Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

RootKil.win32.TDSS.tdl2 [RESOLU]

adlene25
 Partager

Messages recommandés

adlene25 Junior Member

adlene25

Posté(e)
Posté(e) (modifié)

salut a tous ...

voila de puis qlqs jours j'ai un truc pas sympa sur mon pc..dés que je lance IE,Firefox, chrome, opera ..le bouclier de réseaux avast me signale qu'il y a une tentative de redirection sur un site malveillant :-?

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:26:44, on 24/05/2011

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\acs.exe

C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\CAP3RSK.EXE

C:\Program Files\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Gigabyte\Gigabyte Super Wireless LAN Card\Installer\Winxp\GNConfig.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe

C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CNAP2LAK.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CNAB8SWK.EXE

F:\Adlene\ashut21\AutoShutdown\autoshutdown2.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe

C:\Program Files\Cirta Software Corporation\Qwalc\qwsv.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Documents and Settings\user\Bureau\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file)

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE

O4 - HKLM\..\Run: [GNConfig] "C:\Program Files\Gigabyte\Gigabyte Super Wireless LAN Card\Installer\Winxp\GNConfig.exe" -nogui

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [spywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [CNAP2 Launcher] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CNAP2LAK.EXE

O4 - HKCU\..\Run: [AutoShutdown] F:\Adlene\ashut21\AutoShutdown\autoshutdown2.exe

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [spywareTerminatorUpdate] "C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Qwalc Server.lnk = C:\Program Files\Cirta Software Corporation\Qwalc\qwsv.exe

O4 - Global Startup: Canon LASER SHOT LBP-1120 ª¬ºAµøµ¡.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE

O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL

O23 - Service: Atheros Configuration Service (ACS) - Atheros - C:\WINDOWS\system32\acs.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

 

--

End of file - 8847 bytes

 

 

 

merci d'avance pour votre aide

Modifié par adlene25

bernard53 Godlike Member

bernard53

Posté(e)
Posté(e) (modifié)

Bonjour

 

fait ceci s.t.p dans cet ordre.

 

Installe Malewarebytes' Antimalware,

 

Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer

 

Prends bien la version FREE

*** Met-le à jour puis choisi, Exécuter un examen complet

 

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

 

Poste le rapport final.

 

 

Puis::

 

 

Télécharger AD-Remover (créé par C_XX) :

 

http://www.teamxscript.org/adremoverTelechargement.html

 

Cliquez sur "DOWNLOAD " et enregistrez-le "sur votre bureau"

 

Une fois téléchargé sur votre bureau, double-cliquez sur son icone pour lancer l'installation.

 

Sous vista et Windows7 : clic droit sur son icone et sélectionnez "Exécuter en tant qu'administrateur".

L'installation se fera automatiquement.

 

A l'écran principal, cliquez sur Nettoyer pour exécuter le nettoyage.

 

Une fois l'ordinateur redémarré, il ne vous reste plus qu'à copier/coller le rapport sur le forum comme le précédent.

Le rapport se trouve à cet endroit : C:\Ad-Report-CLEAN[1].txt

 

Puis ceci pour contrôle après.

 

Télécharges << ZHPDiag>> (de Nicolas Coolman)

 

dezzipes le fichier sur ton bureau...

Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".

 

 

L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

 

110204080230569695.jpg

 

 

A la fin de l'installation ZHPDiag va se lancer....

 

Cliques sur l'icône "Options" (image du tournevis) et coches toutes les options.

Cliques sur "Lancer le diagnostique" (image de la loupe) et patiente...

 

A la fin du scan cliques sur l'icône "sauvegarder le fichier sous" (image de la disquette bleu) et enregistre le rapport sur ton bureau.

 

Mets le rapport ici car il prend bien de la place.

http://mydoc.tk

ou la

http://www.cijoint.fr/index.php

Modifié par bernard53
bernard53 Godlike Member

bernard53

Posté(e)
Posté(e)

ok Ad-Remover a fait déjà une bonne partie du travail.

 

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

M3 - MFPP: Plugins - [user] -- C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\rohzhobh.default\searchplugins\sweetim.xml

M2 - MFEP: prefs.js [user - rohzhobh.default\{481f306a-420c-4673-be90-543b7d62a78e}] [] LogiTool Community Toolbar v3.3.3.2 (.Conduit Ltd..)

[HKCU\Software\SweetIM]

[HKLM\Software\SweetIM]

O43 - CFD: 26/11/2008 - 13:07:28 - [3903833] ----D- C:\Program Files\SweetIM

O53 - SMSR:HKLM\...\startupreg\SweetIM [Key] . (.SweetIM Technologies Ltd. - SweetIM Instant Messenger Enhancer.) -- C:\Program Files\SweetIM\Messenger\SweetIM.exe

FirewallRaz

EmptyFlash

Emptytemp

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

- Clique sur le bouton « GO » pour lancer le nettoyage,

- Copie/colle la totalité du rapport dans ta prochaine réponse

 

-> laisse travailler l'outil et ne touche à rien ...

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

 

Puis ceci.

 

 

Désactive ton anti Virus avant le scan car il bloque sur la désinfection

 

Télécharge USBFix depuis ce lien : <<ICI>>

 

Double cliquez sur "UsbFix.exe" présent sur votre bureau.

L'installation est automatique.

 

Branche tes lecteurs externes

 

Valide Recherche

 

 

Une fois l'analyse terminée, un rapport de scan vous est proposé...

CTRL+A pour tout sélectionner

CTRL+C pour copier

CTRL+V pour coller dans la réponse

bernard53 Godlike Member

bernard53

Posté(e)
Posté(e)

ok pas mal de chose trouvé par USBfix donc ceci.

 

Relance donc celui-ci puis,

 

Branche tes lecteurs externes

 

Valide Suppression

 

 

Une fois l'analyse terminée, un rapport de scan vous est proposé...

CTRL+A pour tout sélectionner

CTRL+C pour copier

CTRL+V pour coller dans la réponse

 

Ensuite ceci.

 

Installe Malewarebytes' Antimalware,

 

Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer

 

Prends bien la version FREE

*** Met-le à jour puis choisi, Exécuter un examen complet

 

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

 

Poste le rapport final.

 

 

Après cela donne moi des nouvelles.

adlene25 Junior Member

adlene25

Posté(e)
  • Auteur
Posté(e) (modifié)

voila pour USBfix en suppression ==> Cliquez ici.

 

 

pour Malewarebytes' Antimalware, il c'est lancé et j'ai pus le mettre a jour aussi et il a trouve 2 ^^

 

==> Cliquez ici.

 

 

 

malheureusement le truc est toujours là ..c'est un dure a cuire lol

 

pour exemple voici les 10 dernières attaques sur le bouclier réseaux avast :

25.05.2011 12:08:08 Network Shield: blocked access to malicious site cloudnanoconnnection.info/version/xfiles/c10010_1.dll [ C:\WINDOWS\System32\svchost.exe ( 768 ) ]

25.05.2011 12:08:08 Network Shield: blocked access to malicious site cloudnanoconnnection.info/version/xfiles/c10010_1.dll [ C:\WINDOWS\System32\svchost.exe ( 768 ) ]

25.05.2011 13:15:55 Network Shield: blocked access to malicious site windriverupdate.kz/version/xtasks.php?2_10010_1_34c86698-1ad1-46e8-9433-a99f9509813f_5.1%202600%20SP2.0_fr-fr_iexplore_7.2.2011%2010:24:59 [ C:\WINDOWS\System32\svchost.exe ( 760 ) ]

25.05.2011 13:15:55 Network Shield: blocked access to malicious site windriverupdate.kz/version/xtasks.php?2_10010_1_34c86698-1ad1-46e8-9433-a99f9509813f_5.1%202600%20SP2.0_fr-fr_iexplore_7.2.2011%2010:24:59 [ C:\WINDOWS\System32\svchost.exe ( 760 ) ]

25.05.2011 13:19:04 Network Shield: blocked access to malicious site updateconnection.com/version/xtasks.php?2_10010_1_34c86698-1ad1-46e8-9433-a99f9509813f_5.1%202600%20SP2.0_fr-fr_iexplore_7.2.2011%2010:24:59 [ C:\WINDOWS\System32\svchost.exe ( 760 ) ]

25.05.2011 13:19:26 Network Shield: blocked access to malicious site updateconnection.com/version/xtasks.php?2_10010_1_34c86698-1ad1-46e8-9433-a99f9509813f_5.1%202600%20SP2.0_fr-fr_iexplore_7.2.2011%2010:24:59 [ C:\WINDOWS\System32\svchost.exe ( 760 ) ]

25.05.2011 13:20:28 Network Shield: blocked access to malicious site cloudnanoconnnection.info/version/xtasks.php?2_10010_1_34c86698-1ad1-46e8-9433-a99f9509813f_5.1%202600%20SP2.0_fr-fr_iexplore_7.2.2011%2010:24:59 [ C:\WINDOWS\System32\svchost.exe ( 760 ) ]

25.05.2011 13:20:28 Network Shield: blocked access to malicious site cloudnanoconnnection.info/version/xtasks.php?2_10010_1_34c86698-1ad1-46e8-9433-a99f9509813f_5.1%202600%20SP2.0_fr-fr_iexplore_7.2.2011%2010:24:59 [ C:\WINDOWS\System32\svchost.exe ( 760 ) ]

25.05.2011 13:27:17 Network Shield: blocked access to malicious site socketopencloud.su/a/getupdate.php?id1=10010&id2=1&guid=34c86698-1ad1-46e8-9433-a99f9509813f&ver=1.0&dom=t7hblgd04g3 [ C:\Program Files\Internet Explorer\IEXPLORE.EXE ( 3436 ) ]

25.05.2011 13:38:07 Network Shield: blocked access to malicious site socketopencloud.su/a/getupdate.php?id1=10010&id2=1&guid=34c86698-1ad1-46e8-9433-a99f9509813f&ver=1.0&dom=t7hblgd04g3 [ C:\Program Files\Internet Explorer\IEXPLORE.EXE ( 3860 ) ]

Modifié par adlene25
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonsoir à tous deux,

 

Bernard, excuse l'intrusion mais je n'ai pas pu te mp.

 

Il y a un moyen d'être tranquille avec ces notifications d'Avast sans pour cela diminuer la sécurité du bouclier réseau. Apollo Et Compagnie Attaques réseau: notifications Avast.

 

Bonne soirée ;)

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...