Infection virale... help !!!

baastien · Membre Inscrit le: 03 Sep 2008 Messages: 5

Bonjour,

Suite a de gros pepins sur ma machine depuis trois jours, j'ai suivi toute la procedure dont vous parlez pour nettoyer mon ordinateur.

MAIS...

Le pepin en question fait qu'au moment de d'uploader les differents rapports afin de vous en communiquer les liens, mes navigateurs (fiefox ou explorer) me disent que la page est introuvable.
J'ai donc les rapports, mais impossible de vous les envoyer en liens...

C'est la premiere fois que je suis confronté a une infection sur ma machine, et je ne sais pas du tout de quelle teneur elle est... mon ordi etant mon outil de travail, je suis un peu dans une situation urgente et catastrophique.

Tout a commencé par des pages refusant de s'afficher (messagerie hotmail, images et pages myspace...) puis j'ai été sur "windows update" qui m'a irremediablement redirigé sur une page "xampp"... ensuite explorer m'ouvrais tout les liens google vers des pages non desirables (pages de protections antivirus douteuses...).

Une analyse CCleaner, puis ESET-Nod32 n'ont rien données... j'ai telechargé "spyboat" qui a repéré "smitfraud"...

J'ai ensuite suivi la procédure que vous indiquiez, et lors des telechargements des divers logiciels, seul Clubic m'a permis d'y acceder, les autres sites me dirigeant sur des pages sans aucuns rapports...

Je suis arrivé a la derniere etape... mais impossible d'uploader mes codes pour vous les transmettre...

Est-ce seulement Smitfraud, est-ce plus grave ?

HHHHHEEEEEEELLLLLLPPPPPPPPPP !!!

Merci d'avance !!!

baastien · Membre Inscrit le: 03 Sep 2008 Messages: 5

Personne pour m'aider ?
Je peux poster les codes directement ici puisque que l'upload ne fonctionne pas ?

flrrosa · Helpeur Inscrit le: 18 Mai 2008 Messages: 55

baastien,

Désactivez votre antivirus.

baastien · Membre Inscrit le: 03 Sep 2008 Messages: 5

je vous poste le rapport smitfraudfix.

Depuis mes premiers messages, mon antivirus "antivir" a mis en quarantaine un truc appelé: "SmitfraudCgp.zip" et l'a mis en quarantaine...
Alors que Nod32 ne l'avait pas repéré.

(A ce sujet: je ne dois garder qu'un seul antivirus... j'avais Eset Nod32, qui a laissé passer Smitfraud, alors j'ai uploadé "Antivir", qui l'a repéré... lequel dois-je garder ? ???? )

Mais les symptomes persistent...

Voici donc le rapport:

SmitFraudFix v2.340

Rapport fait à 3:39:25,20, 04/09/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\xampplite-win32-1.6.6a\xampplite\apache\bin\apache.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\xampplite-win32-1.6.6a\xampplite\mysql\bin\mysqld-nt.exe
C:\xampplite-win32-1.6.6a\xampplite\apache\bin\apache.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\tdssservers.dat détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32\tdssadw.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32\tdssinit.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32\tdssl.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32\tdsslog.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32\tdssmain.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32\drivers\tdssserv.sys détecté, utilisez un scanner de Rootkit

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bastien

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bastien\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Bastien\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.241
DNS Server Search Order: 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\..\{16C4B86A-992F-4530-B9A2-BBD4C17EED2D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{16C4B86A-992F-4530-B9A2-BBD4C17EED2D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\..\{16C4B86A-992F-4530-B9A2-BBD4C17EED2D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Merci :D

flrrosa · Helpeur Inscrit le: 18 Mai 2008 Messages: 55

re,

Désinstaller C:\Program Files\ESET\ESET NOD32 Antivirus
________________________________

Télécharger Malwarebytes - & - Tutoriel Malwarebytes .
Installer et mettez à jours Malwarebytes.
Redémarrer en mode sans échec (au logo du Bios appuyer à répétition sur F8 ou F5) et
lancer un scan "Complet", lorsque terminé appuyer sur "Supprimer la sélection".

Afficher le rapport Malwarebytes sur votre prochain post.
________________________________

Téléchargez sur votre Bureau Lop S&D.exe : http://eric.71.mespages.googlepages.com/LopSD.exe
Autre lien : http://www.sendspace.com/file/dcculg

Lancer l’installation par un double-clic sur Lop S&D.exe
Un raccourci sera créé sur votre Bureau.
-Lancer Lop S&D par un double-clic sur le raccourci du bureau

Choisissez la langue ici f pour Français puis validez par Entrée.

Sélectionner l'option 1 - Recherche. et valider
>>> Patientez scan en cours. <<<
Lorsque le scan est terminé, le Bloc-note va s'ouvrir avec un rapport.

Afficher le rapport (C:\LopR.txt) .
________________________________

Télécharger CCleaner - & - Tutoriel CCleaner .
Installer et lancer CCleaner.
Appuyer sur [Analyse] et [Lancer le Nettoyage].

Utiliser CCleaner après chaque session sur le net, installation/désinstallation de logiciels et/ou avant de fermer le PC.
________________________________

Télécharger HijackThis - & - Tutoriel HijackThis.
Création d’un Rapport
Installer et lancer HijackThis, dans Main menu appuyer sur [Do a system scan and save a logfile].
Le bloc-note va s'ouvrir avec un rapport,
Afficher le rapport HijackThis sur votre prochain post.

baastien · Membre Inscrit le: 03 Sep 2008 Messages: 5

Voici le premier "MalwareByte"

Malwarebytes' Anti-Malware 1.26
Version de la base de données: 1112
Windows 5.1.2600 Service Pack 3

04/09/2008 17:00:07
mbam-log-2008-09-04 (17-00-07).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 122294
Temps écoulé: 19 minute(s), 56 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.

Le second après redemarage:

Malwarebytes' Anti-Malware 1.26
Version de la base de données: 1112
Windows 5.1.2600 Service Pack 3

04/09/2008 17:24:38
mbam-log-2008-09-04 (17-24-38).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 122276
Temps écoulé: 19 minute(s), 45 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Le LopSD:

--------------------\\ Lop S&D 4.2.4-0 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.80GHz )
BIOS : PhoenixBIOS 4.0 Release 6.1
USER : Bastien ( Administrator )
BOOT : Normal boot
Antivirus : ESET NOD32 Antivirus 3.0 3.0 (Activated)

"C:\Lop SD" ( MAJ : 04-09-2008|09:55 )
Option : [1] ( 04/09/2008|18:23 )

--------------------\\ Listing des dossiers dans APPLIC~1

[07/08/2008|20:12] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[23/07/2008|16:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
[26/08/2008|21:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
[04/09/2008|16:23] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira
[20/03/2008|11:30] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ESET
[07/08/2008|20:00] C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLEXnet
[03/09/2008|04:02] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Grisoft
[04/09/2008|16:30] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
[22/03/2008|11:18] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[04/09/2008|16:29] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
[04/09/2008|17:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SUPERAntiSpyware.com
[20/03/2008|10:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
[20/04/2008|21:40] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller

[09/08/2008|00:44] C:\DOCUME~1\Bastien\APPLIC~1\Adobe
[12/04/2008|18:01] C:\DOCUME~1\Bastien\APPLIC~1\Ambient Design
[29/07/2008|18:33] C:\DOCUME~1\Bastien\APPLIC~1\Apple Computer
[21/06/2008|22:33] C:\DOCUME~1\Bastien\APPLIC~1\DivX
[04/06/2008|16:04] C:\DOCUME~1\Bastien\APPLIC~1\dvdcss
[18/08/2008|13:17] C:\DOCUME~1\Bastien\APPLIC~1\FileZilla
[03/09/2008|04:02] C:\DOCUME~1\Bastien\APPLIC~1\Grisoft
[04/09/2008|02:47] C:\DOCUME~1\Bastien\APPLIC~1\gtk-2.0
[20/03/2008|10:14] C:\DOCUME~1\Bastien\APPLIC~1\Identities
[20/03/2008|23:39] C:\DOCUME~1\Bastien\APPLIC~1\Macromedia
[04/09/2008|16:30] C:\DOCUME~1\Bastien\APPLIC~1\Malwarebytes
[20/04/2008|21:34] C:\DOCUME~1\Bastien\APPLIC~1\Microsoft
[20/03/2008|10:49] C:\DOCUME~1\Bastien\APPLIC~1\Mozilla
[20/04/2008|21:37] C:\DOCUME~1\Bastien\APPLIC~1\MSNInstaller
[04/09/2008|17:29] C:\DOCUME~1\Bastien\APPLIC~1\OpenOffice.org2
[22/06/2008|00:07] C:\DOCUME~1\Bastien\APPLIC~1\Sun
[04/09/2008|17:34] C:\DOCUME~1\Bastien\APPLIC~1\SUPERAntiSpyware.com
[20/03/2008|10:49] C:\DOCUME~1\Bastien\APPLIC~1\Talkback
[25/08/2008|04:15] C:\DOCUME~1\Bastien\APPLIC~1\vghd
[20/03/2008|10:57] C:\DOCUME~1\Bastien\APPLIC~1\vlc
[04/09/2008|17:30] C:\DOCUME~1\Bastien\APPLIC~1\WTablet

[20/03/2008|10:07] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

[20/03/2008|10:07] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft
[08/08/2008|02:26] C:\DOCUME~1\LOCALS~1\APPLIC~1\WTablet

[20/03/2008|10:07] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[02/09/2008 18:07][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[04/09/2008 17:29][--ah-----] C:\WINDOWS\tasks\SA.DAT
[05/08/2004 14:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Listing des dossiers dans C:\Program Files

[20/03/2008|10:46] C:\Program Files\7-Zip
[07/08/2008|19:57] C:\Program Files\Adobe
[12/04/2008|18:24] C:\Program Files\Ambient Design
[01/04/2008|18:38] C:\Program Files\ANI
[23/07/2008|16:04] C:\Program Files\Apple Software Update
[20/03/2008|10:45] C:\Program Files\ATI Technologies
[20/03/2008|11:29] C:\Program Files\AvRack
[29/07/2008|18:32] C:\Program Files\Bonjour
[20/03/2008|11:33] C:\Program Files\CCleaner
[20/03/2008|10:03] C:\Program Files\ComPlus Applications
[01/05/2008|20:21] C:\Program Files\ConTEXT
[21/06/2008|22:39] C:\Program Files\DivX
[01/04/2008|18:38] C:\Program Files\D-Link
[20/03/2008|11:30] C:\Program Files\ESET
[04/09/2008|17:04] C:\Program Files\Fichiers communs
[01/04/2008|19:08] C:\Program Files\FileZilla FTP Client
[20/03/2008|10:47] C:\Program Files\Foxit Software
[21/06/2008|22:47] C:\Program Files\GIMP-2.0
[26/03/2008|02:40] C:\Program Files\Google
[03/09/2008|04:02] C:\Program Files\Grisoft
[21/06/2008|22:46] C:\Program Files\InstallShield Installation Information
[10/06/2008|19:16] C:\Program Files\Internet Explorer
[10/07/2008|19:15] C:\Program Files\Intuisphere
[20/03/2008|10:48] C:\Program Files\IrfanView
[08/08/2008|18:55] C:\Program Files\Java
[03/09/2008|07:11] C:\Program Files\Lavalys
[20/03/2008|11:29] C:\Program Files\ltmoh
[04/09/2008|16:30] C:\Program Files\Malwarebytes' Anti-Malware
[14/08/2008|13:37] C:\Program Files\Messenger
[20/03/2008|10:07] C:\Program Files\microsoft frontpage
[20/04/2008|21:41] C:\Program Files\Microsoft SQL Server Compact Edition
[10/06/2008|19:07] C:\Program Files\Movie Maker
[04/09/2008|17:33] C:\Program Files\Mozilla Firefox
[20/04/2008|21:35] C:\Program Files\MSN
[20/03/2008|10:03] C:\Program Files\MSN Gaming Zone
[10/06/2008|19:01] C:\Program Files\NetMeeting
[20/03/2008|10:03] C:\Program Files\Online Services
[20/03/2008|10:49] C:\Program Files\OpenOffice.org 2.3
[10/06/2008|19:01] C:\Program Files\Outlook Express
[20/03/2008|19:59] C:\Program Files\PhotoFiltre
[20/03/2008|11:29] C:\Program Files\Realtek Sound Manager
[20/03/2008|10:05] C:\Program Files\Services en ligne
[03/09/2008|03:19] C:\Program Files\Spybot - Search & Destroy
[04/09/2008|17:34] C:\Program Files\SUPERAntiSpyware
[20/03/2008|10:46] C:\Program Files\Synaptics
[16/06/2008|19:46] C:\Program Files\Tablet
[03/09/2008|06:11] C:\Program Files\Trend Micro
[20/03/2008|10:14] C:\Program Files\Uninstall Information
[20/03/2008|10:56] C:\Program Files\VideoLAN
[21/04/2008|12:48] C:\Program Files\Windows Live
[10/06/2008|19:08] C:\Program Files\Windows Media Player
[10/06/2008|19:01] C:\Program Files\Windows NT
[20/03/2008|10:05] C:\Program Files\WindowsUpdate
[20/03/2008|10:07] C:\Program Files\xerox

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[07/08/2008|19:59] C:\Program Files\Fichiers communs\Adobe
[21/06/2008|22:40] C:\Program Files\Fichiers communs\InstallShield
[22/06/2008|00:03] C:\Program Files\Fichiers communs\Java
[07/08/2008|19:37] C:\Program Files\Fichiers communs\Macrovision Shared
[22/03/2008|01:18] C:\Program Files\Fichiers communs\Microsoft Shared
[20/03/2008|10:05] C:\Program Files\Fichiers communs\MSSoap
[20/03/2008|10:54] C:\Program Files\Fichiers communs\ODBC
[20/03/2008|10:05] C:\Program Files\Fichiers communs\Services
[20/03/2008|10:54] C:\Program Files\Fichiers communs\SpeechEngines
[10/06/2008|19:01] C:\Program Files\Fichiers communs\System
[22/03/2008|01:17] C:\Program Files\Fichiers communs\WindowsLiveInstaller
[04/09/2008|17:04] C:\Program Files\Fichiers communs\Wise Installation Wizard

--------------------\\ Process

( 39 Processes )

... OK !

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE

--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-04 18:25:20
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 1225

--------------------\\ Recherche d'autres infections

--------------------\\ ROOTKIT !!

[HKLM\..\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV] -- ROOTKIT Tibs !
[HKLM\..\CurrentControlSet\Services\tdssserv] -- ROOTKIT Tibs !
[HKLM\..\CurrentControlSet\Enum\Root\tdssserv] -- ROOTKIT Tibs !
[HKLM\..\ControlSet001\Enum\Root\LEGACY_TDSSSERV] -- ROOTKIT Tibs !
[HKLM\..\ControlSet001\Services\tdssserv] -- ROOTKIT Tibs !
[HKLM\..\ControlSet001\Enum\Root\tdssserv] -- ROOTKIT Tibs !
[HKLM\..\ControlSet003\Enum\Root\LEGACY_TDSSSERV] -- ROOTKIT Tibs !
[HKLM\..\ControlSet003\Services\tdssserv] -- ROOTKIT Tibs !
[HKLM\..\ControlSet003\Enum\Root\tdssserv] -- ROOTKIT Tibs !

[F:38][D:10]-> C:\DOCUME~1\Bastien\LOCALS~1\Temp
[F:2][D:0]-> C:\DOCUME~1\Bastien\Cookies
[F:74][D:4]-> C:\DOCUME~1\Bastien\LOCALS~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 04/09/2008|18:26 - Option : [1]

--------------------\\ Fin du rapport a 18:26:57

Et le hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:32:38, on 04/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\xampplite-win32-1.6.6a\xampplite\apache\bin\apache.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\xampplite-win32-1.6.6a\xampplite\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\xampplite-win32-1.6.6a\xampplite\apache\bin\apache.exe
C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206002077540
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampplite-win32-1.6.6a\xampplite\apache\bin\apache.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: mysql - Unknown owner - C:\xampplite-win32-1.6.6a\xampplite\mysql\bin\mysqld-nt.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe

--
End of file - 6373 bytes

Le systeme semble fonctionner correctement désormais... cela veux dire que le probleme est reglé ?

Merci !

Bastien

flrrosa · Helpeur Inscrit le: 18 Mai 2008 Messages: 55

baastien,

Vous avez garder ESET comme antivirus.
Quel version de NOD32 avez vous.
________________________________________

Relancer HijackThis, appuyer sur [Do a system scan only],
cocher (à gauche) toutes les lignes suivantes et
appuyer sur [Fix Checked] pour les supprimer.
(Aucune infection que du nettoyage)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206002077540

________________________________________

Ouvrer le Bloc-note dans le Menu Démarrer --> Tout les programmes --> Accessoire.
Copier/ coller le contenu exact de la Citation.
Sauvegarder sous FixReg.Reg
Double-cliquer sur le fichier FixReg.Reg et valider

baastien · Membre Inscrit le: 03 Sep 2008 Messages: 5

Manip' effectuée...
Le probleme est reglé ?

Merci beaucoup pour votre aide !!!

B.