[Résolu] Kesako ?

[2counos]

PS: j'ai effectué les 2 vérifs à savoir sous <<onglet général>> et <<Google>> c'est comme indiqué.

 

cordialement

 

 

Jclaude

[bernard53]

PS: j'ai effectué les 2 vérifs à savoir sous <<onglet général>> et <<Google>> c'est comme indiqué.

 

cordialement

 

 

Jclaude

OK as tu trouvé des signes de ce" Bywill"

[2counos]

Pas trouvé de traces, mais toujours présent à me miner la vie

[bernard53]

ok ceci sinon on fera autrement.

 

Télécharge ComboFix <ICI>>

 

Pour les Utilisateurs de VISTA et SEVEN: Clic-droit et choisis "Exécuter en tant qu'administrateur".

Pour VISTA et SEVEN: pas d'installation de la console de récupération.

 

>> Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée.

 

Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir préinstallée sur votre PC avant toute suppression de nuisibles.

Elle permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

 

Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela est demandé, accepte le Contrat de Licence Utilisateur Final pour l'installer.

>> Une fois sur ton bureau double clique dessus pour le lancer.

Note importante : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

 

Lorsque le scan sera complet, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

 

>>Ne pas cliquer dans la fenêtre de Combofix durant l’analyse, ceci provoquerait le gel du programme

 

 

Sinon on vérifiras si tu n'as pas un intrus qui ta installé une partition fantôme.

[2counos]

Une petite question. Je suis sous XP.

Dois je procéder comme pour Vista et Seven?

[bernard53]

Oui seven et vista même façon et pour XP idem. Seul XP est installé la console de récupération au besoin.

Modifié le 16 janvier 2012 par bernard53

[2counos]

Bonsoir

 

et voilà... pas simple

 

ComboFix 12-01-16.02 - Jean-Claude 16/01/2012 17:52:07.1.1 - x86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.767.345 [GMT 1:00]

Lancé depuis: c:\combofix\ComboFix.exe

AV: Norton AntiVirus 2006 *Enabled/Outdated* {E10A9785-9598-4754-B552-92431C1C35F8}

FW: Norton Internet Worm Protection *Enabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\alcrmv.exe

c:\windows\system32\autorun.ini

c:\windows\system32\drivers\etc\hosts.ics

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-12-16 au 2012-01-16 ))))))))))))))))))))))))))))))))))))

.

.

2012-01-14 21:08 . 2012-01-14 21:08 512 ----a-w- C:\PhysicalDisk0_MBR.bin

2012-01-14 20:52 . 2012-01-15 18:13 -------- d-----w- C:\ZHP

2012-01-14 20:51 . 2012-01-14 21:08 -------- d-----w- c:\program files\ZHPDiag

2012-01-14 09:30 . 2012-01-14 09:30 -------- d-----w- c:\program files\SEAF

2012-01-13 15:54 . 2012-01-13 15:54 626688 ----a-w- c:\program files\Mozilla Firefox\msvcr80.dll

2012-01-13 15:54 . 2012-01-13 15:54 548864 ----a-w- c:\program files\Mozilla Firefox\msvcp80.dll

2012-01-13 15:54 . 2012-01-13 15:54 479232 ----a-w- c:\program files\Mozilla Firefox\msvcm80.dll

2012-01-13 15:54 . 2012-01-13 15:54 43992 ----a-w- c:\program files\Mozilla Firefox\mozutils.dll

2012-01-10 18:38 . 2012-01-10 18:38 101720 ----a-w- c:\windows\system32\drivers\SBREDrv.sys

2012-01-10 17:19 . 2012-01-10 17:19 512 ----a-w- C:\PhysicalMBR.bin

2012-01-07 18:28 . 2012-01-10 17:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Ad-Aware Browsing Protection

2012-01-07 18:28 . 2012-01-07 18:28 -------- d-----w- c:\program files\Toolbar Cleaner

2012-01-07 18:26 . 2012-01-07 18:26 -------- d-----w- c:\program files\Lavasoft

2012-01-07 18:26 . 2012-01-10 20:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-01-13 15:54 . 2011-08-11 19:14 121816 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-07-02 185896]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"MaxRecentDocs"= 1 (0x1)

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\Program Files\\Acer TV-FM\\PowerCinema.exe"=

"c:\\Program Files\\Acer TV-FM\\PCMService.exe"=

"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

.

R?2 D-Link Wireless N DWA-140;D-Link Wireless N DWA-140 Service;c:\program files\D-Link\DWA-140 revB\ANIWZCSdS.exe [02/12/2011 18:08 126976]

R2 ANPD;ANPD Service;c:\windows\system32\ANPD.SYS [17/09/2011 11:54 29411]

R2 D-Link Wireless N DWA-140_WPS;D-Link Wireless N DWA-140_WPS Service;c:\program files\D-Link\DWA-140 revB\ANIWConnService.exe [02/12/2011 18:08 53248]

R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [03/03/2009 18:14 366152]

R2 PMBDeviceInfoProvider;PMBDeviceInfoProvider;c:\program files\Sony\PMB\PMBDeviceInfoProvider.exe [24/10/2009 02:18 360224]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [26/03/2007 20:01 102712]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [03/03/2009 18:14 22216]

.

Contenu du dossier 'Tâches planifiées'

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://home.neuf.fr/

uInternet Connection Wizard,ShellNext = iexplore

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

TCP: DhcpNameServer = 192.168.1.1

FF - ProfilePath - c:\documents and settings\Jean-Claude\Application Data\Mozilla\Firefox\Profiles\7u119qxg.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.startup.homepage - about:home

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2012-01-16 18:09

Windows 5.1.2600 Service Pack 2 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_USERS\S-1-5-21-807817372-2556767391-2270224382-1006\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'winlogon.exe'(724)

c:\windows\system32\Ati2evxx.dll

.

Heure de fin: 2012-01-16 18:12:53

ComboFix-quarantined-files.txt 2012-01-16 17:12

.

Avant-CF: 54 927 536 128 octets libres

Après-CF: 54 887 497 728 octets libres

.

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

.

- - End Of File - - 279E0EB82C9C4C5B816E85D369A24DED

[bernard53]

ok ceci s.t.p

 

Démarrer > Exécuter > tapes cmd

 

Puis dans le fenêtre DOS.

 

Puis tapes ces commandes.

 

Sous XP (service pack 2 et 3) / Vista :

netsh int ip reset all

(dans un premier temps) puis

netsh winsock reset catalog

puis saisissez la commande ipconfig /flushdns

Mettre un espace entre "ipconfig et /flushdns"

 

(Réinitialisation du socket correspondant).

 

Ces commandes nécessitent toutes les deux un redémarrage de l'ordinateur pour être prises en compte.

Modifié le 16 janvier 2012 par bernard53

[2counos]

Manipe effectuée:

 

Configuration IP DE wINDOWS

 

Cache de résolution DNS vidé

 

 

Pas d'invite de redémarrage. Je dois redémarrer donc? C"est bien çà?

[bernard53]

Oui redémarre le pc s.t.p