c.exe fenêtre de pub intempestives (résolu)

[moebuis]

Bonjour et Bonne Année!

 

Il y a un virus sur le pc de famille qui fait :

 

[*]La fenetre de demmarage est toujours http://lo.st

• Il y a des fenetres de pub intepestives sur intrenet explorer
  
• Antivir a trouvé un packet de fichiers infectés mais les a supprimé
  
• idem pour Malewarebyte
  
• mais le comportement reste, le/les virus sont toujours la
  

 

C'est un netbook ISUS Eee PC qui tourne XP.

 

Bonne Année )

 

A+

Moebius

Modifié le 2 janvier 2010 par moebuis

[Apollo]

Bonsoir et bonne année,

 

Il faut éviter comme la peste les téléchargements sur EORezo, c'est lui qui est le principal responsable de ce genre de détournement de page d'accueil.

 

Je voudrais voir le rapport de MBAM que tu trouveras dans l'interface du logiciel sous l'onglet "rapports/logs"; ouvre le dernier rappaort texte et copie-en la totalité./Colle-le ici stp.

 

Télécharge ST_Fix et enregistre-le sur ton bureau.

 

---> Pour Windows Vista/7: Désactive l'UAC dans Vista: http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html (réactiver plus tard!)

Clique droit sur le Fichier ST_Fix.bat puis Exécuter en temps qu'administrateur.

Clique sur Continuer.

 

----->Pour Windows XP:

Double-Clique sur le Fichier ST_Fix.bat.

Appuie sur 3 et valide par Entrée.

Laisse le programme travailler.

Poste le rapport obtenu dans ta prochaine réponse.

Redémarre le pc.

 

Dis-moi si tu as retrouvé ta page d'accueil habituelle.

 

Poste également un nouveau log Hijackthis stp.

 

@+++

 

Edition pour orthographe.

Modifié le 1 janvier 2010 par Apollo

[moebuis]

Salut Appolo,

 

 

 

La page d'accueil n'est plus Lo.st! Super

 

Le rapport Hijackthis

le premier rapport malewarebytes avec des problemes

Et le second rapport malewarebytes (sans problème je pense)

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:47:43, on 01/01/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe

C:\Program Files\EeePC\ACPI\AsEPCMon.exe

C:\Program Files\EeePC\ACPI\AsTray.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\igfxext.exe

C:\Documents and Settings\mikoto\Application Data\Agence Exclusive\Update\UpdateHP.exe

C:\Program Files\Agence Exclusive\Agence.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\ASUS\Eee Docking\Eee Docking.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe

C:\Program Files\McAfee Security Scan\1.0.150\SSScheduler.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\mikoto\Mes documents\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: ::1 localhost

O2 - BHO: AEBHO - {0495F4D7-9FE3-4456-AA9D-1D57E78DF5F0} - C:\Program Files\Agence Exclusive\AgenceBHO.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [AsusACPIServer] C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe

O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Program Files\EeePC\ACPI\AsEPCMon.exe

O4 - HKLM\..\Run: [AsusTray] C:\Program Files\EeePC\ACPI\AsTray.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [synAsusAcpi] C:\Program Files\Synaptics\SynTP\SynAsusAcpi.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Helper] C:\Documents and Settings\mikoto\Application Data\Agence Exclusive\Update\UpdateHP.exe

O4 - HKLM\..\Run: [Agence] "C:\Program Files\Agence Exclusive\Agence.exe"

O4 - HKLM\..\Run: [Windows Live Messenger] msnsmgsr.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Eee Docking] C:\Program Files\ASUS\Eee Docking\Eee Docking.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [enc nurb] C:\DOCUME~1\mikoto\APPLIC~1\FUNKNE~1\active inter load.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\RunOnce: [shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1151601.exe -Update -1151601 -"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6; FBSMTWB; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)" -"http://www.jeux-gratuits.com/jeu/111/jeu+gratuit+skate+board/"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: SuperHybridEngine.lnk = ?

O4 - Global Startup: McAfee Security Scan.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Envoyer à Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/co...ex/qtplugin.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Service Google Update (gupdate1ca41c22a974ce0) (gupdate1ca41c22a974ce0) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

 

--

End of file - 9659 bytes

 

Le rapport Malewarebytes

Malwarebytes' Anti-Malware 1.43

Version de la base de données: 3469

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

01/01/2010 19:02:33

mbam-log-2010-01-01 (19-02-33).txt

 

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 143354

Temps écoulé: 34 minute(s), 49 second(s)

 

Processus mémoire infecté(s): 3

Module(s) mémoire infecté(s): 2

Clé(s) du Registre infectée(s): 12

Valeur(s) du Registre infectée(s): 6

Elément(s) de données du Registre infecté(s): 3

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 23

 

Processus mémoire infecté(s):

C:\Program Files\EoRezo\EoEngine.exe (Rogue.Eorezo) -> Unloaded process successfully.

C:\Documents and Settings\mikoto\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe (Rogue.Eorezo) -> Unloaded process successfully.

C:\WINDOWS\mse.exe (Trojan.Agent) -> Unloaded process successfully.

 

Module(s) mémoire infecté(s):

C:\Program Files\EoRezo\EoAdv\EoAdv.dll (Rogue.Eorezo) -> Delete on reboot.

c:\WINDOWS\system32\sshnas.dll (Trojan.FakeAlert) -> Delete on reboot.

 

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\TypeLib\{b6acb3f1-6a83-432c-b854-3e1056f87f4e} (Rogue.Eorezo) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{819db72d-1c28-4387-9778-e2ff3dc86f74} (Rogue.Eorezo) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{c7b76b90-3455-4ae6-a752-eac4d19689e5} (Rogue.Eorezo) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c7b76b90-3455-4ae6-a752-eac4d19689e5} (Rogue.Eorezo) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{c7b76b90-3455-4ae6-a752-eac4d19689e5} (Rogue.Eorezo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c7b76b90-3455-4ae6-a752-eac4d19689e5} (Rogue.Eorezo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\PUT2VIDQLG (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\B1RQJ7YJ0U (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eoengine (Rogue.Eorezo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\softwarehelper (Rogue.Eorezo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows rundll center (Backdoor.IRCBot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft update (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows services (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\put2vidqlg (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Program Files\EoRezo\EoEngine.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.

C:\Program Files\EoRezo\EoAdv\EoAdv.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.

C:\Documents and Settings\mikoto\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.

C:\Documents and Settings\mikoto\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdate.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.

C:\Documents and Settings\mikoto\Local Settings\Temp\i.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\mikoto\Local Settings\Temp\f.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\mikoto\Local Settings\Temporary Internet Files\Content.IE5\MAG40S5R\t[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.

C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS\wmsnmgrs.exe (Backdoor.IRCBot) -> Delete on reboot.

C:\WINDOWS\msa.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\msb.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\msc.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\msd.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\mse.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\mikoto\Local Settings\Temp\a.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Documents and Settings\mikoto\Local Settings\Temp\b.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Documents and Settings\mikoto\Local Settings\Temp\c.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Documents and Settings\mikoto\Local Settings\Temp\d.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Documents and Settings\mikoto\Local Settings\Temp\e.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\sshnas.dll (Trojan.FakeAlert) -> Delete on reboot.

C:\Documents and Settings\mikoto\Local Settings\Temp\sshnas.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

Le second rapport malewarebytes

 

Malwarebytes' Anti-Malware 1.43

Version de la base de données: 3469

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

01/01/2010 19:15:32

mbam-log-2010-01-01 (19-15-32).txt

 

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 30843

Temps écoulé: 9 minute(s), 2 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Bonsoir et bonne année,

 

Il faut éviter comme la peste les téléchargements sur EORezo, c'est lui qui est le principal responsable de ce genre de détournement de page d'accueil.

 

Je voudrais voir le rapport de MBAM que tu trouveras dans l'interface du logiciel sous l'onglet "rapports/logs"; ouvre le dernier rappaort texte et copie-en la totalité./Colle-le ici stp.

 

Télécharge ST_Fix et enregistre-le sur ton bureau.

 

---> Pour Windows Vista/7: Désactive l'UAC dans Vista: http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html (réactiver plus tard!)

Clique droit sur le Fichier ST_Fix.bat puis Exécuter en temps qu'administrateur.

Clique sur Continuer.

 

----->Pour Windows XP:

Double-Clique sur le Fichier ST_Fix.bat.

Appuie sur 3 et valide par Entrée.

Laisse le programme travailler.

Poste le rapport obtenu dans ta prochaine réponse.

Redémarre le pc.

 

Dis-moi si tu as retrouvé ta page d'accueil habituelle.

 

Poste également un nouveau log Hijackthis stp.

 

@+++

 

Edition pour orthographe.

[Apollo]

Re,

 

Une vérification stp.

 

Télécharge Lop S&D.exe sur ton Bureau.

http://eric.71.mespages.googlepages.com/LopSD.exe

 

Ou: http://eric71.geekstogo.com/tools/LopSD.exe

 

Double-clique dessus pour lancer l'installation

Puis double-clique sur le raccourci Lop S&D présent sur ton Bureau

Sous Vista: Clic droit/exécuter en temps qu'administrateur ***

 

Sélectionne la langue souhaitée , puis choisis l'option 1 (Recherche)

Patiente jusqu'à la fin du scan

Poste le rapport généré (C:\lopR.txt)

 

(Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide)

 

--------------------------------------------

 

Relance Lop S&D

 

 

Choisis cette fois ci l'Option 2 (Suppression)

Ne ferme pas la fenêtre lors de la suppression !

Poste le rapport généré (C:\lopR.txt)

 

(Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide)

 

Poste également un nouveau log Hijackthis stp.

 

@++

[moebuis]

Salut Apollo

 

Voici le rapport.

 

Oooops, j'ai toujours une fenetre de pub....

 

 

 

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

 

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3

X86-based PC ( Multiprocessor Free : Intel® Atom CPU N270 @ 1.60GHz )

BIOS : BIOS Date: 06/18/09 17:28:52 Ver: 08.00.12

USER : mikoto ( Administrator )

BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.32 (Activated)

C:\ (Local Disk) - NTFS - Total:72 Go (Free:60 Go)

D:\ (Local Disk) - NTFS - Total:72 Go (Free:71 Go)

 

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )

Option : [1] ( 01/01/2010|21:21 )

 

--------------------\\ Listing des dossiers dans APPLIC~1

 

[12/05/2009|21:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe

[12/05/2009|21:07] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Atheros

[30/08/2009|19:46] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira

[30/08/2009|10:03] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google

[01/01/2010|18:23] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes

[23/09/2009|08:20] C:\DOCUME~1\ALLUSE~1\APPLIC~1\McAfee

[20/09/2009|19:30] C:\DOCUME~1\ALLUSE~1\APPLIC~1\McAfee Security Scan

[07/10/2009|14:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft

[27/12/2009|10:55] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Help

[12/05/2009|21:58] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype

[18/12/2009|21:12] C:\DOCUME~1\ALLUSE~1\APPLIC~1\VIEW CHIN TRAY SOFTWARE

[02/09/2009|13:01] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage

[12/05/2009|21:06] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Wireless LAN Card

 

[12/05/2009|22:22] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Adobe

[12/05/2009|20:47] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Identities

[12/05/2009|21:06] C:\DOCUME~1\DEFAUL~1\APPLIC~1\InstallShield

[12/05/2009|22:25] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

 

[01/01/2010|12:45] C:\DOCUME~1\LOCALS~1\APPLIC~1\Adobe

[01/01/2010|12:47] C:\DOCUME~1\LOCALS~1\APPLIC~1\Macromedia

[12/05/2009|20:47] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

 

[28/09/2009|12:08] C:\DOCUME~1\mikoto\APPLIC~1\Adobe

[09/10/2009|20:44] C:\DOCUME~1\mikoto\APPLIC~1\Agence Exclusive

[01/01/2010|12:02] C:\DOCUME~1\mikoto\APPLIC~1\FunkNewAudio

[30/08/2009|10:04] C:\DOCUME~1\mikoto\APPLIC~1\Google

[12/05/2009|20:47] C:\DOCUME~1\mikoto\APPLIC~1\Identities

[12/05/2009|21:06] C:\DOCUME~1\mikoto\APPLIC~1\InstallShield

[30/08/2009|10:03] C:\DOCUME~1\mikoto\APPLIC~1\Macromedia

[01/01/2010|18:23] C:\DOCUME~1\mikoto\APPLIC~1\Malwarebytes

[19/12/2009|16:09] C:\DOCUME~1\mikoto\APPLIC~1\Microsoft

[11/12/2009|18:58] C:\DOCUME~1\mikoto\APPLIC~1\Skype

 

[12/05/2009|20:47] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

 

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

 

[01/01/2010 20:53][--a------] C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[01/01/2010 21:02][--a------] C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[14/04/2008 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

[01/01/2010 21:01][--ah-----] C:\WINDOWS\tasks\SA.DAT

 

--------------------\\ Listing des dossiers dans C:\Program Files

 

[12/05/2009|21:49] C:\Program Files\Adobe

[01/01/2010|19:20] C:\Program Files\Ad-Remover

[09/10/2009|20:47] C:\Program Files\Agence Exclusive

[12/05/2009|21:28] C:\Program Files\ASUS

[12/05/2009|21:07] C:\Program Files\Atheros

[30/08/2009|19:46] C:\Program Files\Avira

[01/01/2010|14:01] C:\Program Files\CCleaner

[12/05/2009|20:42] C:\Program Files\ComPlus Applications

[30/09/2009|12:35] C:\Program Files\DivX

[12/05/2009|21:08] C:\Program Files\EeePC

[30/09/2009|12:35] C:\Program Files\Fichiers communs

[18/12/2009|21:12] C:\Program Files\FunkNewAudio

[30/09/2009|12:36] C:\Program Files\Google

[12/05/2009|21:14] C:\Program Files\InstallShield Installation Information

[12/05/2009|20:55] C:\Program Files\Intel

[09/12/2009|20:29] C:\Program Files\Internet Explorer

[01/01/2010|18:23] C:\Program Files\Malwarebytes' Anti-Malware

[20/09/2009|19:30] C:\Program Files\McAfee Security Scan

[12/05/2009|21:41] C:\Program Files\Messenger

[12/05/2009|21:56] C:\Program Files\Microsoft

[12/05/2009|20:44] C:\Program Files\microsoft frontpage

[12/05/2009|22:04] C:\Program Files\Microsoft Office

[12/05/2009|22:06] C:\Program Files\Microsoft Office Suite Activation Assistant

[09/10/2009|15:13] C:\Program Files\Microsoft Silverlight

[12/05/2009|21:56] C:\Program Files\Microsoft SQL Server Compact Edition

[12/05/2009|21:57] C:\Program Files\Microsoft Sync Framework

[09/10/2009|15:14] C:\Program Files\Microsoft Works

[12/05/2009|22:04] C:\Program Files\Microsoft.NET

[12/05/2009|20:42] C:\Program Files\Movie Maker

[28/08/2009|20:18] C:\Program Files\MSBuild

[12/05/2009|20:41] C:\Program Files\MSN Gaming Zone

[09/10/2009|20:46] C:\Program Files\NetMeeting

[12/05/2009|21:58] C:\Program Files\Norton Internet Security

[28/08/2009|20:13] C:\Program Files\Outlook Express

[29/09/2009|18:06] C:\Program Files\QuickTime

[12/05/2009|21:04] C:\Program Files\Realtek

[28/08/2009|20:18] C:\Program Files\Reference Assemblies

[01/01/2010|12:02] C:\Program Files\Search Guard Plus

[12/05/2009|20:42] C:\Program Files\Services en ligne

[12/05/2009|21:58] C:\Program Files\Skype

[12/05/2009|21:10] C:\Program Files\Synaptics

[12/05/2009|20:47] C:\Program Files\Uninstall Information

[12/05/2009|21:11] C:\Program Files\USB2.0 UVC Camera Device

[13/10/2009|18:28] C:\Program Files\Windows Live

[12/05/2009|21:55] C:\Program Files\Windows Live SkyDrive

[12/05/2009|22:01] C:\Program Files\Windows Media Connect 2

[12/05/2009|22:01] C:\Program Files\Windows Media Player

[10/10/2009|12:49] C:\Program Files\Windows NT

[12/05/2009|20:43] C:\Program Files\WindowsUpdate

[12/05/2009|20:44] C:\Program Files\xerox

 

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

 

[12/05/2009|21:50] C:\Program Files\Fichiers communs\Adobe

[12/05/2009|22:04] C:\Program Files\Fichiers communs\DESIGNER

[30/09/2009|12:35] C:\Program Files\Fichiers communs\DivX Shared

[12/05/2009|21:12] C:\Program Files\Fichiers communs\InstallShield

[27/12/2009|10:54] C:\Program Files\Fichiers communs\Microsoft Shared

[12/05/2009|20:42] C:\Program Files\Fichiers communs\MSSoap

[12/05/2009|22:38] C:\Program Files\Fichiers communs\ODBC

[12/05/2009|20:42] C:\Program Files\Fichiers communs\Services

[12/05/2009|21:58] C:\Program Files\Fichiers communs\Skype

[12/05/2009|22:38] C:\Program Files\Fichiers communs\SpeechEngines

[12/05/2009|20:42] C:\Program Files\Fichiers communs\System

[12/05/2009|21:53] C:\Program Files\Fichiers communs\Windows Live

 

--------------------\\ Process

 

( 44 Processes )

 

IEXPLORE.EXE ~ [PID:2384]

iexplore.exe ~ [PID:2888]

iexplore.exe ~ [PID:2940]

 

--------------------\\ Recherche avec S_Lop

 

Aucun fichier / dossier Lop trouvé !

 

--------------------\\ Recherche de Fichiers / Dossiers Lop

 

Aucun fichier / dossier Lop trouvé !

 

--------------------\\ Verification du Registre

 

..... OK !

 

--------------------\\ Verification du fichier Hosts

 

Fichier Hosts PROPRE

 

 

--------------------\\ Recherche de fichiers avec Catchme

 

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-01 21:23:31

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden files: 0

 

--------------------\\ Recherche d'autres infections

 

 

Aucune autre infection trouvée !

 

[F:88][D:25]-> C:\DOCUME~1\mikoto\LOCALS~1\Temp

[F:35][D:0]-> C:\DOCUME~1\mikoto\Cookies

[F:3650][D:9]-> C:\DOCUME~1\mikoto\LOCALS~1\TEMPOR~1\content.IE5

 

1 - "C:\Lop SD\LopR_1.txt" - 01/01/2010|21:24 - Option : [1]

 

--------------------\\ Fin du rapport a 21:24:30

 

 

 

 

Re,

 

Une vérification stp.

 

Télécharge Lop S&D.exe sur ton Bureau.

http://eric.71.mespages.googlepages.com/LopSD.exe

 

Ou: http://eric71.geekstogo.com/tools/LopSD.exe

 

Double-clique dessus pour lancer l'installation

Puis double-clique sur le raccourci Lop S&D présent sur ton Bureau

Sous Vista: Clic droit/exécuter en temps qu'administrateur ***

 

Sélectionne la langue souhaitée , puis choisis l'option 1 (Recherche)

Patiente jusqu'à la fin du scan

Poste le rapport généré (C:\lopR.txt)

 

(Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide)

 

--------------------------------------------

 

Relance Lop S&D

 

 

Choisis cette fois ci l'Option 2 (Suppression)

Ne ferme pas la fenêtre lors de la suppression !

Poste le rapport généré (C:\lopR.txt)

 

(Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide)

 

Poste également un nouveau log Hijackthis stp.

 

@++

[Apollo]

Ne me cite pas chaque fois stp; utilise juste le bouton réponse, celui qui se trouve entre Flash et Nouveau, merci.

 

 

Quel genre de fenêtre de pub? Tu pourrais en faire une capture d'écran quand ça arrive?

 

-------------------------

Fais ceci:

 

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien:

 

OTM

 

Ou ici: http://ottools.noahdfear.net/OTM.exe

 

• Double-clique sur OTM.exe pour le lancer (l'extension .exe peut ne pas apparaître)
   
  ---> sous VISTA: clic droit: exécuter en temps qu'administrateur.
   
  
• Copie l'entièreté du code ci-dessous (depuis :Processes)
  

  :Processes
  
  explorer.exe
  
  :Files
  
  :Reg
  
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "enc nurb"=-
  
  :Commands
  [purity]
  [emptytemp]

  
   
  

• Colle ce code dans la partie jaune de OtMoveIt3 intitulée:
  "Paste Instructions for Items to be Moved"
   
  
• Clique sur le bouton Moveit! pour lancer le nettoyage:
   
  
• Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results
  --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
  
• Ferme OTM en cliquant sur Exit:
  

Note : Si un fichier ou un dossier ne peut être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter.

 

*** L'outil va terminer son travail après le redémarrage du pc puis fournira son rapport; copie/colle le dans ta réponse stp.

 

@++

[moebuis]

Salut Apollo,

 

La fenetre de pub est pour acheter une maison loi scellier pour 8 Euro par jour (pendant 250 ans ?)

 

Voici le rapport OTM

 

All processes killed

========== PROCESSES ==========

No active process named explorer.exe was found!

========== FILES ==========

========== REGISTRY ==========

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\enc nurb deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: LocalService

->Temp folder emptied: 66016 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: mikoto

->Temp folder emptied: 136174988 bytes

->Temporary Internet Files folder emptied: 19919850 bytes

->Google Chrome cache emptied: 0 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 3072 bytes

Windows Temp folder emptied: 21328904 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23909912 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 192,00 mb

 

 

OTM by OldTimer - Version 3.1.4.0 log created on 01012010_215418

 

Files moved on Reboot...

 

Registry entries deleted on Reboot...

[Apollo]

Bizarre autant qu'étarnge ce machin là

 

Assure toi que la console Java est bien la plus récente; pour le savoir rends-toi sur cette page et clique sur Vérifier la version de Java -> http://www.java.com/fr/download/installed.jsp -> Il te sera indiqué si tu dois installer la dernière version.

Si tu installes une nouvelle version Java, désinstalle toutes les plus anciennes via ajout/suppr de programmes.

 

JavaRa ou désinstaller proprement les anciennes versions de la console Java

 

Fais un scan en ligne avec Kaspersky.

 

Va dans outils/options internet et sous l'onglet sécurité, clique sur "par défaut".

 

TUTO: http://www.vista-xp.fr/forum/topic109.html

 

Désactive ton antivirus le temps d'installation et de mises à jour du webscanner Kaspersky.

 

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Patiente le temps d'installation du Webscanner.
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

@++

[moebuis]

Salut

 

Il semble que l'option du scan en ligne de kapersky n'est pas dispo en ce moment..

 

Coming soon:

A new, improved version of the

Kaspersky Online Scanner

The current Kaspersky Online Scanner is unavailable - we apologize for the inconvenience.

[moebuis]

Il est possible que java n'ai pas été installé sur cette machine auparavant