Se connecter / S'enregistrer
Votre question

[Résolu] Je suis infecté :( Backdoor:Win32/Smadow

Tags :
  • Win32
  • Sécurité
Dernière réponse : dans Sécurité et virus
7 Septembre 2011 10:12:21

Bonjour,

Je crée ce message pour vous demandez de l'aide.
Je viens de chopper il y a quelque jour ce virus : Backdoor:Win32/Smadow
Depuis ce temps, je trouve que ma connexion internet merdouille un peu sur un chat comme mumble il y a une latence de 4 secondes qui n'a jamais été rencontré au par avant. Mais je ne certifie pas que ce soucis est liée.
Par contre ce qui est liée, le fait que lorsque j'ouvre mes différents navigateurs, les pages de démarrage sont :
http://isearch.babylon.com au lieu de http://www.google.fr
J'ai essayer de remettre google mais a chaque redémarrage de l'ordi il me rechange.
De plus quand je fais une recherche google, et que je clic sur un des liens, j'attérit sur une page gomeo ou autre qui n'a aucun rapport avec ma recherche principal ....

Est-ce grave?
y a t'il des moyens d'y remédier sans devoir formater et sans perdre de donnée ?
Que faut-il que je face?

Toutes les questions me passent par la tête actuellement mais aucune réponse. J'ai besoin d'aller voir mes comptes en banque et je n'ose pas :( 

Je remercie par avance toutes les personnes qui m'apporteront leur aide.

Autres pages sur : resolu infecte backdoor win32 smadow

a c 614 8 Sécurité
7 Septembre 2011 10:59:59

Bonjour,


Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, pense à sauvegarder le maximum possible tes documents auparavant !


    Citation :
    Je viens de chopper il y a quelque jour ce virus : Backdoor:Win32/Smadow


    Qui te l'as indiqué ? Ton antivirus ? si oui, merci de nous fournir le rapport de détection.

    Ensuite :


    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system64\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system64\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

    Note : Les rapports sont aussi enregistrés sur le bureau
    7 Septembre 2011 11:37:43

    Merci pour ta réponse rapide Hyunkel30, pour le rapport de mon antivirus je ne le trouve pas malheureusement. La seul chose que je peux récupérer est cela :

    Catégorie : Porte dérobée

    Description : Ce programme fournit un accès à distance à l'ordinateur sur lequel il est installé.

    Action recommandée : Supprimer immédiatement ce logiciel.

    Security Essentials a détecté des programmes pouvant compromettre la confidentialité de vos données, voire endommager votre ordinateur. Vous pouvez accéder aux fichiers utilisés par ces programmes sans les supprimer, mais cela n'est pas recommandé. Pour accéder à ces fichiers, sélectionnez l'action Autoriser et cliquez sur Appliquer les actions. Si cette option n'est pas disponible, connectez-vous en tant qu'administrateur ou demandez à l'administrateur sécurité de vous assister.

    Éléments :
    file:C:\Windows\assembly\GAC_32\Desktop.ini

    Obtenir des informations en ligne supplémentaires sur cet élément.

    Sinon voici les rapports de OTL et Extras.

    OTL : http://pjjoint.malekal.com/files.php?id=g6d11x15v7l13f8...

    Extras : http://pjjoint.malekal.com/files.php?id=l10g13i15h14b15...
    Contenus similaires
    a c 614 8 Sécurité
    7 Septembre 2011 12:06:48

    Re,

    C’est bon j'ai l'information nécessaire ;) 

    Par contre :
    Citation :
    O1 - Hosts: 127.0.0.1 activate.adobe.com
    O1 - Hosts: 127.0.0.1 practivate.adobe.com


    Ne pas s'étonner de se faire infecter avec ce genre de comportement ...
    http://forum.malekal.com/danger-des-cracks-t893.html

    De plus l'UAC semble désactivé pourquoi ?

    Ensuite :
    Citation :
    [2011/09/02 10:31:40 | 000,000,000 | --SD | C] -- C:\ComboFix
    [2011/09/01 21:16:26 | 000,000,000 | ---D | C] -- C:\ZHP
    [2011/09/01 21:16:09 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
    [2011/09/01 21:16:08 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ZHPDiag1


    Tu te fait aider sur un autre forum ou alors tu as utilisé ces outils tous seul ?

    Si tous seul, as-tu passé Combofix ? c'est un outil dangereux ...
    As-tu son rapport ? (ici si exécuté : C:\Combofix.txt )


    A faire en attendant que tu me répondes :

    Désinstalle les programmes suivant (si présent) :

    - Uninstall 1.0.0.1 (lié à une régie publicitaire)
    - Spyware Doctor 8.0 (inutile avec ton antivirus, en plus limite arnaque via pub sur de faux blog de sécurité)
    - Browser Defender 3.0 (idem, même éditeur)
    - Anti-phishing Domain Advisor (peu utile, les navigateurs et ton antivirus contiennent maintenant cette protection)
    - Spybot - Search & Destroy (inutile et peu efficace)
    7 Septembre 2011 12:38:15

    oui je suis au courant de ce genre de désagrément avec l'utilisation des cracks et Keygen et je pense même que le soucis vient de la car c'est pas longtemps après ce crack que les soucis sont apparu.


    Pour l'UAC à présent c'est un mec qui soit disant s'y connait ... qui me fait cela via teamviewer. Le but chercher étant de récupérer le max de performance pour faire tourner le jeu BFBC2 à sa juste valeur.

    Pour Combofix, je l'ai téléchargé mais je n'ai pas lancer l'application car sur certain forum il recommande de ne pas lancer l'application sans le suivit d'une personne confirmé au niveau de ce logiciel.

    7 Septembre 2011 14:07:36

    faut-il que je lance combofix ?
    a c 614 8 Sécurité
    7 Septembre 2011 14:24:30

    Re,

    Non, non pas pour le moment, je voulais savoir justement.

    Tu feras lire ceci à ton "ami connaisseur" :
    http://forum.malekal.com/uac-pourquoi-pas-desactiver-t2...

    On le réactivera à la fin.

    Tu as bien désinstaller ce que j'ai demandé ?

    Pour suivre :


    1) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.


    2) Télécharge MalwareByte's Anti-Malware :

    note : si tu possèdes déjà Malwarebyte's, met-le simplement à jour avant d'effectuer l'analyse

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    7 Septembre 2011 15:12:13

    http://pjjoint.malekal.com/files.php?id=15k8g12v6s14p7q... voici le rapport pour TDSSKILLER

    par contre j'ai lancer MBAM pour le moment il fait l'analyse mais pendant ce temps la j'ai eu deux virus nouveau qui sont apparu :


    Exploit:JS/Mult.DU : file:C:\Backup\Nix\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6LEJ5FMG\showthread[1].htm


    Backdoor:Win32/Cycbot!cfg : file:C:\Backup\Nix\AppData\Roaming\9D00.ED9


    c'est grave docteur ?? ^^
    Merci pour ton temps déja passer.
    a c 614 8 Sécurité
    7 Septembre 2011 17:57:31

    Re,

    Citation :
    Exploit:JS/Mult.DU : file:C:\Backup\Nix\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6LEJ5FMG\showthread[1].htm

    Backdoor:Win32/Cycbot!cfg : file:C:\Backup\Nix\AppData\Roaming\9D00.ED9


    A priori non. Le premier c'est que tu as été sur un site qui contient un script d'exploit web java. Bien que ton java soit pas à jour du tout, si ton antivirus l'a arrêter avant, pas de soucis.

    Pour le second c'est dans une de tes sauvegardes.
    Tu sauvegardes manuellement sur le disque C: ou c'est un logiciel qui sauvegarde là-bas ?

    J'attends le rapport MBAM
    a c 614 8 Sécurité
    7 Septembre 2011 18:13:34

    Re,

    Ben a priori elle est infectée ta sauvegarde :
    Citation :
    c:\Backup\Nix\downloads\bpftpserver_install.exe (Rogue.Installer) -> Quarantined and deleted successfully.

    Backdoor:Win32/Cycbot!cfg : file:C:\Backup\Nix\AppData\Roaming\9D00.ED9


    Je te déconseille de l'utiliser ...


    Encore des alertes de ton antivirus ?
    7 Septembre 2011 18:45:46

    oui je viens juste de rallumer mon ordi et de nouveau Backdoor:Win32/Smadow

    Alors je rajoute une info sur ce que je viens de constater.
    J'utilise Google Chrome comme navigateur.
    lorsque je fais une recherche sur google.fr je selectionne un lien, la redirection est gérer par : api.yontoo.com et j’atterris sur une autre page.
    je sais pas si cela peut te servir.
    a c 614 8 Sécurité
    7 Septembre 2011 20:17:04

    Re,

    Bon tant pis, on passe à du plus lourd alors :

    Supprime ta version de Combofix, puis :


    Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
    7 Septembre 2011 21:54:09

    Voici le rapport : http://pjjoint.malekal.com/files.php?id=b12f1311n8m8s15...

    Pour information, je n'ai plus les redirections quand je fais mes recherches google et la réactivité et meilleurs.
    Je rajoute que pour le moment je n'ai aucun virus d'apparu et également, j'ai fait une recherche anti-virus et rien de trouvé.
    J'ai fait un scan avec MBMA tout va bien.
    a c 614 8 Sécurité
    7 Septembre 2011 23:06:57

    Re,


    Tu as viré Spyware doctor ? j'en vois encore des traces !

    Désinstalle aussi ce programme :

    - Webblog (sponsor)

    Met à jour le programme suivant :
    - Java vers la version 6 update 27 (pense à supprimer les anciennes version dans ajout/suppression des programmes : J2SE Runtime Environment 5.0 Update 6 )


    On fini de nettoyer mais l'infection est supprimée normalement :

    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    SRV - [2009/01/26 15:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) [Auto | Running] -- C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe -- (SBSDWSCService)
    SRV - [2011/01/07 14:54:08 | 000,247,760 | ---- | M] (Threat Expert Ltd.) [Auto | Running] -- C:\Program Files (x86)\PC Tools Security\BDT\BDTUpdateService.exe -- (Browser Defender Update Service)
    SRV - [2010/12/31 09:36:22 | 000,070,928 | ---- | M] (PC Tools) [On_Demand | Running] -- C:\Program Files (x86)\PC Tools Security\TFEngine\TFService.exe -- (ThreatFire)
    SRV - [2010/11/19 06:57:14 | 001,150,936 | ---- | M] (PC Tools) [Auto | Running] -- C:\Program Files (x86)\PC Tools Security\pctsSvc.exe -- (sdCoreService)
    SRV - [2010/03/15 14:02:36 | 000,366,840 | ---- | M] (PC Tools) [Auto | Running] -- C:\Program Files (x86)\PC Tools Security\pctsAuxs.exe -- (sdAuxService)
    DRV:64bit: - [2011/01/17 09:09:58 | 000,334,976 | ---- | M] (PC Tools) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\pctgntdi64.sys -- (pctgntdi)
    DRV:64bit: - [2010/12/31 09:36:44 | 000,074,824 | --S- | M] (PC Tools) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\TfSysMon.sys -- (TFSysMon)
    DRV:64bit: - [2010/12/31 09:36:42 | 000,041,888 | --S- | M] (PC Tools) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\TfNetMon.sys -- (TfNetMon)
    DRV:64bit: - [2010/12/31 09:36:40 | 000,065,072 | --S- | M] (PC Tools) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\TfFsMon.sys -- (TfFsMon)
    DRV:64bit: - [2010/12/16 08:46:10 | 000,092,896 | ---- | M] (PC Tools) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\pctplsg64.sys -- (pctplsg)
    DRV:64bit: - [2010/12/10 13:24:50 | 000,257,232 | ---- | M] (PC Tools) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\PCTCore64.sys -- (PCTCore)
    DRV:64bit: - [2010/06/29 10:35:34 | 000,452,872 | ---- | M] (PC Tools) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\pctDS64.sys -- (pctDS)
    IE - HKU\.DEFAULT\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - C:\Program Files (x86)\PC Tools Security\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.)
    IE - HKU\S-1-5-18\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - C:\Program Files (x86)\PC Tools Security\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.)
    IE - HKU\S-1-5-21-1308172669-2473012569-1060096906-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://isearch.babylon.com/?babsrc=HP_ss&affID=18474&mntrId=1eb1b53b000000000000701a04baee1d
    IE - HKU\S-1-5-21-1308172669-2473012569-1060096906-1000\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - C:\Program Files (x86)\PC Tools Security\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.)
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{cb84136f-9c44-433a-9048-c5cd9df1dc16}: C:\Program Files (x86)\PC Tools Security\BDT\Firefox\ [2011/09/01 20:25:22 | 000,000,000 | ---D | M]
    [2011/09/05 21:55:55 | 000,000,000 | ---D | M] (Webblog) -- C:\Users\NiX\AppData\Roaming\mozilla\Firefox\Profiles\damyv41j.default\extensions\{C3947F4E-8894-4C04-98E0-DF182C706DDF}
    [2011/09/05 21:55:52 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\NiX\AppData\Roaming\mozilla\Firefox\Profiles\damyv41j.default\extensions\ffxtlbr@babylon.com
    [2011/09/05 21:55:44 | 000,000,000 | ---D | M] (Yontoo Layers) -- C:\Users\NiX\AppData\Roaming\mozilla\Firefox\Profiles\damyv41j.default\extensions\plugin@yontoo.com
    [2011/09/05 21:55:51 | 000,002,336 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
    [2010/12/08 23:21:24 | 000,002,224 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\webblog.xml
    O2 - BHO: (PC Tools Browser Guard BHO) - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files (x86)\PC Tools Security\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.)
    O2 - BHO: (Webblog) - {C3947F4E-8894-4C04-98E0-DF182C706DDF} - C:\Program Files (x86)\wbtooltb\wbtoolDx.dll ()
    O2 - BHO: (Yontoo Layers) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo Layers Runtime\YontooIEClient.dll (Yontoo LLC)
    O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.5.0_06\bin\ssv.dll (Sun Microsystems, Inc.)
    O3 - HKLM\..\Toolbar: (PC Tools Browser Guard) - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files (x86)\PC Tools Security\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.)
    O3 - HKLM\..\Toolbar: (Webblog) - {C3947F4E-8894-4C04-98E0-DF182C706DDF} - C:\Program Files (x86)\wbtooltb\wbtoolDx.dll ()
    O4 - HKLM..\Run: [Anti-phishing Domain Advisor] C:\ProgramData\Anti-phishing Domain Advisor\visicom_antiphishing.exe (Visicom Media Inc. (Powered by Panda Security))
    O4 - HKLM..\Run: [PCTools FGuard] C:\Program Files (x86)\PC Tools Security\BDT\FGuard.exe (Threat Expert Ltd.)
    O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - Reg Error: Key error. File not found
    O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files (x86)\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
    O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files (x86)\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
    O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files (x86)\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
    O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files (x86)\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
    O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files (x86)\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
    O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files (x86)\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
    O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000007 - File not found
    O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000008 - File not found
    O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000009 - File not found
    O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000010 - File not found
    O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000011 - File not found
    O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000012 - File not found
    O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000013 - File not found
    O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000014 - File not found
    O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000015 - File not found
    O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000016 - File not found
    O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000017 - C:\Program Files (x86)\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
    O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files (x86)\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
    O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files (x86)\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
    O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files (x86)\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
    O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files (x86)\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
    O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files (x86)\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
    O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files (x86)\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
    O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - C:\Program Files (x86)\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
    O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
    [2011/09/05 21:55:59 | 000,000,000 | ---D | C] -- C:\Users\NiX\AppData\Local\antiphishing-webblog1_1dn
    [2011/09/05 21:55:58 | 000,000,000 | ---D | C] -- C:\ProgramData\Anti-phishing Domain Advisor
    [2011/09/05 21:55:53 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\wbtooltb
    [2011/09/05 21:55:43 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Yontoo Layers Runtime
    [2011/09/05 21:55:43 | 000,000,000 | ---D | C] -- C:\ProgramData\Tarma Installer
    [2011/09/01 21:16:26 | 000,000,000 | ---D | C] -- C:\ZHP
    [2011/09/01 21:16:09 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
    [2011/09/01 21:16:08 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ZHPDiag1
    [2011/09/01 20:31:22 | 000,074,824 | --S- | C] (PC Tools) -- C:\Windows\SysNative\drivers\TfSysMon.sys
    [2011/09/01 20:31:21 | 000,065,072 | --S- | C] (PC Tools) -- C:\Windows\SysNative\drivers\TfFsMon.sys
    [2011/09/01 20:31:21 | 000,041,888 | --S- | C] (PC Tools) -- C:\Windows\SysNative\drivers\TfNetMon.sys
    [2011/09/01 20:25:22 | 002,000,848 | ---- | C] (Threat Expert Ltd.) -- C:\Windows\PCTBDCore.dll
    [2011/09/01 20:25:22 | 001,533,904 | ---- | C] (Threat Expert Ltd.) -- C:\Windows\PCTBDRes.dll
    [2011/09/01 20:25:22 | 000,149,456 | ---- | C] (PC Tools) -- C:\Windows\SGDetectionTool.dll
    [2011/09/01 20:19:08 | 000,816,016 | ---- | C] (PC Tools) -- C:\Windows\SysNative\drivers\pctEFA64.sys
    [2011/09/01 20:19:08 | 000,452,872 | ---- | C] (PC Tools) -- C:\Windows\SysNative\drivers\pctDS64.sys
    [2011/09/01 20:19:08 | 000,334,976 | ---- | C] (PC Tools) -- C:\Windows\SysNative\drivers\pctgntdi64.sys
    [2011/09/01 20:19:08 | 000,137,704 | ---- | C] (PC Tools) -- C:\Windows\SysNative\drivers\pctwfpfilter64.sys
    [2011/09/01 20:19:06 | 000,257,232 | ---- | C] (PC Tools) -- C:\Windows\SysNative\drivers\PCTCore64.sys
    [2011/09/01 20:19:06 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Tools Security
    [2011/09/01 20:19:05 | 000,092,896 | ---- | C] (PC Tools) -- C:\Windows\SysNative\drivers\pctplsg64.sys
    [2011/09/01 20:18:58 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PC Tools Security
    [2011/09/01 20:18:58 | 000,000,000 | ---D | C] -- C:\Users\NiX\AppData\Roaming\PC Tools
    [2011/09/01 20:18:58 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\PC Tools
    [2011/09/01 20:15:38 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools
    [2011/07/27 11:35:54 | 000,000,000 | ---D | M] -- C:\Users\NiX\AppData\Roaming\Babylon
    [2011/09/01 20:18:58 | 000,000,000 | ---D | M] -- C:\Users\NiX\AppData\Roaming\PC Tools
    [2011/09/06 17:31:41 | 000,000,000 | ---D | M] -- C:\Users\NiX\AppData\Roaming\PCTools
    @Alternate Data Stream - 192 bytes -> C:\ProgramData\Temp:4D066AD2
    @Alternate Data Stream - 186 bytes -> C:\ProgramData\Temp:DFC5A2B2
    @Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:AB689DEA
    @Alternate Data Stream - 134 bytes -> C:\ProgramData\Temp:FFF691CB
    @Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:93DE1838
    @Alternate Data Stream - 130 bytes -> C:\ProgramData\Temp:E1F04E8D
    @Alternate Data Stream - 129 bytes -> C:\ProgramData\Temp:1D32EC29
    @Alternate Data Stream - 129 bytes -> C:\ProgramData\Temp:05EE1EEF
    @Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:430C6D84
    @Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:E3C56885
    @Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:4CF61E54
    @Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:0B9176C0

    :Files
    C:\Program Files (x86)\PC Tools Security
    C:\Program Files (x86)\Spybot - Search & Destroy

    :Commands
    [emptytemp]
    [emptyflash]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.
    8 Septembre 2011 10:26:00

    Bonjour,

    Me revoila après un petit plantage ^^
    Alors voila hier soir j'ai bien tester de faire nettoyer avec OTL mais au final, lorsque mon ordinateur à démarrer, je n'arrivais plus à aller sur internet et celui-ci ramer terriblement.
    J'ai donc fait une restauration de système juste et cela me permet de revenir poster ce soucis.

    Quand je signifie que je n'ai plus de connexion internet c'est que je n'arrive plus à accéder au page web or dans le centre réseau et partage tout été correct et fonctionnel.
    a c 614 8 Sécurité
    8 Septembre 2011 10:53:03

    Re,

    Tu avais désinstallé Spyware Doctor ? parce qu'il s'était inséré dans la couche réseau, possible qu'il est foutu le bordel ...

    Regarde si tu trouve le rapport OTL ici :

    C:\_OTL

    Il doit avoir un nom du type : 07092011_0000.log


    Pour réparer la connexion : (à télécharger sur un autre pc puis transférer par clé usb au besoin) :


    Télécharge CAT (de la Team Rocket Ops) sur ton Bureau.

  • Double-clique sur CAT.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le raccourci de CAT.exe -> Exécuter en tant qu'administrateur)

  • Sur la page qui s'affiche, coche les options suivantes :

    Reset All Networking Interfaces

  • Clique ensuite en dessous sur "Apply Checked Fixes"
  • Laisse l'outil travailler
  • Ferme le programme. (croix en haut à droite)

  • Un rapport va s'ouvrir, copie-colle son contenu dans ta prochaine réponse.


    Si pas d'amélioration, fais aussi ceci :

    Démarrer -> exécuter (si non dispo : Tous les programmes -> accessoires -> exécuter)
    Tapes exactement ceci :

    Citation :
    netsh winsock reset catalog


    Valide avec "Ok"

    Redémarre le pc.
    a c 614 8 Sécurité
    8 Septembre 2011 11:25:22

    Re,

    Non c'est bon il avait supprimé ce qu'il faut, donc on va éviter de refaire si l'erreur vient de cela.

    Lance CAT et les autres manipulations.
    8 Septembre 2011 12:15:21

    voici le rapport CAt, je redémarre mon pc la.
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    ~~~~~~~~ CAT Summary Log - Date: 2011.09.08 @ 1213 hrs ~~~~~~~~
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    --- CAT Version: 1.1 ---

    =============== Resetting network interfaces ===============
    Resetting winsock... Completed with exit code: 0
    Resetting winsock catalog... Completed with exit code: 0
    Resetting IP interface... Completed with exit code: 1. Log saved to C:\CAT-Logs\09-08-2011 - 12.12.43.227\INETreset - 12.13.01.log
    Resetting all network interfaces... Completed with exit code: 1
    Resetting Windows Firewall... Completed with exit code: 0
    ============ Network Interfaces Reset Complete =============

    =============== DNS Cache Flush ===============
    Flushing DNS Cache... Done.
    =========== DNS Cache Flush Complete ==========

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    ~~~~~~~~ CAT Summary Log End - Date: 2011.09.08 @ 1213 hrs ~~~~~~~~
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



    ---------------------------------------------------------------------
    8 Septembre 2011 18:21:06

    voila tout est fait. ^^
    A present je dois réactiver UAC si j'ai bien compris.
    a c 614 8 Sécurité
    8 Septembre 2011 18:30:32

    re,

    La connexion fonctionne à nouveau ?
    8 Septembre 2011 19:30:17

    oui
    a c 614 8 Sécurité
    8 Septembre 2011 20:11:54

    re,

    Bon, parfait alors ;) 

    D'autre soucis ? Plus de page de démarrage détournée ? Plus d'alerte de ton antivirus ?

    Si "oui", on fait le ménage :


    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    2) Supprime simplement le fichier CAT.exe

    Tu peux conserver Malwarebyte's pour des scans occasionnel si tu le souhaites, pense alors à le mettre à jour avant.


    3) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger :

    Vista/7 :
    http://www.inforumatique.fr/forum/post82670.html#p82670


    4) Mise à jour des logiciels :

    Met à jour les programmes suivants :

    - Adobe reader vers X (10.x) (vérifie que les anciennes versions sont supprimée)


    5) Réactive l'UAC :

    http://www.zebulon.fr/astuces/220-desactiver-l-uac-dans...

    A faire à l'inverse donc, en cochant la case !


    8 Septembre 2011 22:36:35

    Voila j'ai fait tout ce que tu m'as demandé.

    Seulement je rencontre encore un soucis.
    Lorsque je vais sur google chrome, il ne m'affiche pas les gif ni les bannière en flash comme la bannière de prizee par exemple et sa fonctionner encore aujourd'hui.
    8 Septembre 2011 22:49:30

    j'ai fait mes toujours meme résultats .
    voici une image trouver sur le net avec le soucis rencontrer.
    8 Septembre 2011 22:57:46

    c'est bon j'ai vider le cache et sa fonctionne ;) 
    Merci beaucoup de ton temps et ton aide en tout cas !
    a c 614 8 Sécurité
    8 Septembre 2011 23:13:02

    [:archi]


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

  • Utiliser un navigateur alternatif pour surfer de manière plus sécurisée :
    Firefox offre une meilleure sécurité par rapport à Internet Explorer, surtout si on le complète de quelques plugins très intéressant : Noscript et WOT par exemple.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !



    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "éditer" dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi, si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    [:_tom_:7]
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS