En espérant que ça te donne une piste pr éradiquer la fout... sal... qui infecte mon pc .

Au fait, si t'as le tps de répondre à ma question, en quoi consiste ce que fait combofix et pourquoi faut-il l'utiliser sous supervision ?

Merci encore pr ton aide.

PS 2 : Je me rappelle avoir scanné mon système avec Superantispyware au début de mon infection. Il m'avait détecté plusieurs infections qu'il avait placées en quarantaine. J'avais ensuite supprimé le logiciel en conservant les fichiers en quarantaine ms je ne sais pas où ils sont stockés. Ai-je commis des bourdes en faisant ça ?

Citer

Lien vers le commentaire

Partager sur d’autres sites

oGu

Posté(e) le 18 novembre 2009

- Signaler
- Partager

Posté(e) le 18 novembre 2009

Salut!

J'en profite pour répondre à certaines questions que tu me posais par mp :

Je commence vraiment à m'inquiéter pr ma machine. Des proches me conseillent de l'emmener chez un pro ms ça me dit trop rien.

Ne t'inquiète pas, on va y arriver! Un "pro" en boutique ne saura pas désinfecter le PC : il se contentera de réinstaller XP après avoir fait une sauvegarde de tes documents, et te prendra 80 euros au passage.

Au pire, si on échoue à réparer ton Windows (mais je ne vois vraiment pas pourquoi!), je te guiderai pour réinstaller XP, et ce sera gratuit.

J'ai enregistré Combofix sur mon bureau. Mais le programme ne s'exécute pas.

C'est grave docteur ?

Non, la dernière version répare ce léger dysfonctionnement.

Je reviens bientôt avec la suite.

Bye!

Citer

Lien vers le commentaire

Partager sur d’autres sites

oGu

Posté(e) le 18 novembre 2009

- Signaler
- Partager

Posté(e) le 18 novembre 2009

Re.

Au fait, si t'as le tps de répondre à ma question, en quoi consiste ce que fait combofix et pourquoi faut-il l'utiliser sous supervision ?

ComboFix supprime certains fichiers, et liste un rapport détaillé des éléments potentiellement infectés de ta machine.

C'est un outil tellement puissant que mal utilisé, il pourrait te flinguer ton Windows. A tel point que sUBs, son créateur, en interdit l'utilisation, sauf aux helpers qui ont été formés en ayant accès à la documentation de cet outil, que sUBs distribue au compte-goutte.

Par ailleurs, il faut que le rapport soit analysé pour, ensuite, utiliser des scripts faits sur-mesure, en fonction de l'infection de ton PC. Seuls les helpers formés connaissent la syntaxe complète des scripts.

Je me rappelle avoir scanné mon système avec Superantispyware au début de mon infection. Il m'avait détecté plusieurs infections qu'il avait placées en quarantaine. J'avais ensuite supprimé le logiciel en conservant les fichiers en quarantaine ms je ne sais pas où ils sont stockés. Ai-je commis des bourdes en faisant ça ?

Non. Les outils antimalware cryptent/modifient les fichiers en les mettant en quarantaine. Ils sont donc inoffensifs.

Bon, quelques remarques avant d'attaquer :

c:\windows\system32\404Fix.exe
etc...

As-tu utilisé SmitFraudFix de S!ri dernièrement??

2009-11-18 15:29 . 2009-10-17 05:44 -------- d-----w- c:\program files\Mozilla Firefox2

Tu as installé Firefox2? Car là on en est à la 3.5 ^^!

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2009-04-16 251264]

Incredimail est un spyware, il faudra s'en débarrasser. On fera ça proprement en fin de procédure.

1- VIRUSTOTAL

Rends-toi sur le site VirusTotal en cliquant sur cette image:

Copie cette ligne rouge:

c:\windows\system32\NeroCheck.exe
Sur la page VirusTotal, clique dans la partie "Parcourir" comme indiqué par l'image:
Une boîte de dialogue s'ouvre: dans la zone "Nom du fichier", colle la ligne préalablement copiée, comme indiqué sur l'image:
Clique enfin sur le bouton "Ouvrir": la boîte de dialogue se ferme
Sur la page VirusTotal, clique maintenant sur le bouton "Envoyer le fichier", et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.

et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
Une nouvelle fenêtre de ton navigateur va apparaître
Clique alors sur cette image :
Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
Enfin colle le résultat dans ta prochaine réponse.

2- HOSTS PAR DEFAUT

Télécharge ce fichier HOST basique (clique sur l'image) et enregistre-le IMPERATIVEMENT sur ton Bureau :

3- CREATION/EXECUTION D'UN CFSCRIPT

Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement.

Télécharge ce CFSCript que j'ai codé pour ta machine en cliquant sur cette image :
Sauvegarde ce fichier sur ton Bureau

ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser sur un autre PC sous risque de plantage!!
Désactive ton antivirus et ton antispyware
Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
ComboFix sera lancé.
Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran.
Soumet le fichier en cliquant "OK"
Enfin, poste le rapport suivant dans ta prochaine réponse :

- Combofix.txt (il est stocké ici: > C:\ComboFix.txt)

Citer

Lien vers le commentaire

Partager sur d’autres sites

OumHilal

Posté(e) le 18 novembre 2009

Auteur

- Signaler
- Partager

Posté(e) le 18 novembre 2009

J'ai suivi ta procédure (merci pr les explications super détaillées ! Quelle patience ! On reconnaît là le pédagogue ! )

Voici les rapports : celui de virus total (pr info je n'ai pas nero sur mon pc ms j'avais essayé d'installer une version à partir d'un cd qu'on m'avait prêté (sûrement un cr..k) et ça n'avait pas fonctionné, ensuite j'avais essayé de supprimer les restes éventuels ms j'ai dû laisser des trucs non ?

Fichier NeroCheck.exe reçu le 2009.11.18 21:18:48 (UTC)

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.41 2009.11.18 -

AhnLab-V3 5.0.0.2 2009.11.18 -

AntiVir 7.9.1.70 2009.11.18 -

Antiy-AVL 2.0.3.7 2009.11.18 -

Authentium 5.2.0.5 2009.11.18 -

Avast 4.8.1351.0 2009.11.18 -

AVG 8.5.0.425 2009.11.18 -

BitDefender 7.2 2009.11.18 -

CAT-QuickHeal 10.00 2009.11.17 -

ClamAV 0.94.1 2009.11.18 -

Comodo 2979 2009.11.18 -

DrWeb 5.0.0.12182 2009.11.18 -

eSafe 7.0.17.0 2009.11.18 -

eTrust-Vet 35.1.7128 2009.11.18 -

F-Prot 4.5.1.85 2009.11.18 -

F-Secure 9.0.15370.0 2009.11.17 -

Fortinet 3.120.0.0 2009.11.18 -

GData 19 2009.11.18 -

Ikarus T3.1.1.74.0 2009.11.18 -

Jiangmin 11.0.800 2009.11.18 -

K7AntiVirus 7.10.899 2009.11.18 -

Kaspersky 7.0.0.125 2009.11.18 -

McAfee 5806 2009.11.18 -

McAfee+Artemis 5806 2009.11.18 -

McAfee-GW-Edition 6.8.5 2009.11.18 -

Microsoft 1.5202 2009.11.18 -

NOD32 4618 2009.11.18 -

Norman 6.03.02 2009.11.18 -

nProtect 2009.1.8.0 2009.11.18 -

Panda 10.0.2.2 2009.11.18 -

PCTools 7.0.3.5 2009.11.18 -

Prevx 3.0 2009.11.18 -

Rising 22.22.02.08 2009.11.18 -

Sophos 4.47.0 2009.11.18 -

Sunbelt 3.2.1858.2 2009.11.17 -

Symantec 1.4.4.12 2009.11.18 -

TheHacker 6.5.0.2.073 2009.11.18 -

TrendMicro 9.0.0.1003 2009.11.18 -

VBA32 3.12.12.0 2009.11.18 -

ViRobot 2009.11.18.2043 2009.11.18 -

VirusBuster 5.0.21.0 2009.11.18 -

Information additionnelle

File size: 155648 bytes

MD5...: 3e4c03cefad8de135263236b61a49c90

SHA1..: 02ff27df6bdaec02b455dc611ef2d090fb8271d4

SHA256: 243201b64f4b60d55cdb1a3bf4b9aa60bc22eb8aca88e95042ee48ac5df5f397

ssdeep: 3072:bdt6Fd/Xdc31yI51F5/rj+dotPjLUqTOa3ZPa92cK:JwPo1yOZ2

PEiD..: -

PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4138 timedatestamp.....: 0x3b497e70 (Mon Jul 09 09:50:40 2001) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x18252 0x19000 6.50 cca7a34ce2f936b8aa89688e7b3b60c0 .rdata 0x1a000 0x51de 0x6000 4.14 6a8278884469a9fcc3601c666fc054ea .data 0x20000 0x7b70 0x4000 2.27 d52a42e0e61eb136a27c50df01a62283 .rsrc 0x28000 0x1038 0x2000 1.99 1458e8ef0834532911bb7b345177d3c7 ( 6 imports ) > KERNEL32.dll: GetFullPathNameW, RtlUnwind, GetStartupInfoA, TerminateProcess, HeapFree, HeapAlloc, GetTimeZoneInformation, RaiseException, HeapReAlloc, HeapSize, Sleep, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, FlushFileBuffers, ExitProcess, SetHandleCount, GetCommandLineA, ReadFile, GetModuleHandleA, WritePrivateProfileStringW, HeapDestroy, HeapCreate, VirtualFree, LCMapStringA, LCMapStringW, VirtualAlloc, IsBadWritePtr, SetUnhandledExceptionFilter, GetCPInfo, IsBadReadPtr, IsBadCodePtr, GetACP, GetOEMCP, GetDriveTypeA, GetStringTypeA, GetStringTypeW, SetStdHandle, CompareStringA, CompareStringW, SetEnvironmentVariableA, lstrlenA, lstrlenW, InterlockedDecrement, InterlockedIncrement, FindNextFileW, lstrcpyW, FindFirstFileW, GetLastError, SetLastError, FindClose, GetCommandLineW, SetFilePointer, WriteFile, GetCurrentProcess, FreeLibrary, GetProcessVersion, LoadLibraryA, GetVersion, GlobalAddAtomW, GlobalFindAtomW, GetStdHandle, GetCurrentDirectoryW, GetProcAddress, ExpandEnvironmentStringsW, GetModuleHandleW, GetFileType, GetWindowsDirectoryW, GlobalFlags, lstrcmpiW, TlsGetValue, LocalReAlloc, TlsSetValue, GlobalReAlloc, GlobalHandle, GlobalUnlock, GlobalFree, TlsAlloc, LocalAlloc, CloseHandle, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, InitializeCriticalSection, FileTimeToLocalFileTime, FileTimeToSystemTime, lstrcpynW, lstrcatW, SetErrorMode, GetModuleFileNameW, GlobalLock, lstrcmpW, GlobalAlloc, GlobalDeleteAtom, GetCurrentThread, GetCurrentThreadId, LocalFree, MultiByteToWideChar, WideCharToMultiByte, GetEnvironmentVariableA, GetVersionExA, GetEnvironmentStrings, GetEnvironmentStringsW, GetVersionExW, InterlockedExchange > USER32.dll: GetCapture, GetTopWindow, WinHelpW, CopyRect, GetClientRect, AdjustWindowRectEx, SetFocus, GetSysColor, MapWindowPoints, LoadIconW, ShowWindow, LoadCursorW, GetSysColorBrush, DestroyMenu, GetMenuItemID, GetDlgItem, DefWindowProcW, DestroyWindow, CreateWindowExW, SetPropW, GetPropW, CallWindowProcW, RegisterClassW, GetClassInfoW, GetMessagePos, GetForegroundWindow, SetForegroundWindow, SetWindowLongW, GetSubMenu, RegisterWindowMessageW, SystemParametersInfoW, IsIconic, GetWindowPlacement, GetSystemMetrics, GrayStringW, DrawTextW, TabbedTextOutW, ReleaseDC, GetDC, GetMenuItemCount, UnhookWindowsHookEx, GetWindowTextW, SetWindowTextW, ClientToScreen, GetWindow, GetDlgCtrlID, GetWindowRect, PtInRect, GetClassNameW, LoadBitmapW, GetMenuState, CheckMenuItem, EnableMenuItem, GetFocus, GetNextDlgTabItem, SetCursor, GetMessageW, TranslateMessage, DispatchMessageW, GetActiveWindow, GetKeyState, CallNextHookEx, ValidateRect, IsWindowVisible, PeekMessageW, GetCursorPos, SetWindowsHookExW, GetMenu, wsprintfW, LoadStringW, RemovePropW, GetMessageTime, SetWindowPos, GetParent, GetLastActivePopup, IsWindowEnabled, GetWindowLongW, SendMessageW, MessageBoxW, EnableWindow, PostMessageW, PostQuitMessage, SetMenuItemBitmaps, ModifyMenuW, GetMenuCheckMarkDimensions > GDI32.dll: DeleteObject, SaveDC, RestoreDC, SelectObject, GetStockObject, SetBkColor, SetTextColor, SetMapMode, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, GetClipBox, GetDeviceCaps, RectVisible, TextOutW, PtVisible, Escape, ExtTextOutW, GetObjectW, DeleteDC, CreateBitmap > WINSPOOL.DRV: OpenPrinterW, DocumentPropertiesW, ClosePrinter > ADVAPI32.dll: RegOpenKeyExW, RegSetValueExW, RegCloseKey, RegQueryValueExW, RegisterEventSourceW, DeregisterEventSource, ReportEventW, RegCreateKeyExW > COMCTL32.dll: - ( 0 exports )

RDS...: NSRL Reference Data Set -

pdfid.: -

trid..: Win32 Executable MS Visual C++ (generic) (53.1%) Windows Screen Saver (18.4%) Win32 Executable Generic (12.0%) Win32 Dynamic Link Library (generic) (10.6%) Generic Win/DOS Executable (2.8%)

sigcheck: publisher....: Ahead Software Gmbh copyright....: Copyright © 2001 product......: Ahead Software Gmbh NeroCheck description..: NeroCheck original name: NeroCheck.exe internal name: NeroCheck file version.: 1, 0, 0, 2 comments.....: Now create the LowerFilter entry if does not exist. signers......: - signing date.: - verified.....: Unsigned

Puis celui de combofix :

ComboFix 09-11-15.01 - User 18/11/2009 22:39..1 - FAT32x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.447.196 [GMT 1:00]

Lancé depuis: c:\documents and settings\User\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\User\Bureau\CFScript.txt

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

AV: Bitdefender Antivirus *On-access scanning enabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}

FW: Bitdefender Firewall *enabled* {4055920F-2E99-48A8-A270-4243D2B8F242}

FW: Outpost Firewall Pro *disabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

--------------- FCopy ---------------

c:\documents and settings\User\Bureau\HOSTS --> c:\windows\system32\drivers\etc\HOSTS