[RESOLU] Ordi vérolé

[tartenpion85]

Bonjour,

 

J'avais commencé un sujet ici : http://forum.zebulon.fr/plusieurs-problemes-t181065.html&gopid=1521963?do=findComment&comment=1521963

mais bleuet m'a conseillé de venir voir les pros du forum.

 

Donc voici un récapitulatif de mes problèmes :

 

Tout d'abord depuis mon installation d'XP Pro il y a de ça 10 jours environ sur mon nouveau PC, j'ai remarqué que mes mises à jours ne se faisaient pas automatiquement (bien qu'ayant coché la deuxième option pour le téléchargement des mises à jours).

 

Ensuite Firefox a commencé à "déconner", il me mets de temps en temps que le processus est toujours actif alors que je ne l'ai soit pas encore démarré soit fermé depuis un bon moment. Je vais donc dans le Gestionnaire des taches pour fermer le processus.

 

Mercredi dernier j'ai remarqué que mes accents circonflexes et tréma étaient doubles, c'est d'ailleurs toujours le cas.

 

De plus, j'ai eu cette meme journée un truc nommé Kaspersky Key Loader qui s'est lancé tout seul à deux ou trois reprises mais Avast me l'a bloqué aussitot.

 

 

Bleuet m'a fait faire un scan HijackThis puis un MBAM et à nouveau un HijackThis dont vous trouverez les rapports sur l'autre sujet : http://forum.zebulon.fr/plusieurs-problemes-t181065.html&gopid=1521963?do=findComment&comment=1521963

 

Merci d'avance à ceux qui pourront m'aider

Modifié le 26 novembre 2010 par tartenpion85

[Thanos]

salut

 

Le pc est effectivement infecté.

On va procéder ainsi =>

 

1°) Fais ceci avant de lancer la désinfection:

 

Désactive ton antivirus comme indiqué sur cette page (passage sur Avast) >> Désactiver le module résident de l'antivirus. ( par nickW)

 

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

 

2°) Utilisation de ComboFix:

• Fais un clic sur le bouton droit de ta souris ICI
  
• Choisis Enregistrer la cible (du lien) sous > une fenêtre s'ouvre >>
  
• Dans le champs à droite de "Nom du Fichier" en bas de page, modifie le nom présent (ComboFix.exe) et met ceci >> tartenpion85.exe
  
• Enregistre-le fichier sur le Bureau: pour cela clique sur le bouton Enregistrer.
  
• Assure toi que tous les programmes soient fermés avant de lancer le fix!
  
• Fait un double clique sur tartenpion85.exe.
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur ton PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de t'aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage.
  
• Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela t'est demandé, accepte le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.
  

 

**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

 

Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, tu dois voir le message suivant:

• Tape sur la touche Y (Yes) pour poursuivre avec la recherche de nuisibles.
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  
• Si le rapport est trop long, poste le en deux fois.
  
• Si tu ne vois pas le rapport, tu le trouveras ici > C:\ComboFix.txt
  

[tartenpion85]

Salut,

 

Voici le rapport :

 

ComboFix 10-11-20.07 - Mélanie 21/11/2010 17:15:36.1.4 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3070.2703 [GMT 1:00]

Lancé depuis: c:\documents and settings\Mélanie\Bureau\tartenpion85.exe

AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

Les fichiers ci-dessous ont été désactivés pendant l'exécution:

c:\program files\SuperCopier2\SC2Hook.dll

 

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\daemon.dll

G:\Autorun.inf

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-10-21 au 2010-11-21 ))))))))))))))))))))))))))))))))))))

.

 

2010-11-18 20:57 . 2010-11-19 11:20 -------- d-----w- C:\directory

2010-11-09 17:33 . 2010-11-09 17:33 -------- d-----w- C:\ProgramData

2010-11-09 16:08 . 2010-11-09 16:10 -------- d-----w- C:\Données Ciel

2010-11-09 10:41 . 2010-11-09 10:41 -------- d-----w- C:\Graphics

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-18 11:23 . 2007-08-02 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll

2010-09-18 06:53 . 2007-08-02 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll

2010-09-18 06:53 . 2007-08-02 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll

2010-09-18 06:53 . 2007-08-02 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll

2010-09-10 05:50 . 2007-08-02 12:00 916480 ----a-w- c:\windows\system32\wininet.dll

2010-09-10 05:50 . 2007-08-02 12:00 43520 ------w- c:\windows\system32\licmgr10.dll

2010-09-10 05:50 . 2007-08-02 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl

2010-09-09 14:17 . 2010-09-09 14:17 81920 ------w- c:\windows\system32\ieencode.dll

2010-09-01 11:51 . 2007-08-02 12:00 285824 ----a-w- c:\windows\system32\atmfd.dll

2010-09-01 07:55 . 2007-08-02 12:00 1852928 ----a-w- c:\windows\system32\win32k.sys

2010-08-27 08:02 . 2007-08-02 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll

2010-08-27 05:58 . 2007-08-02 12:00 99840 ----a-w- c:\windows\system32\srvsvc.dll

2010-08-27 01:43 . 2008-05-05 06:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll

2010-08-26 13:39 . 2007-08-02 12:00 357248 ----a-w- c:\windows\system32\drivers\srv.sys

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]

"Wallpaper"="c:\program files\Wallpaper\Wallpaper.exe" [2007-08-20 233472]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2010-01-18 33714176]

"Six Engine"="c:\program files\ASUS\EPU-4 Engine\FourEngine.exe" [2010-02-03 5756544]

"WinSys2"="c:\windows\system32\winsys2.exe" [2009-10-12 208896]

"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]

"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]

"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

"msconfig.exe"="c:\documents and settings\Mélanie\Application Data\Microsoft\System\Services\msconfig.exe" [2010-11-16 355328]

"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-07-07 1753192]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-07-09 110696]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

 

c:\documents and settings\M‚lanie\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Program Files\\Sports Interactive\\Football Manager 2010\\fm.exe"=

"c:\\Program Files\\KONAMI\\Pro Evolution Soccer 2011\\pes2011.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\EA Sports\\FIFA 11\\Game\\fifa.exe"=

"c:\\Program Files\\Sports Interactive\\Football Manager 2011\\fm.exe"=

"c:\\wamp\\Apache2\\bin\\httpd.exe"=

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\Windows\\Microsoft.NET\\Framework\\v2.0.50727\\vbc.exe"=

"c:\\Documents and Settings\\Mélanie\\Application Data\\Torrant.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

"5985:TCP"= 5985:TCP:*:Disabled:Gestion à distance de Windows

 

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [09/11/2010 16:53 155136]

R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [09/11/2010 16:53 5248]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [09/11/2010 10:27 165584]

R2 AMD_RAIDXpert;AMD RAIDXpert;c:\program files\AMD\RAIDXpert\bin\RAIDXpertService.exe [19/09/2009 14:39 122880]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [09/11/2010 10:27 17744]

R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32.sys [09/11/2010 10:21 57248]

R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [09/11/2010 10:08 2106880]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 13:16 130384]

S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [02/08/2007 13:00 14336]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 13:16 753504]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

WINRM REG_MULTI_SZ WINRM

.

Contenu du dossier 'Tâches planifiées'

 

2010-11-21 c:\windows\Tasks\User_Feed_Synchronization-{60479AB1-9FE1-4F05-BE27-DCB0B3AA12EB}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

FF - ProfilePath - c:\documents and settings\Mélanie\Application Data\Mozilla\Firefox\Profiles\aos71dd6.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/firefox

FF - component: c:\documents and settings\Mélanie\Application Data\Mozilla\Firefox\Profiles\aos71dd6.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll

FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

 

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-11-21 17:19

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2010-11-21 17:20:56

ComboFix-quarantined-files.txt 2010-11-21 16:20

 

Avant-CF: 945 538 068 480 octets libres

Après-CF: 945 591 070 720 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect /usepmtimer

 

- - End Of File - - C23DD19B7DB0A6C46B1462CC1E0437A8

[Thanos]

ok: patiente quelques instants stp: je te crée un script pour nettoyer le reste

[tartenpion85]

Prends ton temps ne t'inquiète pas

 

Merci pour ton aide.

 

Je viens de remarqué que mon problème de circonflexe a enfin disparu.

 

D'ailleurs j'ai lu un topic sur ce forum qui dis que Avira Antir est mieux qu'Avast donc je vais l'installé quand tout sera terminé.

[Thanos]

Laisse les supports amovibles branchés (Avast désactivé) et procède ainsi =>

 

Rend toi sur cette page afin de télécharger le fichier CFScript => Download CFScript.txt from Sendspace.com - send big files the easy way

 

Clique sur le lien à droite de Download Link en bas de page et télécharge le fichier sur ton Bureau.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe (tartenpion85.exe) comme sur la capture
  
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Quand CF finit de s'exécuter, il affiche cette boîte de message:
  
  
• Cliquer sur OK va faire débuter l'envoi automatique du fichier archivé (zip).
  
  
• Une fois le scan achevé, le pc va certainement redémarrer: un rapport va s'afficher, poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

Note1: Le script proposé est adapté au cas de tartenpion85 : Vous ne devez en aucun cas l'utiliser sur votre pc!

 

Note2: un fichier qui se trouve sur le pc va être expédié au créateur de ComboFix pour analyse.

Dans le cas où le site de téléchargement se trouve hors ligne, tu verras le message ci-dessous =>

Il te suffira seulement de faire un double clic sur le fichier CF-Submit.htm qui se trouve dans le répertoire C:\ pour envoyer le fichier.

Le rapport de ComboFix ne s'affichera qu'après la fin de la fonction d'envoi.

 

D'ailleurs j'ai lu un topic sur ce forum qui dis que Avira Antir est mieux qu'Avast donc je vais l'installé quand tout sera terminé.

Bonne idée! lorsque la désinfection sera terminée on fera ca ensemble

[tartenpion85]

La console me met :

'NIRCMDC' n'est pas reconnue en tant que commande interne

ou externe, un programme exécutable ouun fichier de commande

 

que dois-je faire ?

Modifié le 21 novembre 2010 par tartenpion85

[Thanos]

est ce que tu as désactivé Avast avant de lancer le script ?

[Thanos]

tartenpion85 : je vais devoir quitter deux petite heures: je repasse toute à l'heure

[tartenpion85]

Oui Avast est désactivé.

 

tartenpion85 : je vais devoir quitter deux petite heures: je repasse toute à l'heure

OK pas de soucis, à tout à l'heure

 

PS : merci pour ton aide

 

 

Edit : ha ben finallement ça fonctionne

 

j'ai ouvert Avast puis quitté (sans remettre l'antivirus en route) et ça a fonctionné

Modifié le 21 novembre 2010 par tartenpion85