Problème de virusRésolu/Fermé

Question

Bonjour, 
 Je suis novice en ce qui concerne l'informatique. J'ai un gros problème avec mon ordinateur, je pense qu'il est infecté par un virus très destructeur.
En résumé, cela a commencer par les recherches google, à chaque recherche, nous sommes redirigés vers une autre page que celle demandée (type 12finder.com). 
Hier, quand j'ai allumé l'ordi il me lancait un programme "privacy protection" qui était censé chercher les virus de l'ordi. Mais je pense que C'EST le virus! J'ai réussi tant bien que mal à le retirer mais depuis :
- je n'ai plus d'imprimante et ne peux pas la réinstaller car il me met que le spouler d'impression ne fonctionne pas
- il me met que mon "f-secure client security a un dysfonctionnement"...


J'ai essayé grace à certain forum de tester mon ordinateur pour detecter des virus mais rien ne marche!

S'il vous plait aidez-moi car c'est mon ordinateur de travail et je ne peux plus rien faire!!

Merci


Configuration: Windows XP / Internet Explorer 7.0

jlpjlp · Accepted Answer

slt colle un rapport avec l'option 2 de roguekiller



puis
Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic) 

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " ) 

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

dedette95 · Answer

Voici le rapport demander RogueKiller V6.1.7 [05/11/2011] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: CAB1 [Droits d'admin] Mode: Suppression -- Date : 09/11/2011 10:31:24 ¤¤¤ Processus malicieux: 3 ¤¤¤ [SUSP PATH] 3829800415:551729435.exe -- C:\WINDOWS\3829800415:551729435.exe -> KILLED [TermProc] [SUSP PATH] 3829800415:551729435.exe -- C:\WINDOWS\3829800415:551729435.exe -> KILLED [TermProc] [RESIDUE] 3829800415:551729435.exe -- C:\WINDOWS\3829800415:551729435.exe -> KILLED [TermProc] ¤¤¤ Entrees de registre: 2 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : Privacy Protection (C:\Documents and Settings\All Users\Application Data\privacy.exe) -> DELETED [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED () ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [LOADED] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt Par contre j'ai du mal avec zhpdiag 1.28, le téléchargement ne se lance pas, je continue d'essayer...

dedette95 · Answer

Quand je télécharge zhpdiag 1.28 il me le met automatiquement dans C:documentsandsettings/... et quand je veux l'ouvrir il met dit que C:documentsandsettings/... n'est pas une application win32 valide ?????

juju666 · Answer

salut pour avancer t'es infecté de 0access ▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) : http://download.bleepingcomputer.com/sUBs/ComboFix.exe ▶ Double-clique sur ComboFix.exe Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter ♦ Ne touche à rien (souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC ▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. ▶ Une fois le scan achevé, un rapport va s''afficher : Poste son contenu Notes: ♦ Le rapport se trouve également là : C:\ComboFix.txt ♦ tutoriel combofix

dedette95 · Answer

Voici le rapport :

ComboFix 11-11-08.02 - CAB1 09/11/2011  11:35:10.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.1022.678 [GMT 1:00]
Lancé depuis: c:\documents and settings\CAB1\Bureau\dedette95.exe
AV:  *Disabled/Updated* {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
AV: F-Secure Client Security 9.00 *Enabled/Updated* {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW:  *Disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
FW: F-Secure Client Security 9.00 *Enabled* {D4747503-0346-49EB-9262-997542F79BF4}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\privacy.exe
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\CAB1\Recent\facture.zip
c:\documents and settings\CAB1\Recent\Thumbs.db
c:\windows\$NtUninstallKB26118$
c:\windows\$NtUninstallKB26118$\1191176840
c:\windows\$NtUninstallKB26118$\3743237860\@
c:\windows\$NtUninstallKB26118$\3743237860\L\wpfcdaii
c:\windows\$NtUninstallKB26118$\3743237860\loader.tlb
c:\windows\$NtUninstallKB26118$\3743237860\U\@00000001
c:\windows\$NtUninstallKB26118$\3743237860\U\@000000c0
c:\windows\$NtUninstallKB26118$\3743237860\U\@000000cb
c:\windows\$NtUninstallKB26118$\3743237860\U\@000000cf
c:\windows\$NtUninstallKB26118$\3743237860\U\@80000000
c:\windows\$NtUninstallKB26118$\3743237860\U\@800000c0
c:\windows\$NtUninstallKB26118$\3743237860\U\@800000cb
c:\windows\$NtUninstallKB26118$\3743237860\U\@800000cf
c:\windows\{2521BB91-29B1-4d7e-9137-AC9875D77735}
c:\windows\system32\ 
c:\windows\system32\c_78750.nl_
c:\windows\system32\c_78750.nls
.
Une copie infectée de c:\windows\system32\drivers
etbt.sys a été trouvée et désinfectée 
Copie restaurée à partir de - The cat found it :) 
Une copie infectée de c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078235.exe 
.
Une copie infectée de c:\windows\system32\Ati2evxx.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\i386\ati2evxx.exe 
.
Une copie infectée de c:\program files\F-Secure\Anti-Virus\fsgk32st.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP277\A0090249.exe 
.
Une copie infectée de c:\program files\F-Secure\Common\FNRB32.EXE a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP260\A0078313.exe 
.
Une copie infectée de c:\program files\F-Secure\FWES\Program\fsdfwd.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078241.exe 
.
Une copie infectée de c:\program files\F-Secure\Common\FSMA32.EXE a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078236.EXE 
.
Une copie infectée de c:\program files\Google\Update\GoogleUpdate.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP264\A0079668.exe 
.
Une copie infectée de c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP263\A0079591.exe 
.
Une copie infectée de c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078238.exe 
.
Une copie infectée de c:\program files\iPod\bin\iPodService.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078243.exe 
.
Une copie infectée de c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078239.EXE 
.
Une copie infectée de c:\program files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP286\A0096141.EXE 
.
Une copie infectée de c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP259\A0078238.exe
.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_df1d46e4
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-10-09 au 2011-11-09  ))))))))))))))))))))))))))))))))))))
.
.
2011-11-09 10:32 . 2004-08-05 12:00	162816	----a-w-	c:\windows\system32\drivers
etbt.sys
2011-11-09 10:32 . 2004-08-05 12:00	162816	----a-w-	c:\windows\system32\dllcache
etbt.sys
2011-11-09 09:30 . 2011-11-09 09:30	111872	----a-w-	c:\windows\system32\drivers\TrueSight.sys
2011-11-09 09:13 . 2009-08-06 18:23	274288	----a-w-	c:\windows\system32\mucltui.dll
2011-11-09 09:13 . 2009-08-06 18:23	215920	----a-w-	c:\windows\system32\muweb.dll
2011-11-09 09:05 . 2011-11-09 09:05	--------	d-----w-	c:\windows\system32\KB905474
2011-11-08 12:46 . 2011-11-08 12:46	--------	d-----w-	c:\program files\Microsoft CAPICOM 2.1.0.2
2011-11-08 12:37 . 2011-11-08 12:37	--------	d-----w-	c:\documents and settings\NetworkService\Local Settings\Application Data\PCHealth
2011-11-08 12:17 . 2008-06-14 17:59	272768	------w-	c:\windows\system32\drivers\bthport.sys
2011-11-08 12:17 . 2008-06-14 17:59	272768	------w-	c:\windows\system32\dllcache\bthport.sys
2011-11-08 12:16 . 2009-10-15 17:21	82432	------w-	c:\windows\system32\dllcache\fontsub.dll
2011-11-08 12:16 . 2009-06-21 22:06	153088	------w-	c:\windows\system32\dllcache	riedit.dll
2011-11-08 12:16 . 2009-10-23 14:27	3555328	------w-	c:\windows\system32\dllcache\moviemk.exe
2011-11-08 12:15 . 2008-05-01 14:31	331776	------w-	c:\windows\system32\dllcache\msadce.dll
2011-11-08 12:15 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2011-11-08 12:09 . 2009-11-21 16:42	470528	------w-	c:\windows\system32\dllcache\aclayers.dll
2011-11-08 12:09 . 2010-06-14 14:30	743936	------w-	c:\windows\system32\dllcache\helpsvc.exe
2011-11-08 12:06 . 2009-06-05 07:46	655872	------w-	c:\windows\system32\dllcache\mstscax.dll
2011-11-08 12:06 . 2008-12-16 12:49	351232	------w-	c:\windows\system32\dllcache\winhttp.dll
2011-11-08 11:27 . 2008-04-21 21:27	219136	------w-	c:\windows\system32\dllcache\wordpad.exe
2011-11-08 11:16 . 2009-08-06 18:24	16096	----a-w-	c:\windows\system32\wuapi.dll.mui
2011-11-08 11:16 . 2009-08-06 18:24	19168	----a-w-	c:\windows\system32\wuaueng.dll.mui
2011-11-08 11:16 . 2009-08-06 18:24	16096	----a-w-	c:\windows\system32\wuaucpl.cpl.mui
2011-11-08 11:16 . 2009-08-06 18:23	24792	----a-w-	c:\windows\system32\wucltui.dll.mui
2011-10-28 11:32 . 2011-10-28 11:34	--------	d-----w-	c:\windows\1C7CC8E2CFCF41E6A8637C7A45CE8A78.TMP
2011-10-28 11:27 . 2011-10-28 11:35	--------	d-----w-	C:\sh4ldr
2011-10-28 11:27 . 2011-10-28 11:27	--------	d-----w-	c:\program files\Enigma Software Group
2011-10-28 11:27 . 2011-10-28 11:27	--------	d-----w-	c:\program files\Fichiers communs\Wise Installation Wizard
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-23 13:11 . 2011-06-15 11:44	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-08-17 09:01 . 2010-10-06 13:11	42672	----a-w-	c:\windows\system32\drivers\fsbts.sys
2011-04-14 16:47 . 2011-05-31 08:21	142296	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ModemOnHold"="c:\program files\NetWaiting
etWaiting.exe" [2003-09-10 20480]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-12-27 39408]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"SigmatelSysTrayApp"="stsystra.exe" [2006-07-24 282624]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-07-06 151552]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"DMXLauncher"="c:\program files\Dell\Media Experience\DMXLauncher.exe" [2005-10-05 94208]
"PMX Daemon"="ICO.EXE" [2006-11-08 49152]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-09-08 122940]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"MSKDetectorExe"="c:\program files\McAfee\SpamKiller\MSKDetct.exe" [2005-07-12 1117184]
"F-Secure Manager"="c:\program files\F-Secure\Common\FSM32.EXE" [2009-11-26 301680]
"F-Secure TNB"="c:\program files\F-Secure\FSGUI\TNBUtil.exe" [2009-11-26 1653360]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2011-07-05 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-07-19 421736]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-12-12 24576]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2005-9-23 29696]
WiFi Station.lnk - c:\program files\Hercules\WiFi Station\WifiStation.exe [2010-9-24 654848]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Fichiers communs\Apple\Apple Application Support\WebKit2WebProcess.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
.
R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [06/10/2010 14:11 42672]
R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [06/10/2010 14:11 80016]
R1 eusk2par;Aladdin SmartKey Parallel Driver;c:\windows\system32\drivers\eusk2par.sys [30/09/2010 09:20 25680]
R1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files\F-Secure\HIPS\drivers\fshs.sys [06/10/2010 14:11 68080]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\F-Secure\Anti-Virus\minifilter\fsgk.sys [06/10/2010 14:11 148632]
R3 FSORSPClient;F-Secure ORSP Client;c:\program files\F-Secure\ORSP Client\fsorsp.exe [06/10/2010 14:11 61088]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe /svc --> c:\program files\Google\Update\GoogleUpdate.exe  [?]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe /medsvc --> c:\program files\Google\Update\GoogleUpdate.exe  [?]
S3 pmxmouse;PMXMOUSE;c:\windows\system32\drivers\pmxmouse.sys [26/12/2006 19:42 18432]
S3 pmxusblf;PMXUSBLF;c:\windows\system32\drivers\pmxusblf.sys [26/12/2006 19:42 14336]
S3 TrueSight;TrueSight;c:\windows\system32\drivers\TrueSight.sys [09/11/2011 10:30 111872]
.
Contenu du dossier 'Tâches planifiées'
.
2011-08-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 15:57]
.
2011-11-09 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2011-11-09 21:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\CAB1\Application Data\Mozilla\Firefox\Profiles\m4sv5res.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=fr&q=
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-DriverScanner - c:\program files\Uniblue\DriverScanner\launcher.exe
AddRemove-HijackThis - c:\documents and settings\CAB1\Local Settings\Temporary Internet Files\Content.IE5\G9R5AOIW\HijackThis.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-11-09 11:45
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð*€|ÿÿÿÿ.*€|ù*Ñw*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(3892)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\F-Secure\Common\FSMA32.EXE
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\program files\F-Secure\Common\FSHDLL32.EXE
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\F-Secure\Common\FNRB32.EXE
c:\program files\F-Secure\Common\FIH32.EXE
c:\program files\F-Secure\FWES\Program\fsdfwd.exe
c:\windows\stsystra.exe
c:\windows\system32\ICO.EXE
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-11-09  11:51:31 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-11-09 10:51
.
Avant-CF: 158 271 115 264 octets libres
Après-CF: 159 718 326 272 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - F5C09151B96B45EEB3729D24816CDD8B

juju666 · Answer

&#9654 Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 


KillAll::

RegLockDel::
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð*€|ÿÿÿÿ.*€|ù*Ñw*]      

File::
C:\WINDOWS\system32\FM20ENU.DLL

DirLook::
C:\sh4ldr      


&#9654 Enregistre ce fichier sous le nom  CFScript 

&#9654 Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif 

&#9654 Combofix se lance, laisse toi guider.. 

&#9654 Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! 
Ne touche à rien tant que le scan n'est pas terminé. 
&#9654 Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis 

&#9654 Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

dedette95 · Answer

Je pensais que c'était terminé car tout refonctionnent normalement (imprimante, google...)
Mais c'est toi le pro, alors je m'execute de suite

dedette95 · Answer

ComboFix 11-11-08.02 - CAB1 09/11/2011  12:17:27.2.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.1022.549 [GMT 1:00]
Lancé depuis: c:\documents and settings\CAB1\Bureau\dedette95.exe
Commutateurs utilisés :: c:\documents and settings\CAB1\Bureau\CFScript.txt
AV:  *Disabled/Updated* {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
AV: F-Secure Client Security 9.00 *Enabled/Updated* {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW:  *Disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
FW: F-Secure Client Security 9.00 *Disabled* {D4747503-0346-49EB-9262-997542F79BF4}
.
FILE ::
"c:\windows\system32\FM20ENU.DLL"
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\FM20ENU.DLL
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-10-09 au 2011-11-09  ))))))))))))))))))))))))))))))))))))
.
.
2011-11-09 10:32 . 2004-08-05 12:00	162816	----a-w-	c:\windows\system32\drivers
etbt.sys
2011-11-09 10:32 . 2004-08-05 12:00	162816	----a-w-	c:\windows\system32\dllcache
etbt.sys
2011-11-09 09:30 . 2011-11-09 09:30	111872	----a-w-	c:\windows\system32\drivers\TrueSight.sys
2011-11-09 09:13 . 2009-08-06 18:23	274288	----a-w-	c:\windows\system32\mucltui.dll
2011-11-09 09:13 . 2009-08-06 18:23	215920	----a-w-	c:\windows\system32\muweb.dll
2011-11-09 09:05 . 2011-11-09 09:05	--------	d-----w-	c:\windows\system32\KB905474
2011-11-08 12:46 . 2011-11-08 12:46	--------	d-----w-	c:\program files\Microsoft CAPICOM 2.1.0.2
2011-11-08 12:37 . 2011-11-08 12:37	--------	d-----w-	c:\documents and settings\NetworkService\Local Settings\Application Data\PCHealth
2011-11-08 12:17 . 2008-06-14 17:59	272768	------w-	c:\windows\system32\drivers\bthport.sys
2011-11-08 12:17 . 2008-06-14 17:59	272768	------w-	c:\windows\system32\dllcache\bthport.sys
2011-11-08 12:16 . 2009-10-15 17:21	82432	------w-	c:\windows\system32\dllcache\fontsub.dll
2011-11-08 12:16 . 2009-06-21 22:06	153088	------w-	c:\windows\system32\dllcache	riedit.dll
2011-11-08 12:16 . 2009-10-23 14:27	3555328	------w-	c:\windows\system32\dllcache\moviemk.exe
2011-11-08 12:15 . 2008-05-01 14:31	331776	------w-	c:\windows\system32\dllcache\msadce.dll
2011-11-08 12:15 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2011-11-08 12:09 . 2009-11-21 16:42	470528	------w-	c:\windows\system32\dllcache\aclayers.dll
2011-11-08 12:09 . 2010-06-14 14:30	743936	------w-	c:\windows\system32\dllcache\helpsvc.exe
2011-11-08 12:06 . 2009-06-05 07:46	655872	------w-	c:\windows\system32\dllcache\mstscax.dll
2011-11-08 12:06 . 2008-12-16 12:49	351232	------w-	c:\windows\system32\dllcache\winhttp.dll
2011-11-08 11:27 . 2008-04-21 21:27	219136	------w-	c:\windows\system32\dllcache\wordpad.exe
2011-11-08 11:16 . 2009-08-06 18:24	16096	----a-w-	c:\windows\system32\wuapi.dll.mui
2011-11-08 11:16 . 2009-08-06 18:24	19168	----a-w-	c:\windows\system32\wuaueng.dll.mui
2011-11-08 11:16 . 2009-08-06 18:24	16096	----a-w-	c:\windows\system32\wuaucpl.cpl.mui
2011-11-08 11:16 . 2009-08-06 18:23	24792	----a-w-	c:\windows\system32\wucltui.dll.mui
2011-10-28 11:32 . 2011-10-28 11:34	--------	d-----w-	c:\windows\1C7CC8E2CFCF41E6A8637C7A45CE8A78.TMP
2011-10-28 11:27 . 2011-10-28 11:35	--------	d-----w-	C:\sh4ldr
2011-10-28 11:27 . 2011-10-28 11:27	--------	d-----w-	c:\program files\Enigma Software Group
2011-10-28 11:27 . 2011-10-28 11:27	--------	d-----w-	c:\program files\Fichiers communs\Wise Installation Wizard
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-23 13:11 . 2011-06-15 11:44	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-08-17 09:01 . 2010-10-06 13:11	42672	----a-w-	c:\windows\system32\drivers\fsbts.sys
2011-04-14 16:47 . 2011-05-31 08:21	142296	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of C:\sh4ldr ----
.
2011-10-28 11:28 . 2011-10-28 11:28	8192	----a-w-	c:\sh4ldr\shldr.mbr
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ModemOnHold"="c:\program files\NetWaiting
etWaiting.exe" [2003-09-10 20480]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-12-27 39408]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"SigmatelSysTrayApp"="stsystra.exe" [2006-07-24 282624]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-07-06 151552]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"DMXLauncher"="c:\program files\Dell\Media Experience\DMXLauncher.exe" [2005-10-05 94208]
"PMX Daemon"="ICO.EXE" [2006-11-08 49152]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-09-08 122940]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"MSKDetectorExe"="c:\program files\McAfee\SpamKiller\MSKDetct.exe" [2005-07-12 1117184]
"F-Secure Manager"="c:\program files\F-Secure\Common\FSM32.EXE" [2009-11-26 301680]
"F-Secure TNB"="c:\program files\F-Secure\FSGUI\TNBUtil.exe" [2009-11-26 1653360]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2011-07-05 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-07-19 421736]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-12-12 24576]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2005-9-23 29696]
WiFi Station.lnk - c:\program files\Hercules\WiFi Station\WifiStation.exe [2010-9-24 654848]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Fichiers communs\Apple\Apple Application Support\WebKit2WebProcess.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
.
R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [06/10/2010 14:11 42672]
R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [06/10/2010 14:11 80016]
R1 eusk2par;Aladdin SmartKey Parallel Driver;c:\windows\system32\drivers\eusk2par.sys [30/09/2010 09:20 25680]
R1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files\F-Secure\HIPS\drivers\fshs.sys [06/10/2010 14:11 68080]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\F-Secure\Anti-Virus\minifilter\fsgk.sys [06/10/2010 14:11 148632]
R3 FSORSPClient;F-Secure ORSP Client;c:\program files\F-Secure\ORSP Client\fsorsp.exe [06/10/2010 14:11 61088]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe /svc --> c:\program files\Google\Update\GoogleUpdate.exe  [?]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe /medsvc --> c:\program files\Google\Update\GoogleUpdate.exe  [?]
S3 pmxmouse;PMXMOUSE;c:\windows\system32\drivers\pmxmouse.sys [26/12/2006 19:42 18432]
S3 pmxusblf;PMXUSBLF;c:\windows\system32\drivers\pmxusblf.sys [26/12/2006 19:42 14336]
S3 TrueSight;TrueSight;c:\windows\system32\drivers\TrueSight.sys [09/11/2011 10:30 111872]
.
Contenu du dossier 'Tâches planifiées'
.
2011-08-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 15:57]
.
2011-11-09 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2011-11-09 21:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\CAB1\Application Data\Mozilla\Firefox\Profiles\m4sv5res.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=fr&q=
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-11-09 12:23
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð*€|ÿÿÿÿ.*€|ù*Ñw*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(3984)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\F-Secure\Common\FSMA32.EXE
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\program files\F-Secure\Common\FSHDLL32.EXE
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\F-Secure\Common\FNRB32.EXE
c:\program files\F-Secure\FWES\Program\fsdfwd.exe
c:\program files\F-Secure\Common\FIH32.EXE
c:\windows\stsystra.exe
c:\windows\system32\ICO.EXE
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-11-09  12:29:14 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-11-09 11:29
ComboFix2.txt  2011-11-09 10:51
.
Avant-CF: 159 713 591 296 octets libres
Après-CF: 159 709 913 088 octets libres
.
- - End Of File - - 13C7BDC86728672A07EA8B6667289391

juju666 · Answer

ok la suite avec jlpjlp :)

dedette95 · Answer

Merci beaucoup pour ton aide!!
Tu ne m'as pas sauvé la vie mais presque!!

jlpjlp · Answer

beau boulot !

pour controler

télécharge malwarebyte antimalware, mets le à jour et colle un rapport d'analyse rapide avec

puis


Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic) 

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " ) 

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message 

ou sinon pour transmettre ton rapport: 
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports. 
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

dedette95 · Answer

Rapport MALWAREBYTE :

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8124

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

09/11/2011 15:33:02
mbam-log-2011-11-09 (15-33-02).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 173954
Temps écoulé: 2 minute(s), 44 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

dedette95 · Answer

J'ai bien eu un rapport de ZHPDiag

Par contre quand je clic sur www.cijoint.fr il me dirige vers http://www.online.net/, donc je ne trouve pas la partie "joindre un fichier ?!

jlpjlp · Answer

ou sinon pour transmettre ton rapport: 
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports. 
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

Problème de virus

14 réponses

Discussions similaires

Newsletters