Virus Somoto.com et compagniesFermé

Question

Bien le bonjour à tous !

J'ai depuis peu (environ une semaine) de gros problèmes sur mon ordinateur causés par des (un ?) malwares plutôt coriaces que mes antivirus ou anti-spyware n'ont, jusqu'à présent, pas su éliminer.

Jusqu'à présent je n'ai jamais réellement eu de problèmes avec des virus que mes anti-virus ou des recherches sur google ne permettaient de régler mais, là, je suis au bout du rouleau. J'ai tout essayé, impossible de m'en débarasser, et c'est bien relou, d'où ma présence ici. J'espère que vous pourrez m'aider.

Étant nouveau dans la résolution de problèmes viraux sur mon ordi, je manquerai probablement à certains détails pour aider la résolution de ceux-ci ; n'hésitez pas à m'en faire part. Je sais pas si je dois faire des rapports ou autre.

Je ne sais pas vraiment comment s'appelle ce virus mais voici en gros ce qu'il cause d'anormal :
- quand j'ouvre un onglet, ça me met sur une sorte de moteur de recherche corrompu sur un site "somoto.com". Bien entendu, impossible de changer ça en reconfigurant Firefox.
- parfois, quand j'ouvre une page internet vierge, c'est sur le site BigSeekPro.com que ça m'envoie, qui est lié
- j'ai la AccmeWare DB Toolbar qui s'est ajoutée sans mon accord et qui refuse de se supprimer même après avoir fait en sorte de la désinstaller via le Panneau de contrôle
- connexion ralentie voire parfois impossible via le navigateur (alors qu'un autre programme genre Skype fonctionne)
- toutes mes sessions semblent se déconnecter quand je ferme le navigateur, impossible de conserver mes onglets ou mes sessions actives (user + mot de passe) sur quelque site que ce soit

Je suis sous : Configuration: Windows XP / Firefox 5.0.

J'espère réellement que vous pourrez m'aider, je ne sais plus quoi faire.

Merci beaucoup d'avance pour le temps que vous pourrez consacrer à mon problème.

jfkpresident · Accepted Answer

Hello,


    Télécharge ZhpDiag de Nicolas Coolman .
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista/7).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php ou celui-ci : http://pjjoint.malekal.com/
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt (Une aide au cas ou])

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

Orneon · Answer

Salut à toi jfkpresident et merci pour ton aide !

J'ai donc fait comme tu m'as indiqué (au passage, quand j'ai lancé le logiciel, il m'a dit "serveur Zebulon" introuvable. Je ne sais pas si ça influence quelque chose mais, je préfère te le dire, sait-on jamais).

Voici le lien "Ci-joint" du rapport : http://www.cijoint.fr/cjlink.php?file=cj201108/ciji4wIzSc.txt

Merci :)

jfkpresident · Answer

* Télécharge et install UsbFix par El Desaparecido , C_XX & Chimay8 

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

* Double clic sur le raccourci UsbFix présent sur ton bureau .

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

* Au second menu Choisis l'option " 2 " (recherche) et tape sur [entrée] 

* Laisse travailler l'outil.

* Ensuite post le rapport UsbFix.txt qui apparaitra.

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Orneon · Answer

Merci !

Tu n'as pas précisé, du coup je dois coller ici ? Dans le doute je le fais, voici le rapport :


############################## | UsbFix 7.054 | [Recherche]

Utilisateur: frédéric (Administrateur) # FREDERIC [ ]
Mis à jour le 04/08/2011 par El Desaparecido
Lancé à 21:02:46 | 05/08/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 5000+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 5000+
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Pare-feu Windows: Activé
Antivirus: AVG Anti-Virus Free Edition 2011 10.0 [Enabled | Updated]
RAM -> 2047 Mo 
C:\ (%systemdrive%) -> Disque fixe # 73 Go (12 Go libre(s) - 17%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 76 Go (30 Go libre(s) - 39%) [] # NTFS

################## | Éléments infectieux |

Présent! C:\RECYCLER\S-1-5-21-1004336348-412668190-1801674531-1004
Présent! E:\RECYCLER\S-1-5-21-1004336348-412668190-1801674531-1004

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{e91cb6a1-b2bf-11df-a2b9-001d92dd3974}
Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true

HKCU\.\.\.\.\Explorer\MountPoints2\{e91cb6a3-b2bf-11df-a2b9-001d92dd3974}
Shell\AutoRun\Command = H:\ClickMe.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

jfkpresident · Answer

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

* Double clic sur le raccourci UsbFix présent sur ton bureau

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

* Ton bureau disparaitra et le pc redémarrera .

* Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

* Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Orneon · Answer

Salut !

J'ai fait comme tu m'as dit mais le pc n'a pas redémarré (par contre le bureau a bien disparu puis est réapparu) et UsbFix m'a tout de même sorti un rapport. Du coup je ne sais pas si c'est bon mais je le copie/colle quand même :


############################## | UsbFix 7.054 | [Suppression]

Utilisateur: frédéric (Administrateur) # FREDERIC [ ]
Mis à jour le 04/08/2011 par El Desaparecido
Lancé à 06:33:37 | 06/08/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 5000+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 5000+
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Pare-feu Windows: Activé
Antivirus: AVG Anti-Virus Free Edition 2011 10.0 [Enabled | Updated]
RAM -> 2047 Mo 
C:\ (%systemdrive%) -> Disque fixe # 73 Go (12 Go libre(s) - 16%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 76 Go (30 Go libre(s) - 39%) [] # NTFS

################## | Éléments infectieux |

Supprimé! C:\Recycler\S-1-5-21-1004336348-412668190-1801674531-1004
Supprimé! E:\Recycler\S-1-5-21-1004336348-412668190-1801674531-1004

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{e91cb6a1-b2bf-11df-a2b9-001d92dd3974}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{e91cb6a3-b2bf-11df-a2b9-001d92dd3974}

################## | Listing |

[19/08/2010 - 13:56:32 | D ] 	C:\$AVG
[05/08/2011 - 11:35:34 | N | 8212] 	C:\Ad-Report-CLEAN[1].txt
[05/08/2011 - 11:38:02 | N | 7682] 	C:\Ad-Report-CLEAN[2].txt
[05/08/2011 - 11:23:12 | N | 9219] 	C:\Ad-Report-SCAN[1].txt
[29/08/2008 - 14:41:58 | N | 0] 	C:\AUTOEXEC.BAT
[29/08/2008 - 14:51:35 | N | 228] 	C:\boot.ini
[14/04/2008 - 14:00:00 | N | 4952] 	C:\Bootfont.bin
[05/08/2011 - 11:16:14 | D ] 	C:\Config.Msi
[29/08/2008 - 14:41:58 | N | 0] 	C:\CONFIG.SYS
[06/10/2009 - 00:26:43 | D ] 	C:\Documents and Settings
[18/06/2011 - 20:07:13 | D ] 	C:\dubstep2
[29/08/2008 - 14:41:58 | N | 0] 	C:\IO.SYS
[29/08/2008 - 14:41:58 | N | 0] 	C:\MSDOS.SYS
[14/04/2008 - 14:00:00 | N | 47564] 	C:\NTDETECT.COM
[14/04/2008 - 14:00:00 | N | 252240] 	C:
tldr
[06/08/2010 - 21:23:12 | D ] 	C:\oldies
[06/08/2011 - 06:30:26 | ASH | 2145386496] 	C:\pagefile.sys
[05/08/2011 - 20:17:49 | N | 0] 	C:\PhysicalDisk0_MBR.bin
[05/08/2011 - 20:13:11 | D ] 	C:\Program Files
[06/08/2011 - 06:37:01 | SHD ] 	C:\RECYCLER
[14/03/2009 - 02:49:44 | N | 268] 	C:\sqmdata00.sqm
[24/04/2009 - 16:03:58 | N | 268] 	C:\sqmdata01.sqm
[14/03/2009 - 02:49:44 | N | 244] 	C:\sqmnoopt00.sqm
[24/04/2009 - 16:03:58 | N | 244] 	C:\sqmnoopt01.sqm
[29/08/2008 - 14:44:47 | SHD ] 	C:\System Volume Information
[06/08/2011 - 06:37:02 | D ] 	C:\UsbFix
[06/08/2011 - 06:37:02 | A | 1050] 	C:\UsbFix.txt
[14/12/2009 - 10:40:12 | D ] 	C:\wamp
[05/08/2011 - 11:37:16 | D ] 	C:\WINDOWS
[12/05/2010 - 15:24:33 | D ] 	C:\Windrop
[05/08/2011 - 20:17:51 | D ] 	C:\ZHP
[09/12/1994 - 13:39:38 | R | 21104] 	D:\INSTALL.ASK
[24/01/1995 - 18:35:06 | R | 20296390] 	D:\INTRO.STK
[23/01/1995 - 20:51:12 | R | 205] 	D:\MDO.DEF
[08/12/1994 - 16:58:14 | R | 70672] 	D:\SETUP.EXE
[07/10/1994 - 15:08:20 | R | 19734] 	D:\SOUNDLIB.DLL
[23/11/1994 - 13:44:48 | R | 4] 	D:\VERSION.VER
[27/01/1995 - 17:04:04 | RD ] 	D:\WING
[13/01/1995 - 18:29:24 | R | 318976] 	D:\WOODRUFF.EXE
[25/01/1995 - 11:12:22 | R | 552277350] 	D:\WOODRUFF.ITK
[31/07/2011 - 16:37:57 | D ] 	E:\$AVG
[01/05/2009 - 02:19:31 | D ] 	E:\209e1b81399c169db9
[29/08/2008 - 18:11:01 | D ] 	E:\Disque Toshiba
[27/01/2011 - 20:38:47 | D ] 	E:\Downloads
[26/02/2010 - 13:52:01 | D ] 	E:\Fred
[20/05/2010 - 12:57:21 | D ] 	E:\Logiciels
[15/03/2011 - 21:44:01 | D ] 	E:\Projects
[06/08/2011 - 06:37:02 | SHD ] 	E:\RECYCLER
[12/05/2011 - 16:09:38 | D ] 	E:\Security
[29/08/2008 - 18:09:24 | SHD ] 	E:\System Volume Information

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
E:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_FREDERIC.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

jfkpresident · Answer

Tu as fait comme il faut .C'est toi qui a passé AD-Remover ?

Copie dans le Presse-papier les lignes ci-dessous en gras (sélectionne les avec la souris et fais simultanément Ctrl et C)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{338B4DFE-2E2C-4338-9E41-E176D497299E}]    
[HKCU\Software\Somoto Toolbar]    
O3 - Toolbar: (no name) - {99079a25-328f-4bd4-be04-00955acaa0a7} . (...) --  (.not file.)    
Emptytemp

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

Orneon · Answer

Salut, 

Euh avant de faire des bêtises je préfères demander. 

Pour l'instant je n'ai que ZHPDiag.exe et UsbFix.exe. C'est un des deux, ou je dois télécharger ZHPFix aussi ? 

Sinon pour être sûr aussi : sachant que je suis sous Windows XP, si je fais clic droit > "désactiver" sur mon icône de réseau local, ça suffit à désactiver ma connexion internet ?

Sinon pour Ad-Remover, qu'entends-tu par "passé" ? Si je l'ai téléchargé et lancé la réponse est oui, mais c'était avant de venir sur ce forum et je ne sais pas si j'ai respecté le bon protocole.

Merci !

jfkpresident · Answer

J'étais absent ...

Tu dois avoir une icone ZhpFix (icone seringue) sur ton bureau .

Orneon · Answer

Ah oui ok pardon, merci, trouvé !

Pas de souci pour l'absence.

Voici le rapport :



Rapport de ZHPFix 1.12.3345 par Nicolas Coolman, Update du 29/07/2011
Fichier d'export Registre : 
Run by frédéric at 07/08/2011 17:44:56
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{338B4DFE-2E2C-4338-9E41-E176D497299E}
SUPPRIME Key: HKCU\Software\Somoto Toolbar

========== Valeur(s) du Registre ==========
SUPPRIME Toolbar: {99079a25-328f-4bd4-be04-00955acaa0a7}

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 100

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 799


========== Récapitulatif ==========
2 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)


========== Chemin du fichier rapport ==========
C:\ZHP\ZHPFixReport.txt



End of the scan in 00mn 15s

jfkpresident · Answer

Encore des soucis avec le pc ?

Orneon · Answer

Ouep :/

Toujours les mêmes soucis ; la toolbar non voulue, les onglets qui s'ouvrent sur le site somoto machin etc.

Il me reste des solutions ?

jfkpresident · Answer

Tu peux me coller le dernier scan de AD-Remover (tu le trouvera ici: C:\Ad-report(date).log )

Relance MBAM (malware'sbyte's anti malware) puis met le a jour et refait un nouveau scan .

Orneon · Answer

C'est bien Ad-Report-SCAN[1].txt ? Si oui, voici le rapport ; par contre il date de deux jours, dois-je refaire un scan ? ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 ======= Mis à jour par TeamXscript le 12/04/11 Contact: AdRemover[DOT]contact[AT]gmail[DOT]com Site web: http://www.teamxscript.org C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 11:22:30 le 05/08/2011, Mode normal Microsoft Windows XP Édition familiale Service Pack 3 (X86) frédéric@FREDERIC ( ) ============== RECHERCHE ============== Dossier trouvé: C:\Program Files\Windows Searchqu Toolbar Dossier trouvé: C:\Documents and Settings\frédéric\Application Data\Mozilla\FireFox\Profiles\zatfk0j5.default\extensions\{99079A25-328F-4BD4-BE04-00955ACAA0A7} Dossier trouvé: C:\Documents and Settings\frédéric\Application Data\Toolbar4 -- Fichier ouvert: C:\Documents and Settings\frédéric\Application Data\Mozilla\FireFox\Profiles\zatfk0j5.default\Prefs.js -- Ligne trouvée: user_pref("browser.startup.homepage", "hxxp://www.searchqu.com/410"); Ligne trouvée: user_pref("somoto.old_homepage", "hxxp://www.searchqu.com/410"); -- Fichier Fermé -- Clé trouvée: HKLM\Software\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7} Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079a25-328f-4bd4-be04-00955acaa0a7} Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079a25-328f-4bd4-be04-00955acaa0a7} Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079a25-328f-4bd4-be04-00955acaa0a7} Clé trouvée: HKLM\Software\Classes\CLSID\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115} Clé trouvée: HKLM\Software\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3} Clé trouvée: HKLM\Software\DataMngr Clé trouvée: HKLM\Software\SearchquMediabarTb Clé trouvée: HKCU\Software\DataMngr Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|DataMngr ============== SCAN ADDITIONNEL ============== **** Mozilla Firefox Version [5.0 (fr)] **** Plugins pFoxitReaderPlugin.dll (Foxit Software Company) HKCU_MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0 (x) Searchplugins\avg_igeared.xml (

Orneon · Answer

Voici le rapport de MBAM après l'avoir mis à jour et avoir fait un examen rapide :



Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7402

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

07/08/2011 22:41:24
mbam-log-2011-08-07 (22-41-24).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 159805
Temps écoulé: 7 minute(s), 19 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

jfkpresident · Answer

relance AD-R option recherche puis poste le rapport .

Orneon · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 ======= Mis à jour par TeamXscript le 12/04/11 Contact: AdRemover[DOT]contact[AT]gmail[DOT]com Site web: http://www.teamxscript.org C:\Program Files\Ad-Remover\main.exe (SCAN [2]) -> Lancé à 23:14:20 le 07/08/2011, Mode normal Microsoft Windows XP Édition familiale Service Pack 3 (X86) frédéric@FREDERIC ( ) ============== RECHERCHE ============== ============== SCAN ADDITIONNEL ============== **** Mozilla Firefox Version [5.0 (fr)] **** Plugins pFoxitReaderPlugin.dll (Foxit Software Company) HKCU_MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0 (x) Searchplugins\avg_igeared.xml (

jfkpresident · Answer

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Orneon · Answer

ComboFix 11-08-08.03 - frédéric 09/08/2011  21:21:28.1.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.2047.1405 [GMT 2:00]
Lancé depuis: c:\documents and settings\frÚdÚric\Bureau\ComboFix.exe
AV: AVG Anti-Virus Free Edition 2011 *Enabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-07-09 au 2011-08-09  ))))))))))))))))))))))))))))))))))))
.
.
2011-08-06 04:45 . 2011-08-06 04:45	--------	d-----w-	c:\program files\Combined Community Codec Pack
2011-08-06 00:18 . 2011-08-06 00:18	--------	d-----w-	c:\documents and settings\frédéric\Application Data\Megaupload
2011-08-05 19:02 . 2011-08-06 04:38	--------	d-----w-	C:\UsbFix
2011-08-05 18:17 . 2011-08-05 18:17	0	------w-	C:\PhysicalDisk0_MBR.bin
2011-08-05 18:14 . 2011-08-07 15:44	--------	d-----w-	C:\ZHP
2011-08-05 18:13 . 2011-08-07 15:42	--------	d-----w-	c:\program files\ZHPDiag
2011-08-05 09:22 . 2011-08-05 09:22	--------	d-----w-	c:\program files\Ad-Remover
2011-08-05 07:51 . 2011-08-05 09:03	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2011-08-05 07:39 . 2009-01-25 11:14	15224	----a-w-	c:\windows\system32\sdnclean.exe
2011-08-05 07:39 . 2011-08-05 09:15	--------	d-----w-	c:\program files\Spybot - Search & Destroy 2
2011-08-05 07:38 . 2011-08-05 07:38	--------	d-----w-	c:\documents and settings\frédéric\Application Data\Malwarebytes
2011-08-05 07:38 . 2011-08-05 07:38	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-08-05 07:38 . 2011-07-06 17:52	41272	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-08-05 07:38 . 2011-08-05 07:38	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-08-05 07:38 . 2011-07-06 17:52	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-08-05 02:47 . 2011-08-05 07:25	--------	d-----w-	c:\documents and settings\All Users\Application Data\STOPzilla!
2011-08-04 13:01 . 2011-08-04 13:01	--------	d-----w-	c:\program files\iPod
2011-08-04 13:01 . 2011-08-04 13:02	--------	d-----w-	c:\program files\iTunes
2011-08-04 12:57 . 2011-08-04 12:57	--------	d-----w-	c:\program files\Bonjour
2011-08-04 00:39 . 2011-08-04 00:39	--------	d-----w-	c:\documents and settings\frédéric\Application Data\Free WAV to MP3 Converter
2011-08-04 00:38 . 2011-08-04 00:38	--------	d-----w-	c:\documents and settings\frédéric\Local Settings\Application Data\Minibar
2011-08-04 00:38 . 2011-08-04 00:38	--------	d-----w-	c:\program files\Free WAV to MP3 Converter
2011-07-12 09:20 . 2011-07-12 09:20	83816	----a-w-	c:\windows\system32\dns-sd.exe
2011-07-12 09:20 . 2011-07-12 09:20	73064	----a-w-	c:\windows\system32\dnssd.dll
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-08-06 04:38 . 2011-08-06 04:38	5543	----a-w-	C:\UsbFix_Upload_Me_FREDERIC.zip
2011-07-15 13:29 . 2008-04-14 12:00	456320	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-07-08 14:02 . 2008-04-14 12:00	10496	----a-w-	c:\windows\system32\drivers\ndistapi.sys
2011-07-05 16:37 . 2011-07-05 16:37	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2011-07-05 16:37 . 2011-07-05 16:37	69632	----a-w-	c:\windows\system32\QuickTime.qts
2011-06-26 18:12 . 2011-05-17 11:15	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-24 14:10 . 2008-08-29 12:38	139656	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2011-06-21 18:19 . 2008-04-14 12:00	81920	----a-w-	c:\windows\system32\ieencode.dll
2011-06-21 18:19 . 2008-04-14 12:00	671232	----a-w-	c:\windows\system32\wininet.dll
2011-06-21 18:19 . 2008-04-14 12:00	61952	----a-w-	c:\windows\system32\tdc.ocx
2011-06-21 18:17 . 2008-04-14 12:00	371200	----a-w-	c:\windows\system32\html.iec
2011-06-20 17:44 . 2008-04-14 12:00	293888	----a-w-	c:\windows\system32\winsrv.dll
2011-06-06 11:35 . 2008-04-14 12:00	1859072	----a-w-	c:\windows\system32\win32k.sys
2011-06-26 18:21 . 2011-05-16 13:55	142296	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-08-20 16384512]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-11-26 1629480]
"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-11-26 1057064]
"Lycosa"="c:\program files\Razer\Lycosa\razerhid.exe" [2007-11-20 147456]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]
"AVG_TRAY"="c:\program files\AVG\AVG10\avgtray.exe" [2011-04-18 2334560]
"DigidesignMMERefresh"="c:\program files\Digidesign\Drivers\MMERefresh.exe" [2010-06-16 77824]
"M-Audio Taskbar Icon"="c:\windows\System32\M-AudioTaskBarIcon.exe" [2008-06-17 356864]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2011-04-08 254696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-07-19 421736]
"SDTray"="c:\program files\Spybot - Search & Destroy 2\SDTray.exe" [2011-08-04 3225504]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-03-04 13500416]
"Spybot-S&D Cleaning"="c:\program files\Spybot - Search & Destroy 2\SDCleaner.exe" [2011-08-04 3008408]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0\0sdnclean.exe\0c:\progra~1\AVG\AVG10\avgchsvx.exe /sync\0c:\progra~1\AVG\AVG10\avgrsx.exe /sync /restart
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\( ^^) Ideo Script (^^ ) 1.0\mirc.exe"=
"c:\Program Files\Valve\Steam\SteamApps\akira2051\insurgency\hl2.exe"=
"c:\Program Files\Valve\Steam\Steam.exe"=
"c:\Program Files\Java\jre6\bin\java.exe"=
"c:\Program Files\Warcraft III\Warcraft III.exe"=
"c:\wamp\wampmanager.exe"=
"c:\Program Files\Mumble\dbus-daemon.exe"=
"c:\Program Files\Valve\Steam\SteamApps\akira2051\half-life\hl.exe"=
"c:\Documents and Settings\frédéric\.Koala\plugins\ViEVO\vievo.exe"=
"c:\Program Files\Java\jre6\bin\javaw.exe"=
"c:\Program Files\Heroes of Newerth\hon.exe"=
"c:\Windrop\eggdrop.exe"=
"c:\Program Files\Ventrilo\Ventrilo.exe"=
"c:\WINDOWS\system32\dpvsetup.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\AVG\AVG10\avgmfapx.exe"=
"c:\WINDOWS\system32\PnkBstrA.exe"=
"c:\WINDOWS\system32\PnkBstrB.exe"=
"c:\WINDOWS\system32\java.exe"=
"c:\Program Files\Valve\Steam\SteamApps\common\portal 2\portal2.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=
"c:\Program Files\Fichiers communs\Apple\Apple Application Support\WebKit2WebProcess.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\Spybot - Search & Destroy 2\SDTray.exe"=
"c:\Program Files\Spybot - Search & Destroy 2\SDUpdate.exe"=
"c:\Program Files\Spybot - Search & Destroy 2\SDUpdSvc.exe"=
"c:\Documents and Settings\frédéric\Mes documents\Téléchargements\Downloader_Warcraft3_The_Frozen_Throne_frFR.exe"=
"c:\Program Files\Spybot - Search & Destroy 2\SDFSSvc.exe"=
"c:\Program Files\AVG\AVG10\avgdiagex.exe"=
"c:\Program Files\AVG\AVG10\avgnsx.exe"=
"c:\Program Files\AVG\AVG10\avgemcx.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:war3 TCP
.
R0 AVGIDSEH;AVGIDSEH;c:\windows\system32\drivers\AVGIDSEH.sys [13/09/2010 17:27 22992]
R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [07/09/2010 04:48 32592]
R1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [07/09/2010 04:48 248656]
R1 Avgtdix;AVG TDI Driver;c:\windows\system32\drivers\avgtdix.sys [07/09/2010 04:49 297168]
R1 SDHookDriver;Spybot-S&D 2 Hook Driver;c:\program files\Spybot - Search & Destroy 2\SDHookDrv32.sys [05/08/2011 09:39 38504]
R2 AVGIDSAgent;AVGIDSAgent;c:\program files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe [18/04/2011 17:39 7398752]
R2 avgwd;AVG WatchDog;c:\program files\AVG\AVG10\avgwdsvc.exe [08/02/2011 05:33 269520]
R2 DigiNet;Digidesign Ethernet Support;c:\windows\system32\drivers\diginet.sys [16/06/2010 05:57 16400]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [05/08/2011 09:38 366640]
R2 MboxAudioDevMon;Mbox Audio Device Monitor;c:\program files\Avid\Mbox\AudioDevMon.exe [25/05/2010 07:13 1919504]
R2 MboxMiniAudioDevMon;Mbox Mini Audio Device Monitor;c:\program files\Avid\Mbox Mini\AudioDevMon.exe [06/05/2010 11:38 1919504]
R2 MboxProAudioDevMon;Mbox Pro Audio Device Monitor;c:\program files\Avid\Mbox Pro\AudioDevMon.exe [11/06/2010 17:40 1919504]
R3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\drivers\AVGIDSDriver.sys [19/08/2010 22:42 134480]
R3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\drivers\AVGIDSFilter.sys [19/08/2010 22:42 24144]
R3 AVGIDSShim;AVGIDSShim;c:\windows\system32\drivers\AVGIDSShim.sys [19/08/2010 22:42 27216]
R3 LycoFltr;Lycosa Keyboard;c:\windows\system32\drivers\Lycosa.sys [29/08/2008 15:35 21888]
R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\drivers\ManyCam.sys [14/01/2008 12:06 21632]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [05/08/2011 09:38 22712]
R3 MBOXMINI;Service for Avid Mbox Mini;c:\windows\system32\drivers\AvidMboxMini.sys [27/01/2011 21:17 396688]
S0 is3srv;is3srv;c:\windows\system32\drivers\is3srv.sys --> c:\windows\system32\drivers\is3srv.sys [?]
S0 szkg5;szkg5;c:\windows\system32\DRIVERS\szkg.sys --> c:\windows\system32\DRIVERS\szkg.sys [?]
S0 szkgfs;szkgfs;c:\windows\system32\drivers\szkgfs.sys --> c:\windows\system32\drivers\szkgfs.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 14:16 130384]
S3 MASONODFU;M-Audio Axiom Pro DFU Driver;c:\windows\system32\drivers\MAudioAxiomProDFU.sys [28/01/2011 01:11 23048]
S3 MAUSBMS;Service for M-Audio Axiom Pro;c:\windows\system32\drivers\mausbop.sys [28/01/2011 01:11 145544]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 14:16 753504]
.
Contenu du dossier 'Tâches planifiées'
.
2011-08-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\frédéric\Application Data\Mozilla\Firefox\Profiles\zatfk0j5.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - about:home
FF - prefs.js: keyword.URL - hxxp://dts.search-results.com/sr?src=ffb&appid=0&systemid=410&q=
FF - user.js: yahoo.ytff.general.dontshowhpoffer - true
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
Toolbar-10 - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
Notify-SDWinLogon - SDWinLogon.dll
Notify-TPSvc - TPSvc.dll
AddRemove-Convert Image To PDF_is1 - c:\program files\Softinterface
AddRemove-ffdshow_is1 - c:\program files\Combined Community Codec Pack\Filters\FFDShow\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-08-09 21:28
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(1720)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2011-08-09  21:31:15
ComboFix-quarantined-files.txt  2011-08-09 19:30
.
Avant-CF: 9 899 048 960 octets libres
Après-CF: 10 403 708 928 octets libres
.
- - End Of File - - 6D1DD440B5065BCF9CC3C28E5F641BF3

audeser · Answer

bonjour !
heu ça s'est fini comment ton probleme somoto?
car j'ai le même egalement...
merci

Monre · Answer

J'avais la toolbar et à chaque fois que je voulais ouvrir un nouvel onglet j'arrivais sur le page de recher somoto.

J'ai réglé le PB en faisant une restauration.

Neko · Answer

Salut 
j'ai le même problème, quelqu'un peut il m'aider??
J'ai utiliser ZHPDiag et j'ai un fichier txt. Je fais quoi maintenant?
Voici le lien du fichier txt : http://www.cijoint.fr/cjlink.php?file=cj201110/cij4rwweas.txt

Merci d'avance

wisst29 · Answer

bonsoir a tous ! pour faire original j ai choppé cette cochonerie de somoto!
voici le rapport ZHPDiag: https://pjjoint.malekal.com/files.php?id=ZHPDiag_v11h6w15q11p6b9e14g10e14e7y8f10e7q1311s9o15h8u12w14

merci de votre aide pour resoudre ce probleme

cordialement

laurent

Virus Somoto.com et compagnies

23 réponses

Discussions similaires

Newsletters