[RÉSOLU] Problème d'infection / messages intempestifs [RÉSOLU]

[Delf]

Bonjour à tous,

 

Je cherche de l'aide car j'ai un message au démarrage de mon PC qui me trouve des virus et cheval de troie. Même en cliquant sur supprimer ça plante toujours.

J'ai également Antivirus security 2011 qui s'est installé et que je ne peux pas désinstaller.

J'ai aussi un message d'erreur qui me bloque Sft.dez.Wien mais je ne peux rien faire, la fenêtre reste ouverte en permanence, je la déplace sur l'écran pour arrvier à vous écrire.

 

J'ai Windows XP, comodo et antivir.

 

Je fais un Hijackthis en rentrant du travail ce soir vers 18h.

 

Merci d'avance pour votre aide à une néophyte totale !!!

 

Delphine

Modifié le 7 janvier 2011 par Delf

[lance_yien]

Bonjour Delf,

 

---

Très Important!

 

>>> A faire immédiatement:

- En haut de ce message cliquer sur le bouton "Suivre ce sujet", en choisissant "Notification immédiate" => "Soumettre" tu seras avisé en temps réel pour les réponses apportées à ton sujet et de ce fait, ta machine sera nettoyée dans les meilleurs délais.

- Sauvegarder (en copiant) tous les documents personnels sur un support autre que la partition système: Clé USB, CD/DVD, Disque Dur externe etc.

 

>>> Que faire durant ce nettoyage, merci de NE PAS utiliser, installer et/ou désinstaller aucun programme à part ceux qui sont proposés à chaque étape ce qui a pour but d'éviter tout problème d'incompatibilité entre les outils.

 

>>> Que faire à la réception de nouvelles instructions,

• Lire la totalité du message.
  
• Télécharger et enregistrer les utilitaires DIRECTEMENT sur le Bureau ou les déplacer (tout de suite après par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller".
  Certains programmes peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau.
  
• Prendre l'habitude de désactiver tous les programmes de protection au début de chaque nouvelle étape et de les réactiver à la fin.
  
• Procéder toujours dans l'ordre donné et demander des clarifications si nécessaire AVANT de commencer.
  
• NE PAS hésiter à commenter et signaler tout changement (en bien ou en mal) dans le comportement de la machine ou par rapport au problème initial.
  

>>> Comment répondre:

- Cliquer sur le bouton (et non sur car je n'ai pas besoin de relire mes messages précédents).

- Coller le contenu des rapports SANS y ajouter AUCUN formatage de texte (en citation, code, couleur etc...).

---

 

Inutile de poster un rapport de HjackThis.

--

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau:

• Malware Bytes Anti-Malware depuis ici.
• Rkill (par Grinler) depuis un de ces liens:
  
  • Rkill.exe
    
  • Rkill.com
    
  • Rkill.scr

  [*]Security Check (par screen317) depuis ici ou ici.

 

 

>>> Utiliser Rkill: Double-cliquer sur le fichier Rkill. Son seul rôle est de désactiver (jusqu'au nouveau démarrage du PC) certains processus de malware pour débloquer l'utilisation des programmes de désinfection.

- Si le 1er fichier télécharger ne fonctionne pas en essayer un autre.

- Si pour une raison quelconque le PC doit être redémarré avant la fin de ces étapes, accepter et relancer RKill de nouveau.

- Je n'ai pas besoin de voir le rapport qu'il produit.

 

>>> Utiliser Malwarebytes' Anti-Malware Fermer tout et cliquer sur mbam-setup.exe. Suivre les indications en laissant tout par défaut. Cliquer sur Terminer sans rien changer.

- Lancer le programme depuis son icône sur le bureau ou depuis "Démarrer" => "Tous les programmes" => "Malwarebytes' Anti-Malware".

- Faire les Mises à jour depuis l'onglet du même nom. Si problème avec les mises à jour automatiques, cliquer ICI pour les télécharger et les installer manuellement.

- Dans l'onglet "Recherche" laisser la case "Exécuter un examen rapide" cochée et cliquer sur "Rechercher".

 

 

Patienter jusqu'à la fin (affichage du message ci-dessous)

 

 

Cliquer sur OK, pour fermer ce message.

 

- Cliquer sur "Afficher les résultats" puis sur "Supprimer la sélection".

 

Le programme procède alors au nettoyage. S'il vous demande de redémarrer le PC, ACCEPTER (c'est pour supprimer certains fichiers spécifiques).

A la fin un rapport s'affiche (accessible à tout moment depuis l'onglet Rapport/Logs de la fenêtre principale de MBAM. Poster son contenu dans la prochaine réponse.

 

>>> Utiliser SecurityCheck: Fermer tout et double-cliquer sur "SecurityCheck.exe" pour lancer le programme.

Appuyer sur une touche comme demandé et suivre les indications.

Note: Si un des programmes de sécurité demande la permission d'accéder à Internet depuis dig.exe, acceptez.

Le Rapport checkup.txt s'ouvre à la fin. Poster son contenu.

Ce rapport ne sera pas enregistré automatiquement. Si vous voulez en garder une copie, cliquez sur "Fichier" => "Enregistrer sous", choisissez un endroit (Bureau par exemple) et cliquez sur "Enregistrer" en bas à droite.

Poster son contenu.

 

 

Rapports demandés:

• Malwarebytes Anti-Malware log
• checkup.txt

Encore des symptômes à vérifier?

[Delf]

Bonsoir Lance,

 

Tout d'abord merci beaucoup pour ton aide, ça me "sauve" et me rassure car je n'y comprends rien (comme la majorité des gens).

Voilà les 2 rapports :

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 5458

 

Windows 5.1.2600 Service Pack 2

Internet Explorer 7.0.5730.11

 

04/01/2011 19:30:14

mbam-log-2011-01-04 (19-30-14).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 148788

Temps écoulé: 10 minute(s), 39 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 4

Valeur(s) du Registre infectée(s): 5

Elément(s) de données du Registre infecté(s): 3

Dossier(s) infecté(s): 4

Fichier(s) infecté(s): 19

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Not selected for removal.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntiVirus System 2011 (Rogue.AntivirusSystem2011) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\ANTIVIRUS SYSTEM 2011 (Rogue.AntivirusSystem2011) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\chh9ggurde85 (Trojan.FakeAlert) -> Value: chh9ggurde85 -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mscjm.exe (Trojan.Downloader) -> Value: mscjm.exe -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\AntiVirus System 2011\BackgroundScan (Rogue.AntivirusSystem2011) -> Value: BackgroundScan -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Update (Backdoor.Bot) -> Value: Microsoft Update -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

c:\documents and settings\administrateur\application data\antivirus system 2011 (Rogue.AntivirusSystem2011) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\menu démarrer\programmes\antivirus system 2011 (Rogue.AntivirusSystem2011) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\local settings\temporary internet files\{d45817b8-3ead-4d1d-8fca-ec63a8e35de2} (Adware.DoubleD) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\local settings\temporary internet files\{d45817b8-3ead-4d1d-8fca-ec63a8e35de2}\Data (Adware.DoubleD) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

c:\documents and settings\administrateur\application data\39805\bbzzkzz17.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\local settings\Temp\exe.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\local settings\temporary internet files\{d45817b8-3ead-4d1d-8fca-ec63a8e35de2}\productinfo.dll (Adware.DoubleD) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\local settings\temporary internet files\{d45817b8-3ead-4d1d-8fca-ec63a8e35de2}\tdf.dat (Adware.BHO) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\application data\antivirus system 2011\securityhelper.exe (Rogue.AntivirusSystem2011) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\application data\antivirus system 2011\icoactivate.ico (Rogue.AntivirusSystem2011) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\application data\antivirus system 2011\IcoHelp.ico (Rogue.AntivirusSystem2011) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\application data\antivirus system 2011\icouninstall.ico (Rogue.AntivirusSystem2011) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\application data\microsoft\internet explorer\quick launch\antivirus system 2011.lnk (Rogue.AntivirusSystem2011) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\menu démarrer\programmes\antivirus system 2011\antivirus system 2011.lnk (Rogue.AntivirusSystem2011) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\menu démarrer\programmes\antivirus system 2011\activate antivirus system 2011.lnk (Rogue.AntivirusSystem2011) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\menu démarrer\programmes\antivirus system 2011\help antivirus system 2011.lnk (Rogue.AntivirusSystem2011) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\menu démarrer\programmes\antivirus system 2011\how to activate antivirus system 2011.lnk (Rogue.AntivirusSystem2011) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\menu démarrer\programmes\antivirus system 2011.lnk (Rogue.AntivirusSystem2011) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\local settings\temporary internet files\{d45817b8-3ead-4d1d-8fca-ec63a8e35de2}\bg.jpg (Adware.DoubleD) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\local settings\temporary internet files\{d45817b8-3ead-4d1d-8fca-ec63a8e35de2}\currentversion.xml (Adware.DoubleD) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\local settings\temporary internet files\{d45817b8-3ead-4d1d-8fca-ec63a8e35de2}\icon.ico (Adware.DoubleD) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\local settings\temporary internet files\{d45817b8-3ead-4d1d-8fca-ec63a8e35de2}\tdf.zip (Adware.DoubleD) -> Quarantined and deleted successfully.

c:\documents and settings\administrateur\local settings\temporary internet files\{d45817b8-3ead-4d1d-8fca-ec63a8e35de2}\Data\productinfo.mx (Adware.DoubleD) -> Quarantined and deleted successfully.

 

 

 

et :

 

Results of screen317's Security Check version 0.99.8

Windows XP Service Pack 2

Out of date service pack!!

Internet Explorer 7 Out of date!

``````````````````````````````

Antivirus/Firewall Check:

Windows Security Center service is not running! This report may not be accurate!

Avira AntiVir Personal - Free Antivirus

WMI entry may not exist for antivirus; attempting automatic update.

Avira successfully updated!

```````````````````````````````

Anti-malware/Other Utilities Check:

Malwarebytes' Anti-Malware

Adobe Flash Player 10.0.22.87

Adobe Reader 9.4.1 - Français

Out of date Adobe Reader installed!

Mozilla Firefox (2.0.0) Firefox Out of Date!

````````````````````````````````

Process Check:

objlist.exe by Laurent

Avira Antivir avgnt.exe

Avira Antivir avguard.exe

Comodo Firewall cmdagent.exe

Comodo Firewall cfp.exe

``````````End of Log````````````

 

 

J'attends ta réponse pour savoir ce qu'il faut faire.

 

J'ai 2 disques dur dont 1 en esclave, est-ce qu'il faut que je le débranche?

 

Delphine

[lance_yien]

Bonjour Delf,

 

Tu étais victime d'un rogue et ton Windows est bien vulnérable car en retard pour les mises à jour.

Surtout ne débranche pas ton disque car il peut être infecté aussi.

 

On approfondit la recherche d'infection!

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau ComboFix© (par sUBs) depuis ici ou ici.

 

Fermer tout, désactive antivirus/ pare-feu/ antispyware et cliquer ComboFix.exe. Suivre les instructions.

Accepter l'Agrément de la licence et l'installation de la Console de Récupération (proposée sous XP si pas installée).

NE PAS TOUCHER la machine avant la fin (même si les choses semblent ne pas avancer).

Quand c'est fini, un rapport (ComboFix.txt) s'affiche. Il est sauvegardé, automatiquement, à la racine de la partition système (généralement C:\)

Poster son contenu.

 

Rapports demandés: ComboFix

As-tu encore des symptômes à vérifier?

[Delf]

Bonjour,

 

Merci vraiment pour ton aide

Peux-tu m'expliquer ce qu'est un rogue?

 

Concernant les MàJ de mon XP, je n'ai pas le CD d'installation, j'ai racheté la machine d'un collègue et je crains que...

 

voici le rapport combo :

 

ComboFix 11-01-04.04 - Administrateur 05/01/2011 12:56:33.1.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2047.1584 [GMT 1:00]

Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe

.

ADS - WINDOWS: deleted 72 bytes in 1 streams.

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-12-05 au 2011-01-05 ))))))))))))))))))))))))))))))))))))

.

 

2011-01-04 07:57 . 2011-01-04 18:30 -------- d-----w- c:\documents and settings\Administrateur\Application Data\39805

2010-12-29 18:21 . 2009-11-12 16:49 415072 ----a-w- c:\windows\system32\Leadtools.Windows.Media.Effects.dll

2010-12-29 18:19 . 2011-01-01 18:01 -------- d-----w- c:\documents and settings\All Users\Application Data\albumphoto

2010-12-28 20:22 . 2010-12-28 20:22 -------- d-----w- c:\program files\Fujifilm

2010-12-22 19:36 . 1994-09-21 00:00 12800 ----a-w- c:\windows\system32\WING32.DLL

2010-12-22 19:34 . 1996-10-15 17:01 298496 ----a-w- c:\windows\uninst.exe

2010-12-22 19:34 . 2010-12-22 19:34 -------- d-----w- c:\documents and settings\Administrateur\WINDOWS

2010-12-22 05:05 . 2010-12-22 05:05 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Temp

2010-12-20 08:05 . 2010-12-20 08:05 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google

2010-12-20 08:00 . 2010-12-20 08:00 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google

2010-12-20 07:59 . 2010-12-21 08:05 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Google

2010-12-20 07:59 . 2010-12-20 07:59 -------- d-----w- c:\program files\Google

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-12-20 17:09 . 2009-02-17 20:16 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-12-20 17:08 . 2009-02-17 20:16 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-05-17 16:00 . 2009-02-17 17:10 67688 ----a-w- c:\program files\mozilla firefox\components\jar50.dll

2009-05-17 16:00 . 2009-02-17 17:10 54368 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll

2009-05-17 16:00 . 2009-02-17 17:10 34944 ----a-w- c:\program files\mozilla firefox\components\myspell.dll

2009-05-17 16:00 . 2009-02-17 17:10 46712 ----a-w- c:\program files\mozilla firefox\components\spellchk.dll

2009-05-17 16:00 . 2009-02-17 17:10 172136 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll

.

 

------- Sigcheck -------

 

[-] 2007-02-11 . C7BE59B07C6EB74BEA6FD67C1B164015 . 360576 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys

 

[-] 2007-02-11 . 456FB859236C9074ACF6C3B6243D8B46 . 502784 . . [1.0626.6000.16386] . . c:\windows\system32\usp10.dll

 

 

c:\windows\System32\wscntfy.exe ... manque !!

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2006-11-12 157592]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2010-06-24 247144]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-12-20 39408]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools"="%ProgramFiles%\DAEMON Tools\daemon.exe -lang 1033" [X]

"NokiaMServer"="c:\program files\Fichiers communs\Nokia\MPlatform\NokiaMServer" [X]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2006-09-08 277296]

"VX1000"="c:\windows\vVX1000.exe" [2006-07-26 700416]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2010-02-21 1800464]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

"QuickTime Task"="c:\program files\QuickTime Alternative\qttask.exe" [2010-09-08 421888]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-11-17 421160]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_3"="advpack.dll" [2007-02-11 123904]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]

Nokia Ovi Suite.lnk - e:\program files\Nokia\Ovi\Suite\RunLauncher.exe [2008-7-25 951600]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\windows\system32\guard32.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"e:\\Program Files\\EMULE\\eMule\\emule.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"e:\\jeux dede\\the settlers batisseurs d empire\\base\\bin\\Settlers6.exe"=

"c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=

"c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

 

R0 nvcchflt;NVIDIA Disk Cache Filter Driver;c:\windows\system32\drivers\nvcchflt.sys [17/02/2009 18:49 16640]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [17/02/2009 17:58 646392]

R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [19/02/2009 18:38 134344]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [09/12/2009 19:43 108289]

R2 EFUploadSrv;ExtraFilm upload service;e:\logiciel\Extrafilm\Extrafilm Designer FR\EFUploadSrv.exe [09/07/2009 13:27 1716224]

R2 nxsIO32;NextSensor Kernel I/O Driver;c:\windows\system32\drivers\nxsIO32.sys [26/01/2010 12:20 2208]

R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [24/06/2010 15:41 92008]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [20/12/2010 09:00 136176]

.

Contenu du dossier 'Tâches planifiées'

 

2010-12-31 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

 

2011-01-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-20 07:59]

 

2011-01-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-20 07:59]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.com/

uInternet Settings,ProxyOverride = *.local

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

DPF: {3CA45906-EF10-4E4E-9BE4-B444D220FCB0} - hxxp://ua.foto.com/ImageUploader6.cab

DPF: {83A4D5A6-E2C1-4EDD-AD48-1A1C50BD06EF} - hxxp://www.leaderphoto.com/uploaders/aurigma_6_5_1_0/ImageUploader6.cab

FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKCU-Run-EA Core - c:\program files\Electronic Arts\EADM\Core.exe

HKCU-Run-AntiVirus System 2011 - c:\documents and settings\Administrateur\Application Data\AntiVirus System 2011\AntiVirus_System_2011.exe

HKLM-Run-Easy PDF Creator - e:\logiciel\PDF CREATOR\Easy PDF Creator\EasyPDFCreator.exe

HKLM-Run-PDFPrint - e:\logiciel\PDF Creator\pdf24\pdf24.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-01-05 13:00

Windows 5.1.2600 Service Pack 2 NTFS

 

detected NTDLL code modification:

ZwClose, ZwOpenFile

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(740)

c:\windows\system32\guard32.dll

 

- - - - - - - > 'lsass.exe'(796)

c:\windows\system32\guard32.dll

 

- - - - - - - > 'explorer.exe'(2972)

c:\windows\system32\msi.dll

c:\windows\system32\wpdshserviceobj.dll

c:\windows\system32\portabledevicetypes.dll

c:\windows\system32\portabledeviceapi.dll

.

Heure de fin: 2011-01-05 13:01:45

ComboFix-quarantined-files.txt 2011-01-05 12:01

 

Avant-CF: 45 682 053 120 octets libres

Après-CF: 50 564 358 144 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

- - End Of File - - C288B934CEE36D9676312126FF9D42D0

 

 

Que dois-je faire maintenant?

 

Delphine

[lance_yien]

Les Rogues sont de faux utilitaires de nettoyage et de sécurité (antivirus, antispywares, antispames, utilitaires de nettoyage ou d'optimisation...).

 

Concernant les MàJ de mon XP, je n'ai pas le CD d'installation, j'ai racheté la machine d'un collègue et je crains que...

Tu ne peux pas faire les mises à jour parce que tu as une version illégale de Windows? C'est important de me le dire pour la suite.

--

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau SystemLook (par jpshortstuff) depuis ici ou ici.

Double-cliquer sur SystemLook.exe et y copier/ coller le texte suivant (commençant par :filefind).

 

:filefind
*tcpip.sys*
*usp10.dll*
*wscntfy.exe*

 

Cliquer sur le bouton Look et attendre que l'analyse se termine.

A la fin, un rapport s'ouvre dans le bloc-note et sera enregistré sur le Bureau sous le nom de "SystemLook.txt". Copier/ coller son contenu dans la prochaine réponse.

 

Rapports demandés:

• SystemLook.txt

Réponds à ma question stp!

Modifié le 5 janvier 2011 par lance_yien

[Delf]

Pour ma version de XP effectivement c'est une "illégale", j'ai appelé le collègue qui m'a vendu l'ordi.

 

Comment je peux faire?

 

Voici le rapport demandé :

 

SystemLook 04.09.10 by jpshortstuff

Log created at 19:12 on 05/01/2011 by Administrateur

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "*tcpip.sys* "

C:\WINDOWS\system32\drivers\tcpip.sys ------- 360576 bytes [10:10 11/02/2007] [10:10 11/02/2007] C7BE59B07C6EB74BEA6FD67C1B164015

 

Searching for "*usp10.dll* "

C:\Program Files\Microsoft Office\Office12\USP10.DLL --a---- 503296 bytes [17:51 13/10/2006] [17:51 13/10/2006] CD75EF76BEE2A96599E51F1D4DEFEB09

C:\WINDOWS\system32\usp10.dll ------- 502784 bytes [10:03 11/02/2007] [10:03 11/02/2007] 456FB859236C9074ACF6C3B6243D8B46

 

Searching for "*wscntfy.exe*"

No files found.

 

-= EOF =-

[lance_yien]

Bonjour Delf,

 

...Comment je peux faire?

Acquérir un CD original de Windows ou investir dans un PC neuf ou occasion mais avec une version légale de Windows.

En attendant celui-ci ne semble plus être infecté. Essaie de faire attention jusqu'à ce que tu puisse trouver une solution.

 

>>> Supprimer les utilitaires:

- Pour supprimer ComboFix, cliquer sur Démarrer => Exécuter et saisir (ou copier/ coller) ComboFix /Uninstall (espace entre "ComboFix" et "/Uninstall"). Cliquer sur OK.

Ce qui a pour effet de supprimer ComboFix ainsi que les dossiers/ fichiers qu'il a installé et ré-initialiser les points de restauration.

- Supprimer les autres utilitaires et leur rapports par clic-droit => "Supprimer".

 

 

>>> Très important. Toute ancienne version d'un programme quel qu'il soit peut comporter des vulnérabilités susceptibles d'être exploitées pour infecter un PC:

• Ta version de Firefox n'est pas à jour. Lancer FF et cliquer sur le ? puis sur "Rechercher des mises à jour...". Suivre les indications.
  
• Ta version de Adobe Acrobat Reader n'est pas à jour, non plus. La désinstaller et télécharger la dernière version ici (Décocher la case Inclure dans votre téléchargement).

 

>>> Protéger/ Sécuriser:

• Contrôler et configurer les mises à jour Windows:
  - Cliquer ICI et installer toutes les Mises à jour critiques après avoir accepté l'installation de l'activex (si proposé).
  - OU, cliquer sur "Démarrer" => "Tous les programmes" => "Windows update".
  - ET, optez (si ce n'est pas encore fait) pour une MAJ Automatique à une heure où vous êtes sûr que votre PC n'est pas éteint.
  
• Installer PSI de Secunia pour des MAJ logiciels
  
• Installer Update Checker pour des MAJ pilotes
  
• Utiliser PC Pitstop pour Optimiser votre PC (en anglais)
  
• Sauvegarder:
  - Le MBR avec MBR Backup
  - Le Registre avec Erunt
  Pour des raisons évidentes, garder les copies de sauvegarde sur un support autre que le disque système.
  
• Immunisez votre machine avec Spyware Blaster, compatible avec Toutes les versions de Windows 32bit et 64bit. Tuto.
  
• Opter pour Firefox ou Opera pour la navigation de tous les jours et réserver Internet Explorer pour les Mises à jour et les cas bien spécifiques.
  
• Nettoyer et dé-fragmenter, régulièrement, les Partitions/ Disques.

 

>>> Ce qu'il faut ÉVITER ABSOLUMENT: Parce qu'il existe toujours un programme/logiciel gratuit et légal pour pratiquement tout ce qu'on veut, supprimer de votre machine et rester à l'écart de tout ce qui est,

• Warez , Crack , keygen etc. Arrêter de croire que ces programmes sont là juste pour faire plaisir ou rendre service. Il n'y a qu'à parcourir les Forums pour voir le nombre de PC victimes de ces programmes.
  
• P2P , *.Torrent etc: Lire attentivement Le danger des P2P.

 

>>> Ajouter Résolu: Merci d'éditer ton 1er post pour ajouter [Résolu] à la fin du titre après avoir cliqué sur le bouton "Modifier".

 

Bonne chance!

[Delf]

Bonjour,

 

Merci pour ton aide et tes conseils.

 

J'ai fait les MàJ de FF et installation du nouvel Abobe.

 

Mon collègue de travail m'a filé les service pack 3 pour mon XP je viens de finir de l'installer.

 

J'ai suivi tes conseils et téléchargé ce que tu recommandes.

 

Cependant, il me reste un problème. Quand j'utilise FF j'ai un problème avec mon système qui n'accepte pas les cookies et je n'arrive pas à trouver où je dois cliquer pour pouvoir activer les cookies.

 

Peux-tu aussi m'expliquer comment je dois faire pour éditer ce post pour rajouter Résolu car je n'y arrive pas...

 

Bonne journée

 

Delphine

[lance_yien]

Quand j'utilise FF j'ai un problème avec mon système qui n'accepte pas les cookies et je n'arrive pas à trouver où je dois cliquer pour pouvoir activer les cookies.

ça doit être un programme bien spécifique, essaie ceci:

Ouvrir FF => "Outils" => "Options..." => "Vie Privée"

Cocher "Accepter les cookies" et "Accepter les cookies tiers"

Mettre "Les conserver jusqu'à:" sur "leur expiration"

Cliquer sur OK et redémarrer FF.

 

Peux-tu aussi m'expliquer comment je dois faire pour éditer ce post pour rajouter Résolu car je n'y arrive pas...

Je ne crois pas que je puisse être plus clair: tu va sur ton 1er message (en haut de cette page), tu clique sur le bouton "Modifier" et ajoute le mot [Résolu] à la fin du titre. Ce qui donnera "Problème d'infection / messages intempestifs... [Résolu]".

Si tu ne trouve pas, laisse tomber. Ce n'est pas grave.