Se connecter / S'enregistrer
Votre question

Connexion bloquée (résolu)

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
13 Septembre 2010 11:16:27

Bonjour,
J'ai un gros problème avec mon pc. Gros bloquage, impossible d'acceder a internet+une page de pub pour anti-virus qui s'affiche
Pouves-vous m'aider, svp ?
Merci d'avance

Voici le log hijackthis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:59:27, on 13/09/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\PANDA SOFTWARE\AVTC\PavSrv51.exe
C:\Program Files\PANDA SOFTWARE\AVTC\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Program Files\OCS Inventory Agent\ocsservice.exe
C:\Program Files\PANDA SOFTWARE\AVTC\PsCtrlS.exe
C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe
C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\PANDA SOFTWARE\AVTC\PSKMsSvc.exe
C:\Program Files\Panda Software\AVTC\PSHost.exe
C:\Program Files\PANDA SOFTWARE\AVTC\PsImSvc.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Apoint\ApMsgFwd.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Apoint\HidFind.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\PANDA SOFTWARE\AVTC\PSCtrlC.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\AVG\AVG9\avgui.exe
C:\Program Files\AVG\AVG9\avgscanx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
F:\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://companyweb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/hws/sb/dell-row-rel/fr/side.html?c...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://companyweb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row-rel&channel...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://companyweb
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6092
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: C:\WINDOWS\system32\ym7b93.dll - {B1BA40A2-75F2-51BD-F413-04B13A2C8953} - C:\WINDOWS\system32\ym7b93.dll (file missing)
O3 - Toolbar: Foxit Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Panda Controller Client] "C:\Program Files\PANDA SOFTWARE\AVTC\PSCtrlC.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [PDVDDXSrv] "C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe"
O4 - HKLM\..\Run: [bipro] rundll32 "C:\WINDOWS\$NtUninstallMTF196$\mmduch.dll",,Run
O4 - HKLM\..\Run: [hrunevdn] C:\Documents and Settings\rfrancon\Local Settings\Application Data\webdfybrf\lnpfkkkuqiw.exe
O4 - HKLM\..\Run: [byivqr] RUNDLL32.EXE C:\WINDOWS\system32\msllhsjn.dll,w
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [a5x3tq] C:\WINDOWS\TEMP\202fbh.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [HNUqrOXRoMc] C:\DOCUME~1\rfrancon\LOCALS~1\Temp\gdi32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [HNUqrOXRrxe] C:\DOCUME~1\rfrancon\LOCALS~1\Temp\system.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [HNUqrOXRmSc] C:\DOCUME~1\rfrancon\LOCALS~1\Temp\avp32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MKbtc] C:\WINDOWS\hexdump.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [HNUqrOXRssc] C:\DOCUME~1\rfrancon\LOCALS~1\Temp\winlogon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [HNUqrOXRsPc] C:\DOCUME~1\rfrancon\LOCALS~1\Temp\win32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MKZSc] C:\WINDOWS\avp32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [HNUqrOXRrkcmd.com/dw/dw.php?id=%s&ver=d01] C:\DOCUME~1\rfrancon\LOCALS~1\Temp\t1yur.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [NetLog3] C:\WINDOWS\svc3.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O9 - Extra button: @sysiecom.dll,-2100 - {703436F1-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslate.html
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2102 - {703436F1-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslate.html
O9 - Extra button: @sysiecom.dll,-2103 - {703436F2-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslateAll.html
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2105 - {703436F2-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslateAll.html
O9 - Extra button: @sysiecom.dll,-2115 - {703436F3-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuConfigure.html
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2117 - {703436F3-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuConfigure.html
O9 - Extra button: (no name) - {703436F4-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuClearCache.html
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2108 - {703436F4-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuClearCache.html
O9 - Extra button: (no name) - {703436F5-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuRegister.html
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2111 - {703436F5-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuRegister.html
O9 - Extra button: (no name) - {703436F6-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuUpdates.html (file missing)
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2114 - {703436F6-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuUpdates.html (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://appldnld.apple.com.edgesuite.net/content.info.ap...
O16 - DPF: {0F7A9329-009A-44A6-8BB8-86817C7A8BB8} (TemplateFTP.clsTemplateFtpFunctions) - http://www.ead-aerospace.com/intranet/Traitement/Templa...
O16 - DPF: {106E49CF-797A-11D2-81A2-00E02C015623} (AlternaTIFF ActiveX) - http://www.alternatiff.com/install-ie/alttiff.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {22945A69-1191-4DCF-9E6F-409BDE94D101} - http://www.solidworks.com/plugins/edrawings/download.cf...
O16 - DPF: {96816368-C1E3-414D-A193-63C3CC921990} (MJPEGRender Control) - http://standrewslinkstrust.remotemanager.co.uk/common/a...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540001} - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} - http://3dlifeplayer.dl.3dvia.com/player/install/3DVIA_p...
O16 - DPF: {DC811A54-8FE7-4653-9DB6-49CEABCE705A} (MOVEitUpDownWiz Class) - https://dataroom.aircastle.com/COM/MOVEitUploadWizard5....
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eadaerospace.com
O17 - HKLM\Software\..\Telephony: DomainName = eadaerospace.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eadaerospace.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = eadaerospace.com
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = eadaerospace.com
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: hasf87hdfuidhfiudfhdiu - {B1BA40A2-75F2-51BD-F413-04B13A2C8953} - C:\WINDOWS\system32\ym7b93.dll (file missing)
O23 - Service: Broadcom ASF IP and SMBIOS Mailbox Monitor (ASFIPmon) - Broadcom Corporation - C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: OCS INVENTORY SERVICE (OCS INVENTORY) - http://ocsinventory.sourceforge.net - C:\Program Files\OCS Inventory Agent\ocsservice.exe
O23 - Service: Panda Software Controller - Panda Security - C:\Program Files\PANDA SOFTWARE\AVTC\PsCtrlS.exe
O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
O23 - Service: Panda Antivirus Service (PavSrv) - Panda Software International - C:\Program Files\PANDA SOFTWARE\AVTC\PavSrv51.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Panda AntiSpam Engine (PMShellSrv) - Panda Software International - C:\Program Files\PANDA SOFTWARE\AVTC\PSKMsSvc.exe
O23 - Service: Panda Host Service (PSHost) - Unknown owner - C:\Program Files\Panda Software\AVTC\PSHost.exe
O23 - Service: Panda IManager Service (PsImSvc) - Panda Software International - C:\Program Files\PANDA SOFTWARE\AVTC\PsImSvc.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Fichiers communs\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

--
End of file - 15331 bytes

Autres pages sur : connexion bloquee resolu

14 Septembre 2010 15:05:25

Y a t-il quelqun pour m'aider, svp
Merci d'avance
a c 548 8 Sécurité
a b , Internet Explorer
14 Septembre 2010 19:55:59

[:arslan:13] Bonsoir,

Bien infecté oui ...

Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient vous empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risque de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, pense à sauvegarder le maximum possible tes documents auparavant !


    Allons-y,


    1) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat, assures-toi que "Malicious objects" ait le statut "Cure"
  • Pour la partie "Suspicious object" clique sur "Skip" et choisi "Quarantine"
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.



    2) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    i8042prt.sys
    cdrom.sys
    disk.sys
    ndis.sys
    tcpip.sys
    mountmgr.sys
    aec.sys
    rasacd.sys
    redbook.sys
    ipsec.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    [:_tom_:7]
    Contenus similaires
    a c 548 8 Sécurité
    a b , Internet Explorer
    15 Septembre 2010 17:20:47

    Re,

    L'infection a patché (détourné) de nombreux fichiers système, pour plus de facilité et de réussite dans la désinfection, je vais te faire passer par un LiveCD, qui évitera que l'infection soit active.

    Il te faudra donc un CD vierge et un graveur.
    Si tu as des questions sur la procédure, pose-les avant de te lancer.

    Télécharge OTLPEnet sur ton Bureau (Taille > 120 Mo)

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'etre créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant, presse Run Scan pour démarrer le scan
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ton prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    [:_tom_:7]
    a c 548 8 Sécurité
    a b , Internet Explorer
    16 Septembre 2010 17:10:58

    Re,

    Allons-y :

  • Redémarre ton PC en utilisant le LiveCD venant d'etre créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"


    :OTL
    SRV - [2010/09/13 06:40:31 | 000,729,600 | ---- | M] (aglrqmtrat Corporation) [Auto] -- C:\WINDOWS\system32\dlo4B.dll -- (fbgynjqk)
    DRV - File not found [Kernel | Boot] -- C:\WINDOWS\System32\drivers\knltvzgd.sys -- (knltvzgd)
    O2 - BHO: () - {F0BD539B-ED3A-4441-9740-630EE33AAD5F} - C:\WINDOWS\system32\dlo4B.dll (aglrqmtrat Corporation)
    O3 - HKLM\..\Toolbar: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
    O4 - HKLM..\Run: [bipro] C:\WINDOWS\$NtUninstallMTF196$\mmduch.DLL File not found
    O4 - HKLM..\Run: [byivqr] C:\WINDOWS\System32\msllhsjn.DLL File not found
    O4 - HKLM..\Run: [hrunevdn] C:\Documents and Settings\rfrancon\Local Settings\Application Data\webdfybrf\lnpfkkkuqiw.exe File not found
    O4 - HKU\.DEFAULT..\Run: [HNUqrOXRmSc] C:\DOCUME~1\rfrancon\LOCALS~1\Temp\avp32.exe File not found
    O4 - HKU\.DEFAULT..\Run: [HNUqrOXRoMc] C:\DOCUME~1\rfrancon\LOCALS~1\Temp\gdi32.exe File not found
    O4 - HKU\.DEFAULT..\Run: [HNUqrOXRrkc] C:\DOCUME~1\rfrancon\LOCALS~1\Temp\t1yur.exe File not found
    O4 - HKU\.DEFAULT..\Run: [HNUqrOXRrkcmd.com/dw/dw.php?id=%s&ver=d01] C:\DOCUME~1\rfrancon\LOCALS~1\Temp\t1yur.exe File not found
    O4 - HKU\.DEFAULT..\Run: [HNUqrOXRrxe] C:\DOCUME~1\rfrancon\LOCALS~1\Temp\system.exe File not found
    O4 - HKU\.DEFAULT..\Run: [HNUqrOXRsPc] C:\DOCUME~1\rfrancon\LOCALS~1\Temp\win32.exe File not found
    O4 - HKU\.DEFAULT..\Run: [HNUqrOXRssc] C:\DOCUME~1\rfrancon\LOCALS~1\Temp\winlogon.exe File not found
    O4 - HKU\.DEFAULT..\Run: [MKbta] C:\WINDOWS\install.exe File not found
    O4 - HKU\.DEFAULT..\Run: [MKbtc] C:\WINDOWS\hexdump.exe File not found
    O4 - HKU\.DEFAULT..\Run: [MKZSc] C:\WINDOWS\avp32.exe File not found
    O4 - HKU\.DEFAULT..\Run: [NetLog3] C:\WINDOWS\svc3.exe File not found
    O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
    O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
    [2010/09/13 06:40:13 | 000,729,600 | ---- | C] (aglrqmtrat Corporation) -- C:\WINDOWS\System32\dlo4B.dll
    [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [1 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
    [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [2010/09/10 05:46:09 | 000,000,152 | ---- | M] () -- C:\WINDOWS\System32\180624046.BAT
    [2010/09/13 10:11:26 | 000,003,590 | ---- | C] () -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\F0BD539B-ED3A-4441-9740-630EE33AAD5F.txt
    [2010/09/09 06:15:38 | 000,000,240 | ---- | C] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
    NetSvcs: fbgynjqk - C:\WINDOWS\system32\dlo4B.dll (aglrqmtrat Corporation)
    MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WD Anywhere Backup Launcher.lnk - C:\WINDOWS\INSTAL~1\{649C4~1\NEWSHO~2.EXE - File not found

    :Files
    C:\WINDOWS\system32\dlo4B.dll
    C:\WINDOWS\$NtUninstallMTF196$
    C:\Documents and Settings\rfrancon\Local Settings\Application Data\webdfybrf
    C:\WINDOWS\System32\msllhsjn.DLL
    C:\Documents and Settings\kallali\Local Settings\Temp\explorer.exe
    C:\WINDOWS\Temp\explorer.exe
    C:\WINDOWS\Driver Cache\i386\sp2.cab:i8042prt.sys /e
    C:\WINDOWS\system32\DRIVERS\i8042prt.sys|C:\i8042prt.sys /replace
    C:\WINDOWS\system32\userinit.exe|C:\i386\userinit.exe /replace

    :Commands
    [emptytemp]
    [resethosts]


  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ton prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    [:_tom_:7]
    a c 548 8 Sécurité
    a b , Internet Explorer
    16 Septembre 2010 21:20:25

    Re,

    Très bien, tu peux maintenant redémarrer normalement ton PC, voir si tout fonctionne.

    Si tout est ok, on va finir le nettoyage :


    1) Pour retrouver la connexion Internet :

    Clique sur "Démarrer" -> panneau de configuration -> options internet
    Sous l'onglet "Connexion", clique en bas sur "Paramètres réseau"

    Décoche (si coché) :
    "Utiliser un serveur proxy pour votre réseau local ..." sous "Serveur proxy"

    Et Coche : "Détecter automatiquement les paramètres de connexion"

    Valide et ferme.



    2) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"

    [:_tom_:7]
    a c 548 8 Sécurité
    a b , Internet Explorer
    17 Septembre 2010 16:30:19

    Re,

    Laisse tomber hijackthis, il ne me sert à rien, il ne scanne pas assez en profondeur. ;) 

    Une chose me titille encore dans un rapport, je vais m'assurer d'un truc :

    Relance OTL :
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    i8042prt.sys
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, le rapport OTL.Txt s'ouvrira. Copie/colle ici son contenu.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    a c 548 8 Sécurité
    a b , Internet Explorer
    17 Septembre 2010 18:54:14

    Re,

    Ok, malheureusement, certains fichiers infectieux sont encore là.

    On continu :

    1) Désinstalle :

    - Spybot search and destroy : obsolète, inefficace, mais pouvant bloquer nos manipulations
    - Panda ou AVG : tu possèdes deux antivirus, un seul antivirus par machine ! choisis-en un et désinstalle l'autre.


    2) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\drivers\mlwhlxl.sys -- (vewhr)
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\usbser_lowerflt.sys -- (upperdev)
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\nmwcdnsuc.sys -- (nmwcdnsuc)
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\nmwcdnsu.sys -- (nmwcdnsu)
    IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:6092
    O2 - BHO: (no name) - {F0BD539B-ED3A-4441-9740-630EE33AAD5F} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
    MsConfig - StartUpReg: [b]bipro[/b] - hkey= - key= - C:\WINDOWS\$NtUninstallMTF196$\mmduch.DLL File not found
    MsConfig - StartUpReg: [b]SpybotSD TeaTimer[/b] - hkey= - key= - C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)

    :Files
    C:\Documents and Settings\kallali\Local Settings\Temp\explorer.exe
    C:\WINDOWS\Temp\explorer.exe
    C:\WINDOWS\system32\userinit.exe|C:\i386\userinit.exe /replace
    C:\WINDOWS\explorer.exe|C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe /replace

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.


    3) Télécharge Gmer sur ton bureau. (Clique sur "Download EXE")

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur xxxxx.exe (nom aléatoire de Gmer) pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, tu dois être sur l'onglet Rootkit/Malware
  • Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All.
  • Clique sur le bouton Scan.
  • Laisse Gmer travailler et ne touche plus à ton ordinateur. Le scan peut être long.

  • A la fin du scan, un rapport s'ouvrira : enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu dans ta réponse.
  • Si ce n'est pas le cas, clique sur le bouton "Copy" en dessous de "scan", ouvre alors un fichier bloc-note et colle (Ctrl + v), puis copie ce rapport dans ta réponse.
  • Quitte Gmer et réactive tes logiciels de sécurité.

    Attention à ne rien tenter par toi même !!
    a c 548 8 Sécurité
    a b , Internet Explorer
    18 Septembre 2010 09:50:54

    ;)  Ok, voilà qui explique les choses ...

    Infection du MBR ...


    La suite alors ;) 

    Télécharge Bootkit Remover (de eSageLab) sur ton bureau.

  • Décompresse Bootkit Remover sur ton bureau.
    (Info : si tu ne possèdes pas de décompresseur, 7zip fera l'affaire)
  • Double-clique sur Bootkit Remover pour le lancer.
  • Une fenêtre noire d'invite de commande va apparaitre.
  • Fais un clic-droit dedans -> "Sélectionner tout" puis appuies sur la touche "Entrée"
  • Fais un clic droit-> copier ici dans ta prochaine réponse pour me fournir le rapport.

    18 Septembre 2010 13:36:20

    Re,

    ça y est, c'est fait:

    Bootkit Remover
    (c) 2009 eSage Lab
    www.esagelab.com

    Program version: 1.2.0.0
    OS Version: Microsoft Windows XP Professional Service Pack 2 (build 2600)

    System volume is \\.\C:
    \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`05e21800
    Boot sector MD5 is: 5792afe8a152cb642f1b5a62fc36d86e

    Size Device Name MBR Status
    --------------------------------------------
    74 GB \\.\PhysicalDrive0 Unknown boot code

    Unknown boot code has been found on some of your physical disks.
    To inspect the boot code manually, dump the master boot sector:
    remover.exe dump <device_name> [output_file]
    To disinfect the master boot sector, use the following command:
    remover.exe fix <device_name>


    Done;
    Press any key to quit...
    a c 548 8 Sécurité
    a b , Internet Explorer
    18 Septembre 2010 14:55:37

    Re,

    Voilà confirmation faite, rootkit MBR ...

    /!\ La correction du Master Boot Record peut engendrer la perte du système ou l'accès au disque dur, il convient donc de sauvegarder auparavant tes fichiers important, nous ne sommes jamais à l'abri d'un plantage. /!\


    Quand tu es prêt :

    Ouvre le bloc note de windows :
  • Clique sur "Démarrer" puis "Exécuter"
  • Dans la fenêtre tape ceci :
    Citation :
    notepad.exe

  • Valide avec "Entrée"

  • Dans la nouvelle fenêtre, copie-colle le script suivant (sans laisser de ligne blanche en haut)

    @echo off
    START remover.exe fix \\.\PhysicalDrive0
    exit


    Enregistre ce fichier sur ton bureau :
  • Menu "Fichier" -> "Enregistrer sous"
  • Assure-toi que "Type de fichier" soit sur "All types (*.*)"
  • Nomme le fichier "fix.bat" en terminant obligatoirement par l'extension .bat

  • Double-clic sur "fix.bat" pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit et sélectionne "Exécuter en tant qu'administrateur".)

    Une nouvelle fenêtre de Bootkit Remover va s'ouvrir.
  • Fais un clic-droit dedans -> "Sélectionner tout" puis appuies sur la touche "Entrée"
  • Fais un clic droit-> copier ici dans ta prochaine réponse pour me fournir le rapport.
    18 Septembre 2010 15:33:37

    Il me dit qu'il ne trouve pas "remover.exe".
    Pour info, mon bootkit remover est nomé: "bootkit_remover.exe"

    J'ai remplacé "remover.exe" dans le script de "fix.bat" par "bootkit_remover.exe"; J'ai executé fix.bat, Bootkit remover c'est ouver, et là il y a une fenetre warning qui dit:

    You are trying to rewrite boot code at \\.\PhysicalDrive0.
    It is strongly recommended to reboot immediately after the desinfection.Otherwise the malicious boot code can be restored by the trojan.
    Type "yes" to allow immediate reboot after the desinfection, or "No" to desinfect without reboot.

    Je me suis arreté à cette fenetre avant de faire une connerie.
    Que dois-je faire maintenant ?
    a c 548 8 Sécurité
    a b , Internet Explorer
    18 Septembre 2010 15:36:22

    Re,

    Ok, effectivement si tu as renommé, il fallait modifier dans le script.

    rentre "y" ou yes pour qu'il redémarre après le fix.

    [:_tom_:7]
    18 Septembre 2010 15:46:25

    Alors voilà, l'ordi a re-demarré. Il y a toujours la fenetre "mes documents" qui s'ouvre deux fois et j'ai toujours une alerte de panda.
    Il dit qu'il a détecté et neutralisé un virus:

    Nom du virus: TRJ/downloader.MDW

    Emplacement du virus: c:\docume~1\kallali\locals~1\temp\explorer.exe

    Y a t'il un rapport que je dois poster après ce redemarrage ?
    a c 548 8 Sécurité
    a b , Internet Explorer
    18 Septembre 2010 17:49:10

    Re,

    Ok, s'il sont détecté, c'est qu'on a viré la protection du rootkit, on devrait pouvoir en finir maintenant :

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    userinit.exe
    i8042prt.sys
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, le rapport OTL.Txt s'ouvrira. Copie/colle ici son contenu.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    a c 548 8 Sécurité
    a b , Internet Explorer
    18 Septembre 2010 19:48:30

    Re,

    Bon, on a l'air pas mal du tout, les fichiers qui revenaient ont été supprimé donc, on est bon, dernier ménage :

    Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab (Reg Error: Key error.)
    O16 - DPF: {22945A69-1191-4DCF-9E6F-409BDE94D101} http://www.solidworks.com/plugins/edrawings/download.cfm?Release=rel (Reg Error: Key error.)
    O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540001} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.)
    O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} http://3dlifeplayer.dl.3dvia.com/player/install/3DVIA_player_installer.exe (Reg Error: Key error.)
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
    MsConfig - StartUpReg: [b]AVG9_TRAY[/b] - hkey= - key= - C:\PROGRA~1\AVG\AVG9\avgtray.exe File not found
    MsConfig - StartUpReg: [b]MioNet[/b] - hkey= - key= - C:\Program Files\MioNet\MioNetLauncher.exe File not found
    MsConfig - StartUpReg: [b]PC Suite Tray[/b] - hkey= - key= - C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe File not found
    MsConfig - StartUpReg: [b]QuickTime Task[/b] - hkey= - key= - C:\Program Files\QuickTime\qttask.exe File not found
    [2010/09/13 10:35:54 | 000,000,000 | -H-D | C] -- C:\$AVG
    [2010/09/13 10:29:57 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\avg9
    [2010/09/13 10:29:57 | 000,000,000 | ---D | C] -- C:\Program Files\AVG
    [2010/09/10 15:08:43 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy
    [2010/09/10 15:08:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    [2010/09/09 12:15:35 | 000,000,000 | ---D | C] -- C:\Program Files\Ask.com

    :Files
    C:\WINDOWS\system32\userinit.exe|C:\i386\userinit.exe /replace

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.

    [:_tom_:7]
    a c 548 8 Sécurité
    a b , Internet Explorer
    18 Septembre 2010 21:46:55

    Re,

    Ok, terminons-en alors :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    Télécharge CCleaner Slim (sans toolbar) de Piriform :

  • Lance l'installation en double cliquant sur le fichier Ccleaner***_slim.exe. (aide ici)
  • Ceci terminé, lance le programme.
  • Choisis Options -> Avancé -> et décoche "Effacer uniquement les fichiers du dossier temp plus vieux que 48h"
  • Choisis "Nettoyeur" puis clique sur "Analyse"
  • Laisse faire puis clique sur "Lancer le nettoyage" et accepte l'avertissement avec "Oui"

  • Choisis ensuite "Registre" puis clique sur "Chercher les erreurs"
  • Laisse faire le scan puis clique sur "Réparer les erreurs sélectionnées"
  • Enregistre la sauvegarde en cliquant sur "Oui"
  • puis clique sur "Corriger toutes les erreurs sélectionnées"
  • Valide l'avertissement en cliquant sur "Oui"

    -> Note : cette dernière étape peut être reproduite plusieurs fois s'il reste des erreurs lors d'un second scan.

  • Ferme le programme

    3) Met ton système et tes programmes à jour :

    C'est l'un des principaux vecteur d'infection, surtout pour ton système :

    -> Met Windows XP à jour vers le Service Pack 3 via Windows Update

    -> Met Java à jour vers la version 6 Update 21

    -> vérifie que tes autres programmes sont à jour grâce à un scan comme celui de Secunia

    4) Purge ta restauration système :

    Elle contient des restes de l'infection :
    http://www.inforumatique.fr/la-restauration-du-systeme-...

    (dernier point du tutoriel)



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Installer un parefeu en remplacement de celui de Windows XP :
    Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm ou Kerio par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!


  • Utiliser un navigateur alternatif pour surfer de manière plus sécurisée :
    Firefox offre une meilleure sécurité par rapport à Internet Explorer, surtout si on le complète de quelques plugins très intéressant : Noscript et WOT par exemple.

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Si tu as des questions, ou encore des soucis, c'est le moment de le dire ;) 

    Sinon :

    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "éditer" dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi, si tu le souhaites, valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    19 Septembre 2010 12:23:39

    Re,
    Merci beaucoup, t'es génial !
    Je ne suis pas administrateur sur cet ordi, c'est celui du boulot. Faut-il absolument faire la purge de la restauration ? Dans ce cas je dois demander a quelqu'un de se loguer en tant qu'administrateur

    Autre question: Tu t'y connais en mac ? Mon ordi perso est un macbook pro et je le trouve un peu ralenti
    a c 548 8 Sécurité
    a b , Internet Explorer
    19 Septembre 2010 14:21:47

    Re ;) 

    Citation :
    Je ne suis pas administrateur sur cet ordi, c'est celui du boulot.


    :D  on a eu de la chance de pas avoir besoin d'un accès admin complet comme sur Vista/7 alors ...
    Faudrait faire un peu plus attention à l'utilisation d'un pc de boulot ;) 

    Citation :
    Faut-il absolument faire la purge de la restauration ? Dans ce cas je dois demander a quelqu'un de se loguer en tant qu'administrateur


    Apparemment, de toute façon, elle semble désactivée :
    Citation :
    CREATERESTOREPOINT
    Error starting restore point: System Restore is disabled.
    Error closing restore point: System Restore is disabled.


    Je ne trouve pas çà très intelligent niveau sécurité, mais je ne connais pas le tenant et aboutissant de la gestion des pc en entreprise alors ...
    Donc, non, tu peux sauter cette étape ...

    Idem pour le service pack3, c'est extrêmement dangereux d'avoir laissé un pc non à jour ... et surement en partie la cause de l'infection ... J'espère que tu as le droit et que tu pourras le mettre à jour, car sans çà, tu seras vraiment vulnérable sur le net ...


    Citation :
    Autre question: Tu t'y connais en mac ? Mon ordi perso est un macbook pro et je le trouve un peu ralenti


    Malheureusement, non, aucune connaissance, l'univers Windows étant déjà complexe et difficile à cerné :lol: 
    Mais n'héite pas à ouvrir un sujet dans la catégorie dédiée :
    http://www.infos-du-net.com/forum/forum-10.html


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "éditer" dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi, si tu le souhaites, valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    19 Septembre 2010 15:42:58


    Merci beaucoup et à bientôt
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS