détournement de ma page firefox

[pinok1]

bonjour a tous,

 

je ne sais si je suis vraiment infecter, mais je me pose la question depuis peu, car quand je fais une recherche sur google avec mozilla mes pages sont parfois rediriger sur "dao finder"

 

et mon anti virus ne détecte rien , je vous joins un rapport hijack pour toutes information

et dans attente de votre réponse merci

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:36:00, on 05/06/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Admin\Bureau\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} -C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} -C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\JavaUpdate\jusched.exe"

O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICELOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y"%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe(User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICERÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Defaultuser')

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration -{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ProgramFiles\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{40E05869-CF54-43FF-B8BE-FB9D311E0D13}:NameServer = 212.27.40.240,212.27.40.241

O17 - HKLM\System\CS1\Services\Tcpip\..\{40E05869-CF54-43FF-B8BE-FB9D311E0D13}:NameServer = 212.27.40.240,212.27.40.241

O20 - AppInit_DLLs: C:\WINDOWS\system32\colbact32.dll

O20 - Winlogon Notify: 7019af66942 - C:\WINDOWS\system32\colbact32.dll

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH -C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\ProgramFiles\Avira\AntiVir Desktop\avguard.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\ProgramFiles\Ahead\InCD\InCDsrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc.- C:\Program Files\Java\jre6\bin\jqs.exe

 

EOF - 4440 bytes

Modifié le 6 juin 2010 par pinok1

[Mark]

Bonjour pinok1

 

On se recroise, on dirait... C'est moi qui était là lorsque Virut a frappé ta machine en Mars 2009. J'ai retrouvé ton sujet de Novembre 2008, avec de grosses infections là aussi. Quand je regarde ces deux sujets et le rapport de celui-ci, je réalise que j'avais oublié de te mentionner quelque chose d'important : ton XP est modifié et pas du tout à jour... C'est plus évident aujourd'hui qu'en Mars 2009, mais bon. XP avec le SP2 n'est plus supporté par Microsoft depuis Avril, et IE6 est un vrai aimant à infections. Pas surprenant qu'on se recroise ainsi. Et oui, on dirait bien que tu es infecté à nouveau.

 

En gros : sans mises à jour importantes mais surtout sans un système parfaitement légal (reprends-moi si je dis des conneries..), nous ne pourrons plus t'aider avec cette machine-là (lire ce XP-là). C'est dans la Charte et c'est aussi très logique ; pourquoi bosser (bénévolement) sur des systèmes modifiés et pas à jour ?

 

Tu n'avais pas été averti la dernière fois, je pense (mea culpa), alors je suis prêt à regarder cette fois-ci, seulement. Tu devais même t'y attendre un brin...

==============

 

Tu connais ComboFix, mais je te pointe tout de même vers le guide d'utilisation officiel :

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

 

> Si la Console de Récupération est toujours sur ta machine, c'est parfait ; sinon, il faudra impérativement la remettre (c'est expliqué dans le guide).

> N'oublie pas de désactiver l'antivirus ainsi que WinPatrol avant de lancer l'outil.

> Colle le rapport de ComboFix dans ta réponse.

 

@+

 

Mark

[pinok1]

bonjour mark,

je te remercie encore une fois pour ton aide, contrairement a moi tu a une bonne mémoire...

je me souvient de virut j'ai du d'ailleurs re-formaté mon pc après avoir tous vérifier les logiciels avec le lien que tu n'avait donné.

petite explication de mon xp, réel qu'il est modifié mais, c'est à la suite d'un gros plantage de mon disque dur mort (pc acer du commerce)et au déplacement de ma tour allumée pour nettoyage,dont je n'avais pas fait de disquette de sauvegarde.

un copain à cette époque m'avait fait ce xp en copiant l'ancien disque avec divers modifications dessus, me disant aussi que n'aurait plus de souci .... !

et en ce qui concernent les mises à jour je n'y pense pas non plus, et ne suis pas les actualités. d'autant que je re-formate mon pc 3/4 fois par an.

hélas un xp légal n'est pas dans mes moyens pour le moment et comprends votre chatre a vous tous, surtout en tant que bénévole dont le respect vous aient offert.

 

encore merci de ton aide je vais bosser un peu sur cela

jean luc

 

Bonjour pinok1

 

On se recroise, on dirait... C'est moi qui était là lorsque Virut a frappé ta machine en Mars 2009. J'ai retrouvé ton sujet de Novembre 2008, avec de grosses infections là aussi. Quand je regarde ces deux sujets et le rapport de celui-ci, je réalise que j'avais oublié de te mentionner quelque chose d'important : ton XP est modifié et pas du tout à jour... C'est plus évident aujourd'hui qu'en Mars 2009, mais bon. XP avec le SP2 n'est plus supporté par Microsoft depuis Avril, et IE6 est un vrai aimant à infections. Pas surprenant qu'on se recroise ainsi. Et oui, on dirait bien que tu es infecté à nouveau.

 

En gros : sans mises à jour importantes mais surtout sans un système parfaitement légal (reprends-moi si je dis des conneries..), nous ne pourrons plus t'aider avec cette machine-là (lire ce XP-là). C'est dans la Charte et c'est aussi très logique ; pourquoi bosser (bénévolement) sur des systèmes modifiés et pas à jour ?

 

Tu n'avais pas été averti la dernière fois, je pense (mea culpa), alors je suis prêt à regarder cette fois-ci, seulement. Tu devais même t'y attendre un brin...

==============

 

Tu connais ComboFix, mais je te pointe tout de même vers le guide d'utilisation officiel :

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

 

> Si la Console de Récupération est toujours sur ta machine, c'est parfait ; sinon, il faudra impérativement la remettre (c'est expliqué dans le guide).

> N'oublie pas de désactiver l'antivirus ainsi que WinPatrol avant de lancer l'outil.

> Colle le rapport de ComboFix dans ta réponse.

 

@+

 

Mark

[pinok1]

bonjour mark,

 

je suis tes conseils et voici le rapport de combofix qui a changer de présentation il me semble

 

en attente de ton aide

 

ComboFix 10-06-05.02 - Admin 06/06/2010 14:45:03.1.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1023.89 [GMT 2:00]

Lancé depuis: c:\documents and settings\Admin\Bureau\téléchargements\mise a jour xp et désinfection\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\Admin\Application Data\0200000018218e6b942C.manifest

c:\documents and settings\Admin\Application Data\0200000018218e6b942O.manifest

c:\documents and settings\Admin\Application Data\0200000018218e6b942P.manifest

c:\documents and settings\Admin\Application Data\0200000018218e6b942S.manifest

c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\syuplovg.default\extensions\{0a267044-7683-4119-935c-930a535afd36}

c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\syuplovg.default\extensions\{0a267044-7683-4119-935c-930a535afd36}\chrome.manifest

c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\syuplovg.default\extensions\{0a267044-7683-4119-935c-930a535afd36}\chrome\xulcache.jar

c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\syuplovg.default\extensions\{0a267044-7683-4119-935c-930a535afd36}\defaults\preferences\xulcache.js

c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\syuplovg.default\extensions\{0a267044-7683-4119-935c-930a535afd36}\install.rdf

c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\syuplovg.default\extensions\{c8cf96a5-0c8a-4c14-8186-8882aa2d267e}

c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\syuplovg.default\extensions\{c8cf96a5-0c8a-4c14-8186-8882aa2d267e}\chrome.manifest

c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\syuplovg.default\extensions\{c8cf96a5-0c8a-4c14-8186-8882aa2d267e}\chrome\xulcache.jar

c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\syuplovg.default\extensions\{c8cf96a5-0c8a-4c14-8186-8882aa2d267e}\defaults\preferences\xulcache.js

c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\syuplovg.default\extensions\{c8cf96a5-0c8a-4c14-8186-8882aa2d267e}\install.rdf

c:\documents and settings\Admin\Mes documents\reg.reg

C:\Thumbs.db

c:\windows\system32\1.tmp

c:\windows\system32\1110165505

c:\windows\system32\1110165505\new.i0

c:\windows\system32\AutoRun.inf

c:\windows\system32\colbact32.dll

c:\windows\system32\Ijl11.dll

c:\windows\system32\ndisapi.dll

c:\windows\system32\SHELLLNK.TLB

c:\windows\system32\unrar.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-05-06 au 2010-06-06 ))))))))))))))))))))))))))))))))))))

.

 

2010-12-06 14:42 . 2010-06-05 20:03 -------- d-----w- c:\documents and settings\Admin\.homeplayer

2010-12-06 14:40 . 2010-03-07 22:46 -------- d-----w- c:\program files\HomePlayer

2010-12-06 13:02 . 2000-06-26 10:45 106496 ----a-w- c:\windows\system32\TwnLib20.dll

2010-12-06 13:02 . 2001-06-26 07:15 38912 ----a-w- c:\windows\system32\picn20.dll

2010-12-06 13:02 . 2001-07-06 13:41 569344 ----a-w- c:\windows\system32\imagr5.dll

2010-12-06 13:02 . 2001-07-06 11:44 544768 ----a-w- c:\windows\system32\imagx5.dll

2010-12-06 13:02 . 2001-07-06 17:24 283920 ----a-w- c:\windows\system32\ImagXpr5.dll

2010-12-06 13:02 . 2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

2010-12-06 12:58 . 2004-07-02 15:07 2011136 ------w- c:\windows\NuNinst.exe

2010-12-06 12:58 . 2010-12-06 13:02 -------- d-----w- c:\program files\Fichiers communs\Ahead

2010-12-06 12:58 . 2010-12-06 13:02 -------- d-----w- c:\program files\Ahead

2010-12-06 12:58 . 2010-12-06 12:58 -------- d-----w- c:\windows\InCD

2010-12-06 12:58 . 2004-07-07 12:50 7680 ------w- c:\windows\system32\drivers\InCDrec.sys

2010-12-06 12:58 . 2004-07-07 12:48 28672 ------w- c:\windows\system32\drivers\InCDpass.sys

2010-12-06 12:58 . 2004-07-07 12:47 92672 ------w- c:\windows\system32\drivers\InCDfs.sys

2010-06-06 08:00 . 2010-06-06 08:00 -------- d-----w- c:\documents and settings\Admin\Application Data\Uniblue

2010-06-05 10:39 . 2010-06-06 07:32 -------- d-----w- c:\documents and settings\Admin\Shared

2010-06-05 10:39 . 2010-06-06 07:31 -------- d-----w- c:\documents and settings\Admin\Incomplete

2010-06-04 14:42 . 2010-06-05 11:22 -------- d-----w- c:\documents and settings\Admin\Local Settings\Application Data\WMTools Downloaded Files

2010-05-09 20:23 . 2010-05-09 20:23 10134 ----a-r- c:\documents and settings\Admin\Application Data\Microsoft\Installer\{35725FBC-A136-4A46-9F29-091759D9BB93}\ARPPRODUCTICON.exe

2010-05-07 20:02 . 2010-05-07 20:02 -------- d-----w- c:\windows\system32\wbem\Repository

2010-05-07 18:35 . 2010-06-06 10:28 -------- d-----w- c:\windows\system32\NtmsData

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-12-06 12:40 . 2009-08-19 21:28 -------- d-----w- c:\program files\Fichiers communs\InstallShield

2010-06-06 08:20 . 2009-10-08 21:37 -------- d-----w- c:\documents and settings\Admin\Application Data\LimeWire

2010-06-06 06:33 . 2009-08-20 00:31 664 ----a-w- c:\windows\system32\d3d9caps.dat

2010-06-05 13:12 . 2010-04-21 16:32 -------- d-----w- c:\program files\ZHPDiag

2010-06-05 12:04 . 2009-09-13 10:21 -------- d-----w- c:\program files\Fichiers communs\LogiShrd

2010-06-05 08:11 . 2009-08-20 00:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2010-06-05 07:25 . 2010-06-05 07:25 0 ---ha-w- c:\documents and settings\Admin\qmctfalnuq.tmp

2010-06-05 06:20 . 2009-08-19 23:33 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-06-04 18:50 . 2009-10-08 21:37 -------- d-----w- c:\program files\LimeWire

2010-06-04 18:10 . 2010-06-04 18:10 1086464 --sha-w- c:\windows\system32\EB.tmp

2010-05-24 18:51 . 2009-12-25 10:55 -------- d-----w- c:\program files\Free Video Converter

2010-04-29 13:39 . 2010-02-07 00:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-29 13:39 . 2010-02-07 00:23 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-04-26 17:13 . 2009-10-06 16:07 -------- d-----w- c:\documents and settings\Admin\Application Data\HP

2010-04-26 17:13 . 2009-10-06 16:04 -------- d-----w- c:\documents and settings\All Users\Application Data\HP

2010-04-21 17:45 . 2010-04-21 17:45 -------- d-----w- c:\program files\Fichiers communs\Java

2010-04-21 17:45 . 2009-08-20 00:30 -------- d-----w- c:\program files\Java

2010-04-21 16:26 . 2010-04-19 18:34 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS

2010-04-19 18:34 . 2010-04-19 18:34 1924976 ----a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player.exe

2010-04-18 20:18 . 2009-08-19 22:46 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-04-12 15:29 . 2010-04-21 17:45 411368 ----a-w- c:\windows\system32\deployJava1.dll

2010-04-04 19:40 . 2001-10-02 16:17 71248 ----a-w- c:\windows\system32\perfc00C.dat

2010-04-04 19:40 . 2001-10-02 16:17 458230 ----a-w- c:\windows\system32\perfh00C.dat

2010-04-04 19:40 . 2009-12-12 00:51 71100 ----a-w- c:\windows\system32\perfc040.dat

2010-04-04 19:40 . 2009-12-12 00:51 457852 ----a-w- c:\windows\system32\perfh040.dat

2010-01-30 21:31 . 2010-01-24 01:12 67688 ----a-w- c:\program files\mozilla firefox\components\jar50.dll

2010-01-30 21:31 . 2010-01-24 01:12 54368 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll

2010-01-30 21:31 . 2010-01-24 01:12 34944 ----a-w- c:\program files\mozilla firefox\components\myspell.dll

2010-01-30 21:31 . 2010-01-24 01:12 46712 ----a-w- c:\program files\mozilla firefox\components\spellchk.dll

2010-01-30 21:31 . 2010-01-24 01:12 172136 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll

.

 

------- Sigcheck -------

 

[-] 2005-09-18 . 0DF628756FB71111955BE60BAC216A70 . 359936 . . [5.1.2600.2685] . . c:\windows\system32\drivers\tcpip.sys

[7] 2004-08-03 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\tcpip.sys

 

[-] 2005-10-12 . 0D55724D88488BBFC53BC2EA219240F3 . 197632 . . [5.1.2600.2743] . . c:\windows\system32\netman.dll

[7] 2004-08-19 . 237F77C91B70469E3AF9F7FD0A524954 . 198144 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\netman.dll

 

[-] 2005-10-12 . CB7D37602638369A516757E994CBB31D . 397824 . . [5.1.2600.2726] . . c:\windows\system32\rpcss.dll

[7] 2004-08-19 . C6FE0B727A5D13419D480150631ADC09 . 395776 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\rpcss.dll

 

[-] 2005-08-10 . DA81EC57ACD4CDC3D4C51CF3D409AF9F . 57856 . . [5.1.2600.2696] . . c:\windows\system32\spoolsv.exe

[7] 2004-08-19 . DF9FC62AD51CB082B0AE371919A232CB . 57856 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\spoolsv.exe

 

[-] 2005-07-26 . 1F5D59912472A0B085BD5B3D453447AB . 617472 . . [5.82] . . c:\windows\system32\comctl32.dll

[7] 2004-08-19 . 7D3AA1F0E765054CB5F30114F2DB6888 . 611328 . . [5.82] . . c:\windows\ServicePackFiles\i386\comctl32.dll

 

[-] 2005-10-12 08:25 . D9CDB9380E0EFC9E97CC589B5F484B94 . 243200 . . [2001.12.4414.308] . . c:\windows\system32\es.dll

[7] 2004-08-19 14:09 . FDE7FBE9CC9DD9484DF3E0241737C091 . 243200 . . [2001.12.4414.258] . . c:\windows\ServicePackFiles\i386\es.dll

 

[-] 2005-10-12 . 8D9A075C065DFE1228688D10155D6624 . 19968 . . [5.1.2600.2751] . . c:\windows\system32\linkinfo.dll

[7] 2004-08-19 . 6C411ABBEEF0CA1D991F8A8F449D2B5F . 18944 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\linkinfo.dll

 

[-] 2005-12-14 . 2976260E57E506A162D8BBA87B520961 . 3013632 . . [6.00.2900.2802] . . c:\windows\system32\mshtml.dll

[7] 2004-08-19 . 7CA9E0D2C4DCA6B710FD57F40E597337 . 3003392 . . [6.00.2900.2180] . . c:\windows\ServicePackFiles\i386\mshtml.dll

 

[-] 2005-07-26 . E75F7AA5A33479F29C636FD0890F5762 . 2137600 . . [5.1.2600.2622] . . c:\windows\system32\ntoskrnl.exe

[7] 2004-08-19 . 7D38CE4398E6AA6339B4644FEADCC0D8 . 2183040 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\ntoskrnl.exe

 

[-] 2005-08-10 . 720DA0C9DB8996AD9B7F5164B2242DAA . 249344 . . [5.1.2600.2716] . . c:\windows\system32\tapisrv.dll

[7] 2004-08-19 . 5CC2A233DAC03CAF99D20B87598675CD . 246272 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\tapisrv.dll

 

[-] 2005-07-26 . 0DF75FB73F705B011630159A43D7C354 . 578048 . . [5.1.2600.2622] . . c:\windows\system32\user32.dll

[7] 2004-08-19 . 61C8C283AD063BB697AE61A155C64A5A . 578048 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\user32.dll

 

[-] 2005-12-14 . E41E8FDF62CF20F2E2B16D800D96EB51 . 662528 . . [6.00.2900.2781] . . c:\windows\system32\wininet.dll

[7] 2004-08-19 . 4E958B97EFC3D801F49283D1820F48B7 . 660480 . . [6.00.2900.2180] . . c:\windows\ServicePackFiles\i386\wininet.dll

 

[-] 2005-07-26 . 0BEE3B07ACE3303EE57698808E1D2DE3 . 1036288 . . [6.00.2900.2649] . . c:\windows\explorer.exe

[7] 2004-08-19 . 2A7BD330924252A2FD80344FC949BB72 . 1036288 . . [6.00.2900.2180] . . c:\windows\ServicePackFiles\i386\explorer.exe

 

[-] 2005-10-12 . 50B3A210B6FA8D3089A36A32E7D8B21F . 2017280 . . [5.1.2600.2622] . . c:\windows\system32\ntkrnlpa.exe

[7] 2004-08-19 . F252FAE094C54572ECE38A039F2103C4 . 2058880 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\ntkrnlpa.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2008-05-28 16862720]

"WinPatrol"="c:\progra~1\BILLPS~1\WINPAT~1\winpatrol.exe" [2005-12-12 222784]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nlsf"="move" [X]

"Config"="c:\windows\system32\run.cmd" [2005-08-23 341]

"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 1 (0x1)

"NoWelcomeScreen"= 1 (0x1)

"NoAutoUpdate"= 1 (0x1)

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSMHelp"= 1 (0x1)

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 1 (0x1)

"NoWelcomeScreen"= 1 (0x1)

"NoAutoUpdate"= 1 (0x1)

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HomePlayer]

2007-11-06 20:58 294912 ----a-w- c:\program files\HomePlayer\HomePlayer.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

2007-03-11 19:34 49152 ----a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]

2004-07-07 11:44 1409136 ------w- c:\program files\Ahead\InCD\InCD.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2010-02-05 07:45 98304 ----a-w- c:\program files\QuickTime\qttask.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Malwarebytes' Anti-Malware\\mbam.exe"=

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\Program Files\\LimeWire\\LimeWire.exe"=

"c:\\Program Files\\HomePlayer\\HomePlayer.exe"=

"c:\\Program Files\\HomePlayer\\VLC\\vlc.exe"=

 

R0 m5287;m5287;c:\windows\system32\drivers\m5287.sys [20/12/2005 11:57 101504]

R1 ndicql;ndicql;c:\windows\system32\drivers\ndicql.sys [28/08/2009 18:21 19712]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [06/12/2009 04:16 108289]

S0 ulisata;ulisata; [x]

S2 wdexec;wdexec; [x]

S3 vvftav211;vvftav211;c:\windows\system32\drivers\vvftav211.sys --> c:\windows\system32\drivers\vvftav211.sys [?]

S3 ZSMC30x;USB PC Camera Service ZSMC30x;c:\windows\system32\Drivers\ZS211.sys --> c:\windows\system32\Drivers\ZS211.sys [?]

S4 webwiz;[webwiz] - webcam via ftp - [RUELEPIC];c:\progra~1\_WEBWI~1\Webwizsvc.exe --> c:\progra~1\_WEBWI~1\Webwizsvc.exe [?]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr

uInternet Connection Wizard,ShellNext = hxxp://www.google.fr/

uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s

TCP: {40E05869-CF54-43FF-B8BE-FB9D311E0D13} = 212.27.40.240,212.27.40.241

FF - ProfilePath - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\syuplovg.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.dymasearch.com/search.php?src=tops&q=

FF - prefs.js: browser.startup.homepage - hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official

FF - prefs.js: keyword.URL - hxxp://www.dymasearch.com/search.php?src=tops&q=

FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll

.

- - - - ORPHELINS SUPPRIMES - - - -

 

Notify-7019af66942 - c:\windows\system32\colbact32.dll

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-06-06 14:51

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(3396)

c:\progra~1\BILLPS~1\WINPAT~1\PATROLPRO.DLL

c:\windows\system32\msls31.dll

c:\windows\system32\shdoclc.dll

c:\windows\system32\msimtf.dll

c:\windows\system32\MSCTF.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Ahead\InCD\InCDsrv.exe

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Heure de fin: 2010-06-06 14:56:39 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-06-06 12:56

 

Avant-CF: 9 497 432 064 octets libres

Après-CF: 9 405 464 576 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(2)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(2)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

 

- - End Of File - - E78510443D52AAA8A811B67063701525

[Mark]

Bonjour pinok1,

 

Merci pour tous ces détails

 

Bah ma mémoire n'est pas si bonne que cela ; j'ai eu de l'aide du forum pour m'y retrouver

 

En ce qui concerne ton XP : je comprends très bien et, techniquement, tu as la licence pour ce dernier. Mais... licence ou pas, le système n'est pas légal du fait qu'il a été modifié en profondeur. Acer n'installait pas une partition de recouvrement à cette époque-là, en plus d'offrir de graver les CDs de restau ? Si oui, j'imagine que cette dernière a été éliminée suite aux problèmes avec le disque... Tu pourrais peut-être contacter le soutien technique Acer et voir s'ils pourraient te fournir des disques de recouvrement d'usine (XP) ; je ne sais pas si c'est possible, mais un simple email pourrait t'éclairer.

 

On dirait que ComboFix a nettoyé ce qu'il y avait d'actif (infections). Il y a bien quelques restes et des fichiers qui ne passent pas la vérification numériques, mais je n'oserais y toucher vu les modifications au système.

 

Pour ce qui est des mises à jour pour XP et IE : je ne sais pas si tu peux mettre ce système-là à jour, bien honnêtement. Des fichiers système modifiées ont été installés et je pense qu'il pourrait y avoir de la casse si tu osais les mettre à jour.

 

Comment se comporte la machine à présent ? Y a-t-il des symptômes résiduels ? Malwarebytes' voit-il quelque chose ?

 

 

@++

 

Mark

[pinok1]

bonjour mark,

 

un grand merci a toi et l'équipe qui est avec toi...

 

à cette époque j'ai même tél a windows qui bien entendu n'ont rien voulus savoir se retournant sur acer , et acer ma répondu d'aller voir carrefour là ou je l'ai acheté, renvoie de balle entre carrefour et acer...les cd de "restau" malheureusement je ne l'ai ai plus, mais m'aurait-il servis encore? en changent de DD? et il n'est plus sous garantie

bref en attente de retrouver mes moyens je reprendrai un xp original

 

après vérification de navigation il me semble plus stable , pas de redirection de pages etc..

juste que mbam me trouve un virus encore dont voici le rapport

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4172

 

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

 

06/06/2010 18:44:47

mbam-log-2010-06-06 (18-44-47).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 114130

Temps écoulé: 5 minute(s), 19 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\EB.tmp (Trojan.Tracur) -> No action taken.

[Mark]

Bonsoir

 

Tu peux laisser MBAM réparer (mettre en quarantaine) ce fichier infectieux. Ça semble donc Ok pour le reste.

 

Ah là-là... que du plaisir tu as eu avec Acer et Microsoft, à ce que je vois. C'est un problème avec certaines de ces usines - et les grandes surfaces aussi.

Je ne sais pas si les CD de restau auraient été utilisables avec le nouveau DD ; je dirais peut-être...

 

Tu as un proco à deux coeurs, donc je pense que le Acer supporterait Windows 7 sans problème, surtout si tu as 2 Gigs de Ram ou plus (1 Gig pourrait suffire, mais c'est limite). Win7 est presqu'aussi léger qu'XP, côté ressources, et bien mieux pour tout le reste. À méditer, surtout que la fin de vie pour XP approche, alors pas la peine d'investir.

 

Y a moyen de garder la machine propre en prenant quelques précautions : éviter le P2P, les torrents, bref... tout ce qui propose la gratuité où elle n'existe pas

Les "méchants" exploitent directement cette faille humaine et font du fric à profusion en infectant nos machines. À nous toutes/tous d'y voir, finalement.

 

Si t'as d'autres questions ou commentaires, pas de gêne

 

Edit/ajout : j'allais oublier de te faire désinstaller ComboFix proprement (on ne le garde pas ; il est mis à jour constamment). T'as juste à cliquer sur le bouton Démarrer > "Exécuter..." puis tu copie/colle la ligne dans la boîte et ensuite tu cliques "OK" :

 

ComboFix /uninstall

 

Ça ne prend que quelques secondes.

 

 

@+

 

Mark

Modifié le 6 juin 2010 par Mark

[pinok1]

bonsoir mark,

ok pour les conseils de windows7 je vais attendre et de toutes façon je ne peux rien pour le moment mes limites sont lier aux anti-conventionnelles des aléa de la vie et la tentation des gratuits (la faim fait sortir le loup)

 

non je n'ai aucunes questions supplémentaires à faire , mais de bon commentaires à toi , et à toute l'équipe , le et les sites qui prennent du temps comme vous à se découdre de nos erreurs parfois "volontaires".. ainsi de bonne fois et mauvaise fortune ou de fortune et mauvaise fois

 

que très peu savent le dire..........

 

je vous remercie tous

Modifié le 6 juin 2010 par pinok1

[Mark]

C'est gentil, et très apprécié

 

Je te souhaite une bonne remontée et tous les petits bonheurs qui viendront avec ; un beau Win7 compris

Pas toujours évident...

 

N'hésite pas à revenir pour des conseils, etc...

 

 

À bientôt,

 

Mark