Sujet Précédent Sujet Suivant

Virus et problèmes suite à un téléchargement

Fermé
Gautier6 - 1 juin 2010 à 19:51
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 - 18 juin 2010 à 19:09
Bonjour tout le monde,

Suite à un téléchargement douteux, il semble que mon ordinateur soit infecté par des virus. Il a l'air plus lent et souvent, quand j'essaye d'ouvrir une page internet, je tombe souvent au début sur une page bizarre...

C'est dans ce style là: [URL=http://www.hostingpics.net/viewer.php?id=635738virus.jpg][IMG]http://img7.hostingpics.net/thumbs/mini_635738virus.jpg[/IMG][/URL]


Il y a aussi une autre manifestation claire de virus, c'est une fausse analyse qui s'ouvre dans mon navigateur.

Voilà, j'espère que vous pourrez m'aider ;-)


A voir également:

48 réponses

Réponse 1 / 48
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
1 juin 2010 à 20:01
Bonsoir,

N'accepte surtout pas cette analyse ( tu t'en doutes ) .

Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Sélectionne l'option tous les utilisateurs.
* Dans la partie Personnalisation, copie/colle la liste suivante. 

 netsvcs 
Drivers32
%SYSTEMDRIVE%\*.exe  
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
CREATERESTOREPOINT


* Enfin, clique sur le bouton Analyse rapide.

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.

A+
1
Réponse 2 / 48
Gautier6
1 juin 2010 à 21:53
Merci !

Donc voilà les 2 liens :
http://www.cijoint.fr/cjlink.php?file=cj201006/cijONGHNOj.txt
http://www.cijoint.fr/cjlink.php?file=cj201006/cijw8FMuiE.txt
0
Réponse 3 / 48
Gautier6
1 juin 2010 à 21:59
Sinon j'ai aussi une sorte de message de disfonctionnement de je sais pas quoi quand j'allume mon pc. Je te fais un screen la prochaine fois que je me connecte?? Je sais pas si c'est lié à mon problème de virus...
0
Réponse 4 / 48
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
1 juin 2010 à 22:23
Re,

Tu connais ce site : hxxp://www.apeha.ru ?

--------------------------------------------------------------------------------

1/ Relance OTL.exe.
Si sous Vista/seven --> Click droit sur le fichier et choisis exécuter en tant qu'administrateur

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant : 

:OTL

MOD - [2010/05/31 17:33:13 | 000,195,072 | ---- | M] () -- C:\WINDOWS\System32\d3d10warp32.dll
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
[2009/08/01 15:03:39 | 000,002,234 | ---- | M] () -- C:\Users\Gautier\AppData\Roaming\Mozilla\FireFox\Profiles\41sgpmgd.default\searchplugins\askcom.xml
O2 - BHO: (no name) - {00BE841F-DB7A-4B2A-8FD9-21C2E12E4537} - C:\ProgramData\dbnetlib32.dll (AIMP DevTeam)
O2 - BHO: (no name) - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - No CLSID value found.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-2139877537-3687728945-1112707195-1000..\Run: [RTHDBPL] C:\Users\Gautier\AppData\Roaming\SystemProc\lsass.exe (Artem Izmaylov)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
O16 - DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O20 - AppInit_DLLs: (C:\Windows\system32\d3d10warp32.dll) - C:\WINDOWS\System32\d3d10warp32.dll ()
[2010/05/31 19:40:11 | 000,311,808 | ---- | C] (AIMP DevTeam) -- C:\ProgramData\D3DCompiler_4132.dll
[2010/05/31 18:38:53 | 000,311,808 | ---- | C] (AIMP DevTeam) -- C:\ProgramData\dssenh32.dll
[2010/05/31 17:39:23 | 000,311,808 | ---- | C] (AIMP DevTeam) -- C:\ProgramData\davclnt32.dll
[2010/05/31 17:33:42 | 000,311,808 | ---- | C] (AIMP DevTeam) -- C:\ProgramData\dmdlgs32.dll
[2010/05/31 17:33:25 | 000,150,016 | ---- | C] (Artem Izmaylov) -- C:\Windows\System32\d3dx9_3232.dll
[2010/05/31 17:33:22 | 000,311,808 | ---- | C] (AIMP DevTeam) -- C:\Windows\System32\d3dx10_4032.dll
[2010/05/31 17:33:15 | 000,311,808 | ---- | C] (AIMP DevTeam) -- C:\Windows\System32\d3d932.dll
[2010/05/31 17:34:21 | 000,000,331 | -HS- | C] () -- C:\ProgramData\614673147
[2010/05/31 17:34:20 | 000,000,817 | ---- | C] () -- C:\ProgramData\1962113707
[2010/05/31 17:33:50 | 000,000,113 | ---- | C] () -- C:\ProgramData\sl1162000489

:Commands
[emptytemp]
[emptyflash]


* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log

2/ relance OTL et choisis analyse rapide.
poste le rapport.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 48
Gautier6
1 juin 2010 à 22:45
Pour le site, non justement je me demande pourquoi il est en première page dès que je lance une nouvelle session de firefox ou IE. Sinon pour le message d'erreur, tu sais d'où ça vient??
Je fais ce que tu m'as dit ;-)
0
Réponse 6 / 48
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
Modifié par verni29 le 1/06/2010 à 22:54
gautier6,

On verra après le nettoyage avec OTL pour le message d'erreur.
cela est peut-être lié.

par contre, évidemment si tu as une capture d'écran, ce sera plus explicite.

A+
Allez jusqu'au bout de la procédure de désinfection.
0
Réponse 7 / 48
Gautier6
1 juin 2010 à 23:08
Re. Bon, je suis actuellement en mode sans échec avec prise en charge réseau car mon ordi m'a affiché avant de redémarrer quand j'ai commencé la correction qu'il y avait un gros problème et que mon ordi allait redémarrer dans une minute. Quand j'essaie de le démarrer normalement, l'écran devient tout noir à un moment et il ne se passe plus rien...


[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769
IconResource=%SystemRoot%\system32\imageres.dll,-183

J'ai ça qui s'est mis sur mon bureau, je sais pas ce que c'est...

Pour le log rien ne s'est ouvert après le fix (même si je ne sais pas ce que c'est) et rien non plus dans le chemin que tu m'as indiqué...

J'espère qu'on va s'en sortir ^^
0
Réponse 8 / 48
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
1 juin 2010 à 23:16
gautier6,

désolé pour le plantage mais le PC est bien infecté.
cela peut arriver en effet.

Pour le fix, regarde en C:\_OTL\MovedFiles.
c'est un fichier log.
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log

--------------------------------------------------------------------------------------

Vu que tu es en mode sans échec avec prise en charge réseau, tu as donc accès au net.

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.

Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.
Le PC essayera d'ouvrir ta session sous windows.
Si cela ne fonctionne pas, reviens en mode sans échec avec prise en charge réseau.

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

A+
0
Réponse 9 / 48
Gautier6
1 juin 2010 à 23:21
Re. Pour le log, je crois que l'analyse a tout bonnement foiré donc il n'y en a pas, j'ai revérifié et rien dans ce que tu m'as dit à part un dossier dont le titre est composé de chiffres...

Je m'occupe de la nouvelle démarche
0
Réponse 10 / 48
Gautier6
1 juin 2010 à 23:25
Pour les supports externes je n'en ai pas ( à part ma clé usb mais je l'ai donnée à un pote aujourd'hui). Mais je pense pas que le virus soit dedans si c'est ce que tu penses.
0
Réponse 11 / 48
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
1 juin 2010 à 23:29
Non, en effet, l'infection n'est pas sur la clé ou les supports.

l'instruction de brancher les supports est une simple précaution. ;-)
0
Réponse 12 / 48
Gautier6
1 juin 2010 à 23:50
D'acc ;-)

Bon l'analyse de combotfix a l'air de s'être déroulée normalement, je crois pas que l'ordi ait redémarré. Pendant que j'y pense, tu me conseillerais quoi comme antivirus? J'avais avira jusqu'ici mais je l'ai désinstallé pour faire l'analyse de combotfix et il avait pas l'air top.



Dans tous les cas, voici le rapport :

ComboFix 10-06-01.01 - Gautier 01/06/2010 23:33:19.1.2 - x86 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2037.1522 [GMT 2:00]
Lancé depuis: c:\users\Gautier\Desktop\ComboFix.exe
SP: Spybot - Search and Destroy *disabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Dealio Toolbar
c:\program files\Dealio Toolbar\FF\components\config.ini
c:\program files\Dealio Toolbar\IE\4.0.2\config.ini
c:\programdata\SysWoW32
c:\programdata\SysWoW32\_u782835953v4
c:\programdata\SysWoW32\_u782835953v5
c:\programdata\SysWoW32\_u782835953v6
c:\programdata\SysWoW32\_u782835953v7
c:\programdata\SysWoW32\mu782835953v4
c:\programdata\SysWoW32\mu782835953v4.kwd
c:\programdata\SysWoW32\mu782835953v5
c:\programdata\SysWoW32\mu782835953v5.kwd
c:\programdata\SysWoW32\mu782835953v6
c:\programdata\SysWoW32\mu782835953v6.kwd
c:\programdata\SysWoW32\mu782835953v7
c:\programdata\SysWoW32\mu782835953v7.kwd
c:\programdata\SysWoW32\wu782835953v0
c:\programdata\SysWoW32\wu782835953v0.kwd
c:\programdata\SysWoW32\wu782835953v1
c:\programdata\SysWoW32\wu782835953v1.kwd
c:\programdata\SysWoW32\wu782835953v2
c:\programdata\SysWoW32\wu782835953v2.kwd
c:\programdata\SysWoW32\wu782835953v3
c:\programdata\SysWoW32\wu782835953v3.kwd
c:\programdata\unrar.exe
c:\users\Gautier\AppData\Roaming\02000000c4902982937C.manifest
c:\users\Gautier\AppData\Roaming\02000000c4902982937O.manifest
c:\users\Gautier\AppData\Roaming\02000000c4902982937P.manifest
c:\users\Gautier\AppData\Roaming\02000000c4902982937S.manifest
c:\users\Gautier\AppData\Roaming\B05C.tmp
c:\users\Gautier\AppData\Roaming\Mozilla\Firefox\Profiles\41sgpmgd.default\extensions\{a4309b4b-2116-4c07-bfd1-7e5bdaa35407}
c:\users\Gautier\AppData\Roaming\Mozilla\Firefox\Profiles\41sgpmgd.default\extensions\{a4309b4b-2116-4c07-bfd1-7e5bdaa35407}\chrome.manifest
c:\users\Gautier\AppData\Roaming\Mozilla\Firefox\Profiles\41sgpmgd.default\extensions\{a4309b4b-2116-4c07-bfd1-7e5bdaa35407}\chrome\xulcache.jar
c:\users\Gautier\AppData\Roaming\Mozilla\Firefox\Profiles\41sgpmgd.default\extensions\{a4309b4b-2116-4c07-bfd1-7e5bdaa35407}\defaults\preferences\xulcache.js
c:\users\Gautier\AppData\Roaming\Mozilla\Firefox\Profiles\41sgpmgd.default\extensions\{a4309b4b-2116-4c07-bfd1-7e5bdaa35407}\install.rdf
c:\users\Gautier\AppData\Roaming\SystemProc
c:\windows\system32\11183948.dll
c:\windows\system32\3807833.dll
c:\windows\system32\KBL.LOG

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-05-01 au 2010-06-01 ))))))))))))))))))))))))))))))))))))
.

2010-06-01 21:42 . 2010-06-01 21:42 -------- d-----w- c:\users\Gautier\AppData\Local\temp
2010-06-01 21:42 . 2010-06-01 21:42 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-06-01 20:46 . 2010-06-01 20:46 -------- d-----w- C:\_OTL
2010-06-01 15:47 . 2010-06-01 15:47 -------- d-----w- c:\users\Gautier\AppData\Roaming\Sierra
2010-05-31 16:37 . 2010-05-31 16:37 -------- d-----w- c:\users\Gautier\AppData\Local\Ares
2010-05-31 15:33 . 2010-06-01 14:48 -------- d-----w- c:\programdata\1187061196
2010-05-31 15:33 . 2010-06-01 20:47 195072 ----a-w- c:\windows\system32\d3d10warp32.dll
2010-05-31 14:19 . 2010-06-01 19:56 -------- d-----w- c:\users\Gautier\AppData\Local\LogMeIn Hamachi
2010-05-31 14:16 . 2010-05-31 14:16 -------- d-----w- c:\program files\LogMeIn Hamachi
2010-05-26 06:48 . 2010-04-23 14:13 2048 ----a-w- c:\windows\system32\tzres.dll
2010-05-12 16:25 . 2010-01-29 15:40 738816 ----a-w- c:\windows\system32\inetcomm.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-01 16:56 . 2009-08-26 17:42 -------- d-----w- c:\program files\Steam
2010-06-01 15:52 . 2009-08-20 14:24 -------- d-----w- c:\users\Gautier\AppData\Roaming\LimeWire
2010-05-31 19:22 . 2007-11-21 12:30 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-31 19:22 . 2007-11-21 12:30 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-31 16:45 . 2007-11-21 04:00 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-31 16:45 . 2007-11-21 05:49 -------- d-----w- c:\program files\CyberLink
2010-05-31 16:40 . 2010-01-30 22:21 -------- d-----w- c:\programdata\eMule
2010-05-31 16:40 . 2009-12-01 17:30 -------- d-----w- c:\program files\eMule
2010-05-30 16:38 . 2009-12-19 10:28 -------- d-----w- c:\users\Gautier\AppData\Roaming\vlc
2010-05-17 15:56 . 2009-07-31 10:24 -------- d-----w- c:\program files\Google
2010-05-14 05:31 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-05-13 08:40 . 2007-11-21 05:43 -------- d-----w- c:\programdata\Microsoft Help
2010-05-12 09:21 . 2009-10-02 16:30 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-05-11 19:37 . 2009-08-03 18:00 1 ----a-w- c:\users\Gautier\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-04-14 13:14 . 2009-08-26 18:20 -------- d-----w- c:\programdata\Sports Interactive
2010-04-14 13:13 . 2009-08-26 18:24 -------- d-----w- c:\users\Gautier\AppData\Roaming\Sports Interactive
2010-04-14 13:10 . 2010-04-14 13:05 -------- d-----w- c:\program files\Football Manager 2010
2010-04-13 07:41 . 2009-09-27 09:51 -------- d-----w- c:\users\Gautier\AppData\Roaming\CyberLink
2010-04-03 21:47 . 2010-03-29 18:36 -------- d-----w- c:\program files\adslTV
2010-04-03 13:03 . 2010-03-02 19:47 -------- d-----w- c:\program files\Konvertor
2010-03-09 02:28 . 2009-08-03 15:59 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-03-05 14:01 . 2010-04-15 07:39 420352 ----a-w- c:\windows\system32\vbscript.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-12-21 217088]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-04 186904]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-09-30 181544]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-09-27 202032]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-10-03 480560]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-02-26 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-02-26 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-02-26 150552]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-03-30 1820040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]
"OTL"="c:\users\Gautier\Downloads\OTL.scr" [2010-06-01 571392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\d3d10warp32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):b9,f7,35,e7,8e,25,ca,01

R2 a2free;a-squared Free Service;c:\program files\a-squared Free\a2service.exe [2009-10-06 1858144]
R2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [x]
R2 gupdate1ca11c96325e239;Service Google Update (gupdate1ca11c96325e239);c:\program files\Google\Update\GoogleUpdate.exe [2009-07-31 133104]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2009-12-11 238960]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-05-20 2772302]
S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [2010-03-30 1107336]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenu du dossier 'Tâches planifiées'

2010-06-01 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-07-31 10:24]

2010-06-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-31 10:26]

2010-06-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-31 10:26]

2010-06-01 c:\windows\Tasks\User_Feed_Synchronization-{65B0E9EB-B80B-4C60-B6A6-A235BA7054DF}.job
- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.apeha.ru
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=81&bd=Presario&pf=laptop
uInternet Settings,ProxyOverride = local
IE: &Recherche AOL Toolbar
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Gautier\AppData\Roaming\Mozilla\Firefox\Profiles\41sgpmgd.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.apeha.ru
FF - prefs.js: keyword.URL -
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1636.7222\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npijjiautoinstallpluginff.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npijjiFFPlugin1.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\programdata\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\users\Gautier\AppData\Roaming\Mozilla\Firefox\Profiles\41sgpmgd.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\users\Gautier\Program Files\DNA\plugins\npbtdna.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-HP Health Check Scheduler - [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
HKLM-RunOnce-<NO NAME> - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-01 23:42
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-06-01 23:45:03
ComboFix-quarantined-files.txt 2010-06-01 21:45

Avant-CF: 71 959 261 184 octets libres
Après-CF: 71 963 713 536 octets libres

- - End Of File - - FFB9716F482B49B1BBCB5DCFFD6914E9


Je suis beaucoup infecté?? :-)
0
Réponse 13 / 48
Gautier6
1 juin 2010 à 23:52
Au fait, je suis toujours en mode sans échec apecr. Je tente de revenir en mode normal manuellement...
0
Réponse 14 / 48
Gautier6
1 juin 2010 à 23:58
Je suis revenu en mode normal et pas de soucis particuliers apparents.
J'ai juste eu ça dans un rapport de bloc note quand l'ordi est arrivé au bureau :


Files\Folders moved on Reboot...
File\Folder C:\Users\Gautier\AppData\Local\Temp\ehmsas.txt not found!

Registry entries deleted on Reboot...


Quant au message d'erreur de le bibliothèque je sais pas quoi, aucunes nouvelles ;-)
0
Réponse 15 / 48
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
1 juin 2010 à 23:59
gautier6,

le PC est toujours infecté mais il y a eu un peu de nettoyage.
https://www.systemlookup.com/accessverify.php?redirect=CLSID%2F68444-d3d10warp32_dll.html

On verra la suite demain.

A+
0
Réponse 16 / 48
Gautier6
2 juin 2010 à 00:05
Ok. Le lien c'est quoi??

Bonne nuit et à demain... ;-)

A++
0
Réponse 17 / 48
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
2 juin 2010 à 09:29
gautier6,

Le lien, c'était une info.

Peux-tu regarder comme précédemment pour le rapport du fix avec OTL ?
un fichier log dans C:\_OTL\MovedFiles

------------------------------------------------------------------------------------

1/ Tu télécharges MalwareBytes.
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tu l'installes. Choisis les options par défaut.
# A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s'ouvrir.

# Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur.
# Clique sur lancer l'examen.

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.


2/ Relance OTL, clique sur Analyse rapide et poste le rapport.

A+
0
Réponse 18 / 48
Gautier6
2 juin 2010 à 18:41
Toujours pas de rapport OTL. Je crois que j'ai déjà malwarebytes, je vais voir ça...
0
Réponse 19 / 48
Gautier6
2 juin 2010 à 20:46
Le rapport de malwarebytes (il m'a dit que certains fichiers n'avaient pas pu être supprimés) :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4164

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

02/06/2010 20:44:17
mbam-log-2010-06-02 (20-44-17).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 327566
Temps écoulé: 1 heure(s), 28 minute(s), 21 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 13

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Tracur) -> Data: c:\windows\system32\d3d10warp32.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Tracur) -> Data: system32\d3d10warp32.dll -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\ProgramData\1187061196 (Rogue.SecurityTool) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010004.wid (Trojan.Vundo) -> Delete on reboot.
C:\Qoobox\Quarantine\C\Users\Gautier\AppData\Roaming\B05C.tmp.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\WINDOWS\System32\d3d10warp32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\06012010_224652\C_ProgramData\D3DCompiler_4132.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\06012010_224652\C_ProgramData\davclnt32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\06012010_224652\C_ProgramData\dbnetlib32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\06012010_224652\C_ProgramData\dmdlgs32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\06012010_224652\C_ProgramData\dssenh32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\06012010_224652\C_Users\Gautier\AppData\Roaming\SystemProc\lsass.exe (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\06012010_224652\C_WINDOWS\System32\d3d10warp32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\06012010_224652\C_WINDOWS\System32\d3d932.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\06012010_224652\C_WINDOWS\System32\d3dx10_4032.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\06012010_224652\C_WINDOWS\System32\d3dx9_3232.dll (Trojan.Tracur) -> Quarantined and deleted successfully.


Il faut que je redémarre mon pc maintenant, ensuite je fais le scan OTL
0
Réponse 20 / 48
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
2 juin 2010 à 21:45
gautier6,

Si tu peux poster le rapport d'OTL.
Je ne ferais pas de vieux os sur le forum, ce soir ( crevé après la journée ).

A+
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Télécharger musique MP3 gratuitement avec Tubidy
X-Eddy_18-X -
Ambre.ezzn -

25 réponses
Le site "singe.mp3" existe-t'il encore ?
Cyrlatic363 -
MPMP10 -

2 réponses