Redirection Google

[philipemile]

re bonjour,

 

 

plus de nouvelles de mon problème...

il est vrai hier il se faisait tard.....

à bientot pour de nouvel éclircissement,

salutations,

philipemile

[Mark]

Bonjour philipemile

 

Une manip rapide :

===========

 

Télécharge l'outil suivant (de noahdfear) sur ton Bureau :

http://noahdfear.net/downloads/HAMeb_check.exe

 

> Lance-le. Un rapport apparaîtra à l'écran ; copie/colle son contenu ici, dans ta réponse.

 

@+

 

Mark

[philipemile]

voilà le rapport , excuse, mais d'autres occupations m'ont empêché de répondre de suite,

merci

 

 

 

 

C:\Documents and Settings\Administrateur.TITANIUM\Bureau\HAMeb_check.exe

mer. 12/05/2010 at 16:05:08,44

 

Compteÿ: actif Oui

Appartient aux groupes locaux *Administrateurs

 

~~ Checking profile list ~~

 

S-1-5-21-436374069-1343024091-1826246835-1000

%SystemDrive%\Documents and Settings\HelpAssistant

 

~~ Checking for HelpAssistant directories ~~

 

HelpAssistant

 

~~ Checking mbr ~~

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x864C6EA0]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\ACPI -> 0x864c6ea0

NDIS: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family -> SendCompleteHandler -> 0x8618c5c0

Warning: possible MBR rootkit infection !

copy of MBR has been found in sector 50 !

copy of MBR has been found in sector 0x0E4FBFE2

malicious code @ sector 0x0E4FBFE5 !

PE file found in sector at 0x0E4FBFFB !

MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

 

~~ Checking for termsrv32.dll ~~

 

termsrv32.dll present!

 

 

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\termservice\parameters

ServiceDll REG_EXPAND_SZ %SystemRoot%\System32\termsrv32.dll

 

~~ Checking firewall ports ~~

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile\GloballyOpenPorts\List]

"65533:TCP"=65533:TCP:*:Enabled:Services

"52344:TCP"=52344:TCP:*:Enabled:Services

"4877:TCP"=4877:TCP:*:Enabled:Services

"8254:TCP"=8254:TCP:*:Enabled:Services

"3389:TCP"=3389:TCP:*:Enabled:Remote Desktop

"4493:TCP"=4493:TCP:*:Enabled:Services

"7486:TCP"=7486:TCP:*:Enabled:Services

"3021:TCP"=3021:TCP:*:Enabled:Services

"4542:TCP"=4542:TCP:*:Enabled:Services

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"65533:TCP"=65533:TCP:*:Enabled:Services

"52344:TCP"=52344:TCP:*:Enabled:Services

"4877:TCP"=4877:TCP:*:Enabled:Services

"8254:TCP"=8254:TCP:*:Enabled:Services

"3389:TCP"=3389:TCP:*:Enabled:Remote Desktop

"4493:TCP"=4493:TCP:*:Enabled:Services

"7486:TCP"=7486:TCP:*:Enabled:Services

"3021:TCP"=3021:TCP:*:Enabled:Services

"4542:TCP"=4542:TCP:*:Enabled:Services

 

 

~~ EOF ~~

[Mark]

Très bien

 

Pour la suite, prends le temps nécessaire. Lis bien la procédure ci-bas avant de l'exécuter :

=======

 

Avis aux visiteurs : cette procédure est personnalisée pour la machine de philipemile

 

*Important : il faut suivre les instructions suivantes à la lettre, selon la séquence prescrite. Prière d'imprimer les instructions car aucun programme sauf l'outil ne doit être lancé durant la procédure, navigateur inclus.

 

Télécharge l'outil suivant et sauvegarde-le sur le Bureau (merci à noahdfear) :

http://noahdfear.net/downloads/HelpAsst/He...mebroot_fix.exe

(pour XP seulement)

 

- Ferme tous les programmes lancés/ouverts.

- Lance l'outil par double-clic et suis les invites.

- Si l'outil détecte un infection du MBR : permets-lui de lancer "mbr -f" et ensuite d'éteindre la machine.

- Après redémarrage, patiente 5 minutes (n'ouvre ou ne lance rien), et ensuite fais ceci :

> Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" :

 

helpasst -mbrt

 

(il y a un espace après "helpasst")

 

- L'outil va tourner, puis produire un rapport ;

- Copie/colle le contenu de ce rapport ici, dans ta réponse.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Cette étape-ci n'est à exécuter que si l'outil n'a pas trouvé d'infection du MBR durant l'étape précédente.

 

**Si l'outil ne détecte pas d'infection du MBR et complète sa routine sans redémarrer la machine :

 

> Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" :

 

mbr -f

 

(il y a un espace après "mbr")

 

- Prière de refaire l'étape ci-haut une seconde fois (exécuter la commande mbr -f)

- Maintenant, éteinds la machine (pas un redémarrage, mais un arrêt).

- Attends quelques minutes (3 ou 4), puis démarre la machine à nouveau ;

- Patiente 5 minutes, après le démarrage (ne lance rien).

> Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" :

 

helpasst -mbrt

 

(il y a un espace après "helpasst")

 

- L'outil va tourner, puis produire un rapport ;

- Copie/colle le contenu de ce rapport ici, dans ta réponse.

=====

 

*Note importante pour les machines Dell : une réparation du MBR peut retirer l'accès à l'utilitaire de restauration d'usine, qui permet une restauration à l'état d'origine via une touche du clavier, au démarrage. Il existe quelques méthodes pour y remédier, mais celles-ci sont quelque peu complexes. Si le risque te semble trop important, il est alors déconseillé de laisser l'outil exécuter la commande "mbr -f" ou d'exécuter cette dernière manuellement ; si c'est la cas, tu devras alors restaurer la machine à son état d'origine (ce qui correspond à un formatage), ou bien ne rien faire et conserver un Master Boot Record infecté (non recommandé).

 

==

==

 

Si tu as des questions, n'hésite pas

 

@+

 

Mark

[philipemile]

[

je travaille en parallèle avec un portable pour les instruction

 

merci

 

 

 

 

C:\Documents and Settings\Administrateur.TITANIUM\Bureau\HelpAsst_mebroot_fix.exe

mer. 12/05/2010 at 16:26:38,30

 

HelpAssistant account is Active ~ attempting to de-activate

 

Compteÿ: actif Oui

Appartient aux groupes locaux *Administrateurs

 

HelpAssistant successfully set Inactive

 

~~ Checking for termsrv32.dll ~~

 

termsrv32.dll present! ~ attempting to remove

Remove on reboot: C:\WINDOWS\system32\termsrv32.dll

 

~~ Checking firewall ports ~~

 

backing up DomainProfile\GloballyOpenPorts\List registry key

closing rogue ports

 

HKLM\~\services\sharedaccess\parameters\firewallpolicy\domainprofile\globallyopenports\list

"65533:TCP"=-

"52344:TCP"=-

"4877:TCP"=-

"8254:TCP"=-

"3389:TCP"=-

"4493:TCP"=-

"7486:TCP"=-

"3021:TCP"=-

"4542:TCP"=-

 

backing up StandardProfile\GloballyOpenPorts\List registry key

closing rogue ports

 

HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\globallyopenports\list

"65533:TCP"=-

"52344:TCP"=-

"4877:TCP"=-

"8254:TCP"=-

"3389:TCP"=-

"4493:TCP"=-

"7486:TCP"=-

"3021:TCP"=-

"4542:TCP"=-

 

~~ Checking profile list ~~

 

HelpAssistant profile found in registry ~ backing up and removing S-1-5-21-436374069-1343024091-1826246835-1000

HelpAssistant profile directory exists at C:\Documents and Settings\HelpAssistant ~ attempting to remove

~ All C:\Documents and Settings\HelpAssistant files successfully removed ~

 

~~ Checking mbr ~~

 

mbr infection detected! ~ running mbr -f

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\ACPI -> 0x864c6ea0

NDIS: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family -> SendCompleteHandler -> 0x8618c5c0

Warning: possible MBR rootkit infection !

copy of MBR has been found in sector 50 !

copy of MBR has been found in sector 0x0E4FBFE2

malicious code @ sector 0x0E4FBFE5 !

PE file found in sector at 0x0E4FBFFB !

MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

original MBR restored successfully !

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\ACPI -> 0x864c6ea0

NDIS: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family -> SendCompleteHandler -> 0x8618c5c0

Warning: possible MBR rootkit infection !

user & kernel MBR OK

copy of MBR has been found in sector 0x0E4FBFE2

malicious code @ sector 0x0E4FBFE5 !

PE file found in sector at 0x0E4FBFFB !

Use "Recovery Console" command "fixmbr" to clear infection !

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Status check on mer. 12/05/2010 at 16:53:01,77

 

Compteÿ: actif Non

Appartient aux groupes locaux

 

~~ Checking mbr ~~

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys PCIIDEX.SYS

kernel: MBR read successfully

user & kernel MBR OK

copy of MBR has been found in sector 0x0E4FBFE2

malicious code @ sector 0x0E4FBFE5 !

PE file found in sector at 0x0E4FBFFB !

 

~~ Checking for termsrv32.dll ~~

 

termsrv32.dll not found

 

 

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\termservice\parameters

ServiceDll REG_EXPAND_SZ %systemroot%\System32\termsrv.dll

 

~~ Checking profile list ~~

 

No HelpAssistant profile in registry

 

~~ Checking for HelpAssistant directories ~~

 

none found

 

~~ Checking firewall ports ~~

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

 

 

~~ EOF ~~

[pear]

Bonsoir

Désolé, pour le retard,

mais long Week-end->Grande famille->Grosses courses

 

Merci à Mark, pour sa bénéfique intrusion

 

 

Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Sous Vista, exécuter avec privilèges Administrateur

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :

C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots

Et sous Vista :

C:\ProgramData\Spybot - Search & Destroy\Snapshots

 

 

Télécharger DeFogger de Jpshortstuff sur le bureau.

 

Double cliquer sur DeFogger pour démarrer l'outil.

 

La fenêtre de DeFogger apparaît

Cliquer sur le bouton Disable pour désactiver les drivers d'émulateurs CD.

Cliquer sur Yes pour continuer

Un message 'Finished!' apparaîtra

Cliquer sur OK

DeFogger demandera de redémarrer la machine, OK

 

Ne réactivez PAS ces drivers avant la fin de la désinfection

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

File::

c:\windows\system32\qrhdhujx.exe

c:\documents and settings\Administrateur.TITANIUM\qrhdhujx.exe

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

 

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Modifié le 12 mai 2010 par pear

[philipemile]

salut,

 

j'ai fait ce qu'il fallait pour Spyboot, faut-il le démarrer,

en ce qui concerne Defog , la machine ne s'éteint pas seule, faut -il la redémarrer ,

 

voici le radefogger_

 

 

disable by jpshortstuff (23.02.10.1)

Log created at 18:17 on 12/05/2010 (Administrateur)

 

Checking for autostart values...

HKCU\~\Run values retrieved.

HKLM\~\Run values retrieved.

 

Checking for services/drivers...

SPTD -> Already disabled

 

 

-=E.O.F=-pport de dEfog

[philipemile]

ComboFix 10-05-11.06 - Administrateur 12/05/2010 19:22:09.3.1 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.697 [GMT 2:00]

Lancé depuis: c:\documents and settings\Administrateur.TITANIUM\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Administrateur.TITANIUM\Bureau\CFScript.txt

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

AV: Bitdefender Antivirus *On-access scanning enabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}

 

FILE ::

"c:\documents and settings\Administrateur.TITANIUM\qrhdhujx.exe"

"c:\windows\system32\qrhdhujx.exe"

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-12 au 2010-05-12 ))))))))))))))))))))))))))))))))))))

.

 

2010-05-12 14:26 . 2010-05-12 14:26 -------- d-----w- C:\HelpAsst_backup

2010-05-11 15:54 . 2010-05-11 15:54 -------- d-----w- C:\rsit

2010-05-07 13:27 . 2010-05-11 21:18 -------- d-----w- c:\program files\ZHPDiag

2010-05-06 17:32 . 2010-05-06 17:32 1956808 ----a-w- c:\documents and settings\Administrateur.TITANIUM\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe

2010-05-01 18:22 . 2010-05-01 18:22 -------- d-----w- c:\documents and settings\Administrateur.TITANIUM\Application Data\Avira

2010-05-01 18:18 . 2010-03-01 08:05 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys

2010-05-01 18:18 . 2010-02-16 12:24 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2010-05-01 18:18 . 2009-05-11 10:49 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2010-05-01 18:18 . 2009-05-11 10:49 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2010-05-01 18:18 . 2010-05-01 18:18 -------- d-----w- c:\program files\Avira

2010-05-01 18:18 . 2010-05-01 18:18 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Avira

2010-05-01 18:04 . 2008-04-13 17:33 26624 ----a-w- c:\documents and settings\LocalService.AUTORITE NT\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

2010-05-01 15:09 . 2010-05-01 15:09 -------- d-sh--w- c:\documents and settings\All Users.WINDOWS\Application Data\MSCOZBE

2010-05-01 07:59 . 2010-05-01 16:15 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Lavasoft

2010-04-30 21:16 . 2010-04-30 21:16 -------- d-sh--w- c:\windows\system32\config\systemprofile\PrivacIE

2010-04-30 21:16 . 2010-04-30 21:16 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache

2010-04-30 19:04 . 2010-04-30 19:04 -------- d-sh--w- c:\documents and settings\LocalService.AUTORITE NT\PrivacIE

2010-04-30 19:04 . 2010-04-30 19:04 -------- d-----r- c:\documents and settings\LocalService.AUTORITE NT\Favoris

2010-04-30 17:11 . 2010-05-01 15:54 579584 -c--a-w- c:\windows\system32\dllcache\user32.dll

2010-04-30 17:07 . 2010-04-30 17:07 -------- d-sh--w- c:\documents and settings\NetworkService.AUTORITE NT\IETldCache

2010-04-23 21:41 . 2010-04-23 21:41 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Flood Light Games

2010-04-23 21:41 . 2010-04-23 21:41 -------- d-----w- c:\documents and settings\Administrateur.TITANIUM\Saved Games

2010-04-23 21:41 . 2010-04-23 21:41 -------- d-----w- c:\documents and settings\Administrateur.TITANIUM\Application Data\Flood Light Games

2010-04-23 20:42 . 2010-04-23 20:42 -------- d-----w- c:\program files\Duplicate Cleaner

2010-04-14 21:55 . 2010-05-12 16:06 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy

2010-04-14 21:55 . 2010-05-01 10:22 -------- d-----w- c:\program files\Spybot - Search & Destroy

2010-04-14 08:06 . 2010-04-14 08:06 -------- d-----w- c:\documents and settings\Administrateur.TITANIUM\Application Data\Frogwares

2010-04-13 19:07 . 2010-04-13 19:07 -------- d-----w- c:\documents and settings\Administrateur.TITANIUM\Application Data\Silverback Productions

2010-04-13 19:07 . 2010-04-13 19:07 4096 ----a-w- c:\windows\d3dx.dat

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-05-11 20:44 . 2009-10-07 14:24 -------- d---a-w- c:\documents and settings\All Users.WINDOWS\Application Data\TEMP

2010-05-11 19:10 . 2009-08-16 15:57 -------- d-----w- c:\program files\Trend Micro

2010-05-10 16:00 . 2009-07-25 17:45 68992 ----a-w- c:\documents and settings\Administrateur.TITANIUM\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-05-09 07:07 . 2009-07-24 15:03 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-05-08 22:33 . 2009-10-27 18:56 1477528 ----a-w- c:\documents and settings\LocalService.AUTORITE NT\Local Settings\Application Data\FontCache3.0.0.0.dat

2010-05-08 18:07 . 2009-10-27 19:16 -------- d-----w- c:\documents and settings\Administrateur.TITANIUM\Application Data\Corel

2010-05-08 16:36 . 2009-10-27 19:16 952 --sha-w- c:\documents and settings\All Users.WINDOWS\Application Data\KGyGaAvL.sys

2010-05-08 16:36 . 2009-10-27 19:16 952 --sha-w- c:\documents and settings\All Users.WINDOWS\Application Data\KGyGaAvL.sys

2010-05-07 18:43 . 2009-07-30 19:45 -------- d-----w- c:\documents and settings\Administrateur.TITANIUM\Application Data\vlc

2010-05-07 18:43 . 2009-07-26 15:00 -------- d-----w- c:\documents and settings\Administrateur.TITANIUM\Application Data\uTorrent

2010-05-07 14:08 . 2009-07-24 15:22 -------- d-----w- c:\program files\Fichiers communs\Softwin

2010-05-02 17:04 . 2009-07-26 16:21 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-05-01 15:54 . 2004-08-04 00:54 579584 ----a-w- c:\windows\system32\user32.dll

2010-05-01 15:29 . 2009-07-25 19:08 81984 ----a-w- c:\windows\system32\bdod.bin

2010-05-01 10:48 . 2004-08-22 22:35 1037824 ----a-w- c:\windows\explorer.exe

2010-04-29 13:39 . 2009-07-26 16:21 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-29 13:39 . 2009-07-26 16:21 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-04-11 14:30 . 2009-07-26 19:25 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Microsoft Help

2010-04-11 14:29 . 2010-04-11 14:29 -------- d-----w- c:\program files\Microsoft Works

2010-04-11 14:29 . 2009-10-27 18:55 -------- d-----w- c:\program files\MSBuild

2010-04-11 14:27 . 2010-04-11 14:27 -------- d-----w- c:\program files\Microsoft.NET

2010-04-11 14:24 . 2010-04-11 14:24 -------- d-----w- c:\program files\Microsoft Visual Studio 8

2010-03-28 07:26 . 2001-08-24 14:00 81626 ----a-w- c:\windows\system32\perfc00C.dat

2010-03-28 07:26 . 2001-08-24 14:00 503628 ----a-w- c:\windows\system32\perfh00C.dat

2010-03-16 07:51 . 2009-07-24 15:03 -------- d-----w- c:\program files\Fichiers communs\InstallShield

2010-03-08 22:11 . 2010-03-08 22:11 354560 ----a-w- c:\windows\system32\TuneUpDefragService.exe

2010-03-08 21:00 . 2009-07-26 19:08 691696 ----a-w- c:\windows\system32\drivers\sptd.sys

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"bdss"=2 (0x2)

"LIVESRV"=2 (0x2)

"ACDaemon"=2 (0x2)

"XCOMM"=2 (0x2)

"VSSERV"=2 (0x2)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"Microsoft Office Outlook"=c:\progra~1\MICROS~2\Office12\OUTLOOK.EXE /recycle

"SpybotSD TeaTimer"=c:\program files\Spybot - Search & Destroy\TeaTimer.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe"

"ArcSoft Connection Service"=c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe

"CorelGadget"=Rundll32.exe "c:\program files\Fichiers communs\Ulead Systems\Gadget\GadgetEB.dll",LaunchGadget

"Standby"="c:\program files\Fichiers communs\Corel\Standby\Standby.exe" -START

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\WINDOWS\\system32\\sessmgr.exe"=

 

R1 archlp;archlp;c:\windows\system32\drivers\archlp.sys [4/08/2009 10:36 11392]

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [1/05/2010 20:18 135336]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [26/07/2009 21:08 691696]

.

Contenu du dossier 'Tâches planifiées'

 

2010-05-12 c:\windows\Tasks\User_Feed_Synchronization-{7E4C03D1-119E-48C6-868C-8D47818C3EE0}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.skynet.be/

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

Trusted Zone: dexia.be\directnet

TCP: {24ABC56A-03AC-4489-8E26-E5CCA6FA89CB} = 192.168.1.1

FF - ProfilePath - c:\documents and settings\Administrateur.TITANIUM\Application Data\Mozilla\Firefox\Profiles\r3kivfuj.default\

FF - prefs.js: browser.search.defaulturl - hxxp://flvdirect.iamwired.net/websearch.php?src=tops&search=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.skynet.be/|http://flvdirect.iamwired.net/

FF - prefs.js: keyword.URL - hxxp://flvdirect.iamwired.net/websearch.php?src=tops&search=

 

---- PARAMETRES FIREFOX ----

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: content.notify.interval - 600000

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.switch.threshold - 600000

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-05-12 19:26

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (LocalSystem)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,20,0b,49,57,d4,97,15,45,b2,21,7e,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,20,0b,49,57,d4,97,15,45,b2,21,7e,\

 

[HKEY_USERS\S-1-5-21-436374069-1343024091-1826246835-500\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (Administrator)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,68,fd,c2,d3,78,df,76,44,be,c0,ab,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,dc,6e,da,81,35,d3,15,40,bf,b3,bf,\

"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b2,dc,02,7d,b9,02,26,4e,ad,5d,6a,\

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(3832)

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\windows\system32\HPZipm12.exe

c:\windows\system32\wscntfy.exe

c:\program files\Avira\AntiVir Desktop\avshadow.exe

.

**************************************************************************

.

Heure de fin: 2010-05-12 19:29:00 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-05-12 17:28

ComboFix2.txt 2010-05-12 17:12

ComboFix3.txt 2010-05-01 16:08

 

Avant-CF: 72.379.744.256 octets libres

Après-CF: 72.343.166.976 octets libres

 

- - End Of File - - D0FF6AEE0C9D7191BBE75B5653311791

[philipemile]

Bonsoir Pear, merci pour ta patience,

le rapport est ci-dessus, le combofix s'est bien déroulé, j'ai remis en route les driver(je crois ) avec Defrog;

 

j'ai fait un essai avec mon "Google" redirigé........hélas cettte "me..e" 'est toujours présente !

pas de chance....

on fait quoi ?

salutations

philipemile

[pear]

Il me semble que vous n'utilisez que IE.

Installez et utilisez Firefox que l'on voie si le problème persiste

Modifié le 12 mai 2010 par pear