redirection recherche google [RESOLU]

[frima]

j'ai toujours mon problème de redirection de recherche google.

[Apollo]

Je ne comprends pas très bien comment c'est encore possible avec tout ce qu'on a passé jusqu'à présent.

 

Ce genre de redirections sont de plus en plus courantes sur les forums; il semble que cela soit dû à un troyen qui infecte des fichiers système.

 

On va refaire ComboFix pour voir s'il y a du nouveau.

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci plop
   
  exemple:
   
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur plop.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
   
  
   
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

 

@++

[Apollo]

j'ai toujours mon problème de redirection de recherche google.

 

Bonjour,

 

Cherche sur ton disque dur le fichier nommé digeste.dll et supprime-les si tu en trouves.

 

# Delete the original Trojan file (the location will depend on how the program originally penetrated the victim machine).

# Delete the copy of the Trojan:

%System%\digeste.dll

# Delete the file created by the Trojan:

%WinDir%\wiaserviv.log

# Delete the following system registry key:

[HKLM\System\CurrentControlSet\Control\SecurityProviders]

"SecurityProviders" = "digeste.dll"

 

Passe combofix comme demandé plus haut.

 

@++

 

@++

[frima]

Bonjour

 

j'ai un fichier nommé digest.dll sans "e". Dois le supprimer ?

 

Cordialement

[Apollo]

Bonjour,

 

Non, si l'intitulé n'est pas exactement le même il ne faut pas supprimer.

 

J'ai beaucoup cherché à propos de ces infections qui détournent les moteurs de recherche.

 

Il doit s'agir du troyen Bamital et il n'apparait pas simple à liquider.

 

Je voudrais savoir si tu as le cd XP original, je veux dire celui de Microsoft, car on pourrait en avoir besoin pour remplacer explorer.exe ou winlogon.exe s'ils étaient encore infectés.

 

Il semblerait que les antivirus n'aient pas encore trouvé la parade à cette vermine.

 

@++

[frima]

ok pour disgest.

j'ai un cd de XPpro original mais qui date de quelques années.

je lance combofix et ensuite je dois m'absenter quelques heures.

[Apollo]

Et moi il faut que je pense à dormir quelques heures, j'ai travaillé toute la journée et la nuit, fiou!

 

Le cd devrait convenir je pense.

Il peut servir à aller chercher dessus les fichiers originaux pour remplacer d'éventuels fichier système patchés par cette monstruosité de troyen.

 

@++

[frima]

bonne nuit....

[frima]

ci joint le rapport combofix :

ComboFix 10-10-28.03 - gestion 29/10/2010 8:06.5.2 - FAT32x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3071.2599 [GMT 2:00]

Lancé depuis: c:\documents and settings\gestion.ADMINISTRATION\Bureau\ComboFix.exe

AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

Une copie infectée de c:\windows\system32\winlogon.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\winlogon.exe

 

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\explorer.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-09-28 au 2010-10-29 ))))))))))))))))))))))))))))))))))))

.

 

2010-10-29 05:58 . 2010-10-29 05:58 -------- d-----w- C:\FOUND.004

2010-10-28 17:43 . 2010-10-28 17:43 -------- d-----w- c:\program files\SpywareBlaster

2010-10-27 13:20 . 2010-10-27 13:20 -------- d-----w- c:\program files\MozBackup

2010-10-27 13:07 . 2010-10-27 13:07 -------- d-----w- C:\FOUND.003

2010-10-27 07:35 . 2010-10-27 07:35 -------- d-----w- c:\documents and settings\gestion.ADMINISTRATION\Application Data\McAfee

2010-10-26 23:00 . 2009-06-30 08:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys

2010-10-26 23:00 . 2010-10-26 23:00 -------- d-----w- c:\program files\Panda Security

2010-10-26 21:58 . 2010-10-26 21:58 -------- d-----w- c:\windows\BDOSCAN8

2010-10-26 21:11 . 2010-10-26 21:11 -------- d-----w- c:\program files\ZHPDiag

2010-10-26 20:50 . 2010-10-26 20:50 -------- d-----w- c:\program files\trend micro

2010-10-23 18:01 . 2010-10-23 18:01 -------- d-----w- c:\documents and settings\gestion.ADMINISTRATION\DoctorWeb

2010-10-19 17:00 . 2010-10-19 17:00 -------- d-----w- C:\FOUND.002

2010-10-19 15:17 . 2010-10-19 15:17 -------- d-----w- c:\documents and settings\gestion\Application Data\Malwarebytes

2010-10-19 15:17 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-10-19 15:17 . 2010-10-19 15:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-10-19 15:17 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-10-19 15:09 . 2010-10-19 15:09 -------- d-----w- c:\program files\Ad-Remover

2010-10-18 13:16 . 2010-10-18 13:16 -------- d-----w- C:\FOUND.001

2010-10-17 20:06 . 2010-10-17 20:06 -------- d-----w- c:\program files\Haali

2010-10-15 16:09 . 2010-10-15 16:09 -------- d-----w- c:\program files\Free PDF to Word Doc Converter

2010-10-15 12:53 . 2010-10-15 12:53 -------- d-----w- c:\documents and settings\gestion.ADMINISTRATION\Application Data\InstallShield

2010-10-15 11:32 . 2010-10-15 11:32 -------- d-----w- c:\documents and settings\gestion.ADMINISTRATION\Application Data\DWGeditor

2010-10-15 11:30 . 2010-10-15 11:30 -------- d-----w- c:\program files\DWGeditor

2010-10-13 12:51 . 2010-10-13 12:51 -------- d-----w- c:\program files\HDDGURU LLF Tool

2010-10-13 08:43 . 2010-09-18 06:53 953856 ------w- c:\windows\system32\dllcache\mfc40u.dll

2010-10-13 08:43 . 2010-09-18 06:53 974848 ------w- c:\windows\system32\dllcache\mfc42.dll

2010-10-13 08:40 . 2010-08-23 16:12 617472 ------w- c:\windows\system32\dllcache\comctl32.dll

2010-10-10 18:45 . 2010-10-10 18:45 -------- d-----w- c:\program files\Fichiers communs\Common Share

2010-10-10 18:45 . 2010-10-10 18:45 -------- d-----w- c:\program files\OJOsoft

2010-10-10 18:30 . 2010-10-10 18:30 -------- d-----w- c:\program files\Tipard Studio

2010-10-10 16:07 . 2010-10-10 16:07 -------- d-----w- c:\documents and settings\gestion.ADMINISTRATION\Application Data\SpiritON TV Software

2010-10-10 16:07 . 2010-10-10 16:07 -------- d-----w- c:\documents and settings\All Users\Application Data\TEMP

2010-10-10 08:53 . 2010-10-10 08:53 -------- d-----w- C:\Encodage

2010-10-02 11:58 . 2010-10-01 13:20 307200 ----a-w- c:\windows\system32\TubeFinder.exe

2010-10-02 11:58 . 2009-06-19 17:51 84512 ----a-w- c:\windows\system32\PICCLP32.OCX

2010-10-02 11:58 . 2009-06-19 17:51 364544 ----a-w- c:\windows\system32\PropertyGrid.ocx

2010-10-02 11:58 . 2010-10-02 11:58 -------- d-----w- c:\documents and settings\gestion.ADMINISTRATION\Application Data\FreeFLVConverter

2010-10-02 11:58 . 2009-06-19 17:51 9728 ----a-w- c:\windows\system32\PCCLPFR.DLL

2010-10-02 11:58 . 2009-06-19 17:51 24576 ----a-w- c:\windows\system32\ControlSubX.ocx

2010-10-02 11:58 . 2010-10-02 11:58 -------- d-----w- c:\program files\Free FLV Converter

2010-10-02 11:45 . 2007-11-27 01:24 14640 ------w- c:\windows\system32\spmsgXP_2k3.dll

2010-10-02 07:01 . 2010-10-02 07:01 -------- d-----w- c:\documents and settings\gestion.ADMINISTRATION\Application Data\HTC

2010-10-02 07:01 . 2010-10-02 07:01 -------- d-----w- c:\documents and settings\gestion.ADMINISTRATION\Local Settings\Application Data\Downloaded Installations

2010-10-02 07:00 . 2009-06-09 22:49 24576 ----a-w- c:\windows\system32\drivers\ANDROIDUSB.sys

2010-10-02 07:00 . 2009-06-09 12:41 1122664 ----a-w- c:\windows\system32\WdfCoInstaller01007.dll

2010-10-02 07:00 . 2010-10-02 07:00 -------- d-----w- c:\program files\Spirent Communications

2010-10-02 07:00 . 2010-10-02 07:00 -------- d-----w- c:\windows\system32\DRVSTORE

2010-10-02 07:00 . 2010-10-02 07:00 -------- d-----w- c:\program files\HTC

2010-10-02 07:00 . 2010-10-02 07:00 -------- d-----w- c:\program files\Fichiers communs\Adobe AIR

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-18 10:23 . 2006-08-18 06:14 974848 ----a-w- c:\windows\system32\mfc42u.dll

2010-09-18 06:53 . 2006-08-18 06:14 974848 ----a-w- c:\windows\system32\mfc42.dll

2010-09-18 06:53 . 2006-08-18 06:14 954368 ----a-w- c:\windows\system32\mfc40.dll

2010-09-18 06:53 . 2006-08-18 06:14 953856 ----a-w- c:\windows\system32\mfc40u.dll

2010-09-09 13:34 . 2006-08-18 06:14 832512 ----a-w- c:\windows\system32\wininet.dll

2010-09-09 13:34 . 2006-08-18 06:14 78336 ----a-w- c:\windows\system32\ieencode.dll

2010-09-09 13:34 . 2006-08-18 06:14 1830912 ------w- c:\windows\system32\inetcpl.cpl

2010-09-09 13:34 . 2006-08-18 06:13 17408 ----a-w- c:\windows\system32\corpol.dll

2010-09-08 15:57 . 2006-08-18 06:14 389120 ----a-w- c:\windows\system32\html.iec

2010-09-01 11:51 . 2006-08-18 06:13 285824 ----a-w- c:\windows\system32\atmfd.dll

2010-09-01 07:55 . 2006-08-18 06:14 1852928 ----a-w- c:\windows\system32\win32k.sys

2010-08-27 08:02 . 2006-08-18 06:14 119808 ----a-w- c:\windows\system32\t2embed.dll

2010-08-27 05:58 . 2006-08-18 06:14 99840 ----a-w- c:\windows\system32\srvsvc.dll

2010-08-27 01:43 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll

2010-08-26 13:39 . 2006-08-18 06:14 357248 ----a-w- c:\windows\system32\drivers\srv.sys

2010-08-23 16:12 . 2006-08-18 06:13 617472 ----a-w- c:\windows\system32\comctl32.dll

2010-08-17 13:17 . 2006-08-18 06:14 58880 ----a-w- c:\windows\system32\spoolsv.exe

2010-08-16 08:44 . 2006-08-18 06:14 590848 ----a-w- c:\windows\system32\rpcrt4.dll

2010-08-14 10:51 . 2010-08-11 16:33 21840 ----a-w- c:\windows\system32\SIntfNT.dll

2010-08-14 10:51 . 2010-08-11 16:33 17212 ----a-w- c:\windows\system32\SIntf32.dll

2010-08-14 10:51 . 2010-08-11 16:33 12067 ----a-w- c:\windows\system32\SIntf16.dll

2006-05-03 09:06 163328 --sh--r- c:\windows\system32\flvDX.dll

2007-02-21 10:47 31232 --sh--r- c:\windows\system32\msfDX.dll

2008-03-16 12:30 216064 --sh--r- c:\windows\system32\nbDX.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2008-07-29 16805888]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-19 13545472]

"nwiz"="nwiz.exe" [2008-09-19 1630208]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-19 86016]

"McAfeeUpdaterUI"="c:\program files\McAfee\Common Framework\UdaterUI.exe" [2008-07-17 136512]

"ShStatEXE"="c:\program files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2009-01-27 111952]

"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-14 143872]

"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]

"HTC Sync Loader"="c:\program files\HTC\HTC Sync 3.0\htcUPCTLoader.exe" [2010-08-18 249856]

"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe"=

"c:\\Program Files\\Ubisoft\\Gearbox Software\\BrothersInArmsEiB\\System\\EiB.exe"=

"c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=

"c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=

"c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=

"c:\\WINDOWS\\System32\\PnkBstrA.exe"=

"c:\\WINDOWS\\System32\\PnkBstrB.exe"=

"c:\\Documents and Settings\\gestion.ADMINISTRATION\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=

"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

"c:\\Program Files\\InterBase Corp\\InterBase\\bin\\ibserver.exe"=

"c:\\Program Files\\Malwarebytes' Anti-Malware\\mbam.exe"=

"c:\\Program Files\\Vuze\\Azureus.exe"=

"c:\\Program Files\\TeamViewer\\Version5\\TeamViewer.exe"=

"c:\\WINDOWS\\System32\\SUPDSvc.exe"=

"c:\\Program Files\\Google\\Google Earth\\client\\googleearth.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\NSM\\CLIENT32.EXE"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

"5985:TCP"= 5985:TCP:*:Disabled:Gestion à distance de Windows

 

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [27/10/2010 01:00 28552]

R2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [12/01/2010 15:57 185640]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 13:16 130384]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [20/10/2009 16:39 133104]

S3 ASUSProcObsrv;ASUS Process Creation/Termination Observer;\??\c:\sysprep\patch\AsProcOb.sys --> c:\sysprep\patch\AsProcOb.sys [?]

S3 HTCAND32;HTC Device Driver;c:\windows\system32\drivers\ANDROIDUSB.sys [02/10/2010 09:00 24576]

S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [18/08/2006 08:14 14336]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 13:16 753504]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

WINRM REG_MULTI_SZ WINRM

.

Contenu du dossier 'Tâches planifiées'

 

2010-10-21 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job

- c:\program files\Spybot - Search & Destroy\SpybotSD.exe [2010-10-17 13:31]

 

2010-10-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-20 14:39]

 

2010-10-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-20 14:39]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uInternet Connection Wizard,ShellNext = https://10.78.55.200:8501/

uInternet Settings,ProxyServer = 10.78.55.246:3128

uInternet Settings,ProxyOverride = 10.78.55.246:3128;10.78.55.*;<local>

Trusted Zone: internet

Trusted Zone: mcafee.com

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab

FF - ProfilePath - c:\documents and settings\gestion.ADMINISTRATION\Application Data\Mozilla\Firefox\Profiles\n5zpfion.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/calendar/renderOnline|http://www.gestionnaire03.fr/|http://www.ac-versailles.fr/default.asp|http://www.google.com/ig?num=50&hl=fr|http://abonnes.lemonde.fr/|http://newsmap.jp/#/b,e,m,n,s,t,w/fr/view/

FF - prefs.js: keyword.URL - hxxp://www.wibeez.com/meteo?search&q=

FF - prefs.js: network.proxy.ftp - 172.16.103.1

FF - prefs.js: network.proxy.ftp_port - 3128

FF - prefs.js: network.proxy.gopher - 172.16.103.1

FF - prefs.js: network.proxy.gopher_port - 3128

FF - prefs.js: network.proxy.http - 172.16.103.1

FF - prefs.js: network.proxy.http_port - 3128

FF - prefs.js: network.proxy.socks - 172.16.103.1

FF - prefs.js: network.proxy.socks_port - 3128

FF - prefs.js: network.proxy.ssl - 172.16.103.1

FF - prefs.js: network.proxy.ssl_port - 3128

FF - prefs.js: network.proxy.type - 0

FF - component: c:\program files\Google\Google Gears\Firefox\lib\ff36\gears.dll

FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll

FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\program files\McAfee\Supportability\MVT\NPMVTPlugin.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

 

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

- - - - ORPHELINS SUPPRIMES - - - -

 

SafeBoot-klmdb.sys

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-10-29 08:28

Windows 5.1.2600 Service Pack 3 FAT NTAPI

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-3354880023-3711704433-406366419-21066\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:34,23,9d,ca,cd,62,da,ae,47,64,c6,c7,7c,20,97,93,66,fe,75,2d,ae,db,f1,

6c,17,b5,70,87,16,60,c4,14,68,b3,2d,a1,cd,07,6a,6a,b9,16,59,e9,50,bc,f3,72,\

"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]

"C040210900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(568)

c:\progra~1\NSM\pcihooks.dll

 

- - - - - - - > 'explorer.exe'(3984)

c:\windows\system32\eappprxy.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\progra~1\NSM\client32.exe

c:\program files\InterBase Corp\InterBase\bin\ibguard.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\McAfee\VirusScan Enterprise\Mcshield.exe

c:\program files\Google\Update\1.2.183.39\GoogleCrashHandler.exe

c:\program files\McAfee\VirusScan Enterprise\VsTskMgr.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\system32\nvsvc32.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\system32\PnkBstrB.exe

c:\windows\system32\wdfmgr.exe

c:\program files\InterBase Corp\InterBase\bin\ibserver.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\RTHDCPL.EXE

c:\windows\system32\RUNDLL32.EXE

c:\program files\McAfee\Common Framework\McTray.exe

.

**************************************************************************

.

Heure de fin: 2010-10-29 08:31:48 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-10-29 06:31

 

Avant-CF: 74 974 265 344 octets libres

Après-CF: 74 882 646 016 octets libres

 

- - End Of File - - 46A89AB8A4B3EDC8DB82BFB66AD42087

[Apollo]

Rebonjour

 

Insère le cd de Windows XP dans le lecteur tout en maintenant la touche majuscule enfoncée quelques secondes pour ne pas qu'il s'exécute; s'il démarre quand-même, ferme la fenêtre par Quitter ou en cliquant la croix au-dessus à droite.

 

Clique sur Démarrer dans la barre des tâches puis sur Exécuter où tu saisis cmd , valide avec la touche Enter.

 

Tape maintenant exactement ce qui est indiqué en rouge ( Si ton lecteur de cd n'est pas représenté par la lettre D, remplace par la lettre appropriée au lecteur dans lequel se trouve le cd XP)

 

Tu dois évidement faire les 4 opérations indiquées en rouge, une à une.

 

expand -r D:\i386\explorer.ex_ c:\windows\system32\dllcache

 

expand -r D:\i386\explorer.ex_ c:\

 

Note qu'il y a trois espaces à respecter que je note ci-après SPACE pour bien te montrer où tu dois faire cet espace:

 

ExpandSPACE -rSPACE D:\i386\explorer.ex_SPACE c:\windows\system32\dllcache

 

ExpandSPACE -rSPACE D:\i386\explorer.ex_SPACE c:\

 

Si c'est correct, un message de succès te sera signifié dans le genre "one file(s) expanded successfully". (ou en français).

 

Ensuite fais la même chose pour winlogon.ex_

 

Tu peux remarquer que cela se termine bien par ex_ et non exe!

 

expand -r D:\i386\winlogon.ex_ c:\windows\system32\dllcache

 

expand -r D:\i386\winlogon.ex_ c:\

 

Même chose, respecter les espaces! Il y a donc 4 manoeuvres à effectuer avec l'invite de commande.

 

Quand tu auras eu le message de succès des 4 opérations, relance ComboFix. (mets le à jour s'il le demande

 

Ceci consiste à remplacer les fichiers infectés avec ceux que nous avons juste copié sur le disque.

 

@++

Modifié le 29 octobre 2010 par Apollo