Se connecter / S'enregistrer
Votre question

[RESOLU] Rapport Hijacthis + page internet inopinée + google chrome HS

Tags :
  • Google Chrome
  • Sécurité
Dernière réponse : dans Sécurité et virus
2 Mai 2010 21:26:58

Bonsoir,
j'ai besoin de votre aide. Depuis hier soir, je ne peux plus utiliser le navigateur Google chrome.
Désinstallation, réinstallation, rien page blanche au démarrage, plus rien ne se charge dans le navigateur.

Par contre, je vois apparaître au bout d'un certains temps des pages me disant que le PC est infecté, je me doute bien que c'est de fausses pages.

En parcourant les forums, on propose l'utilisation de Malwarebyte's.
Je l'ai téléchargé, mis à jour et lancé en mode sans echec.
Il m'a supprimé 28 menaces, google chrome ne fonctionne pas mieux, et j'ai toujours des fenêtres qui apparaissent même quand je ne lance pas de navigateur internet. Notamment des fenêtres "dialer" me disant que la connexion avec le modem a échoué !
Je relance Malwarebyte's en mode sans echec, encore 2 menaces de supprimée : Rogue - Antimalware Doctor + Trojan - FraudTool

Je vous poste ce message avec Firefox, le navigateur me permet d'aller sur le Web, mais il est lent. Le processus firefox.exe utilise la mémoire à hauteur de 315 000 Ko ce qui me semble très élevé pour ce navigateur.

Je vous joins un rapport Hijackthis au cas où quelqu'un puisse me guider vers l'éradication du problème.
Merci et bonne soirée



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:05:44, on 02/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Microsoft Security Essentials\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Microsoft Security Essentials\msseces.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSHIBA e-STUDIO Client\GLDocMon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Application Updater\ApplicationUpdater.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Blue Coat K9 Web Protection\k9filter.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Schneider Electric\Vijeo-Designer\Vijeo-Frame\XBTZG935\XBTGZ935_ulnk(36fc9e60-c465-11cf-8056-444553540000).exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Skype\Toolbars\Shared\SkypeNames2.exe
C:\DOCUME~1\INTERR~1\LOCALS~1\Temp\Mx2.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Mqocaa.exe
C:\Documents and Settings\interroll\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [MSSE] "c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [UVS12 Preload] C:\Program Files\Corel\Corel VideoStudio 12\uvPL.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ToshibaGLDocMon] "C:\Program Files\TOSHIBA\TOSHIBA e-STUDIO Client\GLDocMon.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\interroll\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [M5T8QL3YW3] C:\DOCUME~1\INTERR~1\LOCALS~1\Temp\Mx2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1214440339-764733703-839522115-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'postgres')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: PDFill PDF Editor - {FB858B22-55E2-413f-87F5-30ADC5552151} - C:\Program Files\PlotSoft\PDFill\DownloadPDF.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Blue Coat K9 Web Protection (bckwfs) - Blue Coat Systems, Inc. - C:\Program Files\Blue Coat K9 Web Protection\k9filter.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: postgresql-8.4 - PostgreSQL Server 8.4 (postgresql-8.4) - PostgreSQL Global Development Group - C:/Program Files/PostgreSQL/8.4/bin/pg_ctl.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: XBTZG935 USB Link Cable - INDE Electronics, Inc. - C:\Program Files\Schneider Electric\Vijeo-Designer\Vijeo-Frame\XBTZG935\XBTGZ935_ulnk(36fc9e60-c465-11cf-8056-444553540000).exe

--
End of file - 9733 bytes

Autres pages sur : resolu rapport hijacthis page internet inopinee google chrome

2 Mai 2010 21:33:58

Je voulais ajouter que les pages internet qui s'ouvrent me redirigent vers ad.reduxmedia
3 Mai 2010 08:16:58

bonjour,
en lisant plusieurs posts sur le forum, j'ai lu dans certains cas qu'il fallait fournir le rapport de ZHPDiag.
Je vous le joins.
Merci à celui ou à celle qui peuvent m'apporter une piste.

le fichier ZHPDiag
Contenus similaires
4 Mai 2010 21:57:05

Bonsoir, je sais qu'il faut patienter, mais personne n'a une petite piste.
Je passe Malwarebytes' Anti-Malware tous les jours, il me détecte tout le temps des éléments à supprimer.
Donc je pense qu'à chaque redémarrage, je me réinfecte, mais je n'ose pas trop toucher de peur de voir le PC ne pas redémarrer.

Merci pour votre aide à venir.
4 Mai 2010 22:24:12

bonsoir
Désactive ton antivirus et tout autre type de protection.
Télécharge ComboFix de sUBs :
ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

viens sur le forum et édition "coller"

AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
* le nom de la partition peut changer

5 Mai 2010 09:37:36

Bonjour Sham_Rock,
merci de m'avoir répondu aussi vite, si j'avais su je serais revenu hier soir avant d'aller dormir !

Je viens de faire ce que vous m'avez demandé.

Voici le rapport. A voir maintenant ce qu'il reste à faire :

ComboFix 10-05-04.04 - interroll 05/05/2010 8:38.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1279.935 [GMT 2:00]
Lancé depuis: c:\documents and settings\interroll\Bureau\ComboFix.exe
AV: Microsoft Security Essentials *On-access scanning disabled* (Updated) {BCF43643-A118-4432-AEDE-D861FCBCFCDF}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\interroll\Application Data\716766A5B32C31A96E74BB7E30CA6849
c:\documents and settings\interroll\Application Data\716766A5B32C31A96E74BB7E30CA6849\enemies-names.txt
c:\documents and settings\interroll\Application Data\716766A5B32C31A96E74BB7E30CA6849\lsrslt.ini
c:\program files\pdfforge Toolbar\SearchSettings.dll
c:\program files\WindowsUpdate
c:\windows\Mqocab.exe
c:\windows\system32\tmp.reg

Une copie infectée de c:\windows\system32\drivers\i8042prt.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p 
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


((((((((((((((((((((((((((((( Fichiers créés du 2010-04-05 au 2010-05-05 ))))))))))))))))))))))))))))))))))))
.

2010-05-03 05:37 . 2010-05-03 05:38 -------- d-----w- c:\program files\ZHPDiag
2010-05-02 21:17 . 2009-06-30 07:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2010-05-02 21:15 . 2010-05-02 21:15 -------- d-----w- c:\program files\Panda Security
2010-05-01 08:37 . 2010-05-01 08:37 -------- d-----w- c:\program files\CCleaner
2010-05-01 07:33 . 2010-05-01 07:33 -------- d-----w- c:\documents and settings\Administrateur\Application Data\PSpad
2010-04-30 21:32 . 2010-04-30 21:32 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-04-30 20:06 . 2010-04-30 20:06 -------- d-----w- c:\documents and settings\interroll\Application Data\Malwarebytes
2010-04-30 20:06 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-30 20:06 . 2010-04-30 20:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-30 20:06 . 2010-04-30 20:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-30 20:06 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-30 19:43 . 2010-04-30 19:43 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2010-04-26 09:42 . 2010-04-26 09:42 -------- d-----w- c:\program files\gs
2010-04-26 09:34 . 2010-04-26 09:34 -------- d-----w- c:\program files\PlotSoft
2010-04-26 09:34 . 2010-04-26 09:34 -------- d-----w- c:\documents and settings\All Users\Application Data\PlotSoft
2010-04-25 17:21 . 2010-04-26 04:46 -------- d-----w- c:\documents and settings\interroll\Application Data\Ulead Systems
2010-04-25 17:12 . 2010-04-25 17:12 -------- d-----w- c:\windows\system32\windows media
2010-04-25 17:00 . 2010-04-25 17:00 -------- d-----w- c:\program files\Windows Media Components
2010-04-25 16:57 . 2010-04-25 17:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Ulead Systems
2010-04-25 16:57 . 2010-04-25 17:00 -------- d-----w- c:\program files\Fichiers communs\Ulead Systems
2010-04-25 16:57 . 2010-04-25 16:57 -------- d-----w- c:\program files\Corel
2010-04-21 06:22 . 2010-04-21 06:22 -------- d-----w- c:\documents and settings\interroll\.astah
2010-04-21 06:22 . 2010-04-21 06:23 -------- d-----w- c:\program files\astah-community
2010-04-17 10:58 . 2010-04-17 10:59 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-04-15 08:38 . 2010-04-15 08:39 -------- d-----w- C:\eclipse
2010-04-10 07:46 . 2010-04-10 07:46 -------- d-----w- c:\documents and settings\interroll\Application Data\Dalini
2010-04-09 17:33 . 2010-04-09 17:54 -------- d-----w- C:\Visual Pinball
2010-04-09 13:26 . 2010-04-09 13:26 -------- d-----w- c:\program files\Excel Software
2010-04-09 13:25 . 1996-11-05 14:13 299008 ----a-w- c:\windows\uninst.exe
2010-04-09 13:25 . 2010-04-09 13:25 -------- d-----w- c:\documents and settings\interroll\WINDOWS
2010-04-07 06:10 . 2010-04-07 06:10 -------- d-----w- c:\program files\Tracker Software
2010-04-06 17:45 . 2010-04-06 17:58 -------- d-----w- c:\documents and settings\interroll\Application Data\DeepBurner
2010-04-06 17:45 . 2010-04-06 17:45 -------- d-----w- c:\program files\Astonsoft
2010-04-06 17:36 . 2010-04-06 17:43 -------- d-----w- c:\documents and settings\interroll\Local Settings\Application Data\WMTools Downloaded Files

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-05 06:49 . 2009-11-10 18:23 -------- d-----w- c:\documents and settings\interroll\Application Data\Skype
2010-05-05 06:47 . 2010-03-28 13:46 -------- d-----w- c:\program files\Blue Coat K9 Web Protection
2010-05-05 06:44 . 2009-11-08 20:35 -------- d-----w- c:\program files\pdfforge Toolbar
2010-05-05 04:46 . 2009-11-10 18:23 -------- d-----w- c:\documents and settings\interroll\Application Data\skypePM
2010-05-03 06:21 . 2009-11-09 17:46 1 ----a-w- c:\documents and settings\interroll\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-04-26 04:45 . 2009-11-06 19:56 84784 ----a-w- c:\documents and settings\interroll\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-04-25 17:14 . 2010-04-25 17:14 -------- d-----w- c:\documents and settings\All Users\Application Data\InterVideo
2010-04-25 17:14 . 2009-11-05 20:17 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-16 22:04 . 2010-02-02 15:20 -------- d-----w- c:\documents and settings\interroll\Application Data\Hyufne
2010-04-15 01:06 . 2009-11-14 13:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-04-14 07:20 . 2010-04-04 08:50 -------- d-----w- c:\program files\PostgreSQL
2010-04-04 08:59 . 2010-04-04 08:58 -------- d-----w- c:\documents and settings\interroll\Application Data\postgresql
2010-04-01 05:39 . 2007-08-02 12:00 63614 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-01 05:39 . 2007-08-02 12:00 445016 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-23 07:12 . 2010-03-23 07:12 -------- d-----w- c:\program files\Fichiers communs\Skype
2010-03-15 21:10 . 2010-03-15 21:10 -------- d-----w- c:\documents and settings\interroll\Application Data\PhotoFiltre
2010-03-15 21:10 . 2010-03-15 21:10 -------- d-----w- c:\program files\PhotoFiltre
2010-03-14 21:26 . 2010-03-14 21:26 33824 ----a-w- c:\windows\system32\drivers\oreans32.sys
2010-03-14 21:24 . 2010-03-14 21:24 -------- d-----w- c:\documents and settings\interroll\Application Data\JCreator
2010-03-14 21:24 . 2010-03-14 21:24 -------- d-----w- c:\documents and settings\All Users\Application Data\JCreator
2010-03-13 12:01 . 2009-11-05 21:28 -------- d-----w- c:\program files\Java
2010-03-11 14:26 . 2010-03-11 14:26 -------- d-----w- c:\program files\Xinox Software
2010-03-10 06:16 . 2007-08-02 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-03-10 06:03 . 2009-11-06 19:56 -------- d-----w- c:\program files\Microsoft Security Essentials
2010-03-09 07:36 . 2009-11-05 21:25 -------- d-----w- c:\program files\RecordNow!
2010-03-09 07:35 . 2009-11-05 21:25 -------- d-----w- c:\documents and settings\interroll\Application Data\Sonic
2010-03-08 14:30 . 2010-03-08 14:30 -------- d-----w- c:\documents and settings\interroll\Application Data\Search Settings
2010-03-08 14:29 . 2010-03-08 14:29 -------- d-----w- c:\documents and settings\interroll\Application Data\pdfforge
2010-02-25 06:17 . 2007-08-02 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2007-08-02 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-24 08:16 . 2009-11-06 20:04 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-17 12:07 . 2007-08-02 12:00 2192000 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:07 . 2004-08-19 16:04 2068864 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-03-16 09:35 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2007-08-02 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2007-08-02 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
2010-01-08 02:17 700416 ----a-w- c:\program files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\program files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll" [2010-01-08 700416]

[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ToshibaGLDocMon"="c:\program files\TOSHIBA\TOSHIBA e-STUDIO Client\GLDocMon.exe" [2004-08-05 581632]
"Skype"="c:\program files\Skype\\Phone\Skype.exe" [2010-03-09 26100520]
"Google Update"="c:\documents and settings\interroll\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-01-29 135664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2003-05-05 88267]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2003-07-15 110592]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2003-07-15 618496]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 28672]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-11-13 335872]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2003-09-26 114741]
"UpdateManager"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2003-07-17 184412]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-11-10 149280]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-12-05 198160]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"UVS12 Preload"="c:\program files\Corel\Corel VideoStudio 12\uvPL.exe" [2008-06-09 397456]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2008-11-04 435096]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Schneider Electric\\Vijeo-Designer\\Vijeo-Runtime\\Public\\Bin\\Koohi.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\TYPSoft FTP Server\\ftpserv.exe"=
"c:\\Documents and Settings\\interroll\\Mes documents\\Telechargement\\Nintendo DS\\R4i\\Dumper\\pack\\pack_made_in_zouzzz\\FTP\\smallftpd.exe"=
"c:\\jeux\\FTP\\smallftpd.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Documents and Settings\\interroll\\Mes documents\\cours\\CNAM\\NFA011 - Développement d'applications avec BDD\\Cours00 - Rappel Java\\Eclipse\\eclipse\\eclipse.exe"=
"c:\\Documents and Settings\\interroll\\Local Settings\\Application Data\\Google\\Chrome\\Application\\chrome.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [02/05/2010 23:17 28552]
R1 bckd;bckd;c:\windows\system32\drivers\bckd.sys [12/12/2009 00:52 74088]
R1 oreans32;oreans32;c:\windows\system32\drivers\oreans32.sys [14/03/2010 23:26 33824]
R2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [08/01/2010 01:51 380928]
R2 bckwfs;Blue Coat K9 Web Protection;c:\program files\Blue Coat K9 Web Protection\k9filter.exe [12/12/2009 00:52 1078632]
R2 postgresql-8.4;postgresql-8.4 - PostgreSQL Server 8.4;C:/Program Files/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N "postgresql-8.4" -D "C:/Program Files/PostgreSQL/8.4/data" -w --> C:/Program Files/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N postgresql-8.4 [?]
R2 XBTZG935 USB Link Cable;XBTZG935 USB Link Cable;c:\program files\Schneider Electric\Vijeo-Designer\Vijeo-Frame\XBTZG935\XBTGZ935_ulnk(36fc9e60-c465-11cf-8056-444553540000).exe [10/11/2008 21:08 93400]
R3 WBSD;Winbond Secure Digital Storage (SD/MMC) Device Driver;c:\windows\system32\drivers\wbsd.sys [05/11/2009 22:38 26240]
S3 XBTZG935;XBTZG935/XBTZGUSBB USB Link Cable Driver;c:\windows\system32\drivers\XBTZG935.sys [10/11/2008 21:08 11648]
.
Contenu du dossier 'Tâches planifiées'

2010-04-30 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-05-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1214440339-764733703-839522115-1003Core.job
- c:\documents and settings\interroll\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-01-29 15:10]

2010-05-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1214440339-764733703-839522115-1003UA.job
- c:\documents and settings\interroll\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-01-29 15:10]

2010-05-05 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2009-12-09 17:02]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyServer = proxy.my.intra.interroll.com:8080
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\interroll\Application Data\Mozilla\Firefox\Profiles\ictaq1mg.default\
FF - prefs.js: network.proxy.http - proxy.my.intra.interroll.com
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.type - 2
FF - component: c:\documents and settings\interroll\Application Data\Mozilla\Firefox\Profiles\ictaq1mg.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - component: c:\program files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll
FF - component: c:\program files\pdfforge Toolbar\SSFF\components\SearchSettingsFF.dll
FF - component: c:\program files\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\documents and settings\interroll\Local Settings\Application Data\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\documents and settings\interroll\Local Settings\Application Data\Yahoo!\BrowserPlus\2.6.0\Plugins\npybrowserplus_2.6.0.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPJPI141_02.dll
FF - plugin: c:\program files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
.
------- Associations de fichier -------
.
txtfile="c:\program files\PSPad editor\PSPad.exe" "%1"
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-Locked - (no file)
HKCU-Run-RecordNow! - (no file)
HKCU-Run-DriverMax - (no file)
HKCU-Run-DriverMax_RESTART - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-05 08:47
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????3?3?7?0??????? ?deB???????????????B? ??????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\postgresql-8.4]
"ImagePath"="C:/Program Files/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N \"postgresql-8.4\" -D \"C:/Program Files/PostgreSQL/8.4/data\" -w"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\postgresql-8.4]
"ImagePath"="C:/Program Files/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N \"postgresql-8.4\" -D \"C:/Program Files/PostgreSQL/8.4/data\" -w"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3840)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Microsoft Security Essentials\MsMpEng.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\AGRSMMSG.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Skype\Phone\Skype.exe
c:\program files\PostgreSQL\8.4\bin\pg_ctl.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\program files\PostgreSQL\8.4\bin\postgres.exe
c:\program files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\program files\PostgreSQL\8.4\bin\postgres.exe
c:\program files\PostgreSQL\8.4\bin\postgres.exe
c:\program files\PostgreSQL\8.4\bin\postgres.exe
c:\program files\PostgreSQL\8.4\bin\postgres.exe
c:\program files\PostgreSQL\8.4\bin\postgres.exe
c:\windows\system32\wscntfy.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Heure de fin: 2010-05-05 08:52:40 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-05 06:52

Avant-CF: 76 196 679 680 octets libres
Après-CF: 76 144 521 216 octets libres

- - End Of File - - BF27C728E7FDA2E7E52AC3EFE4E5CBFD

Cordialement
Did85
5 Mai 2010 13:35:44

re
  • Télécharge Ad-Remover (de Cyrildu17 / C_XX) sur ton Bureau.


    /!\ Déconnecte-toi, désactive ton anti-virus et ferme toutes applications en cours /!\

  • Double-clique sur AD-R situé sur ton Bureau pour le lancer.
    (Sous Vista, il faut cliquer droit sur AD-R et choisir Exécuter en tant qu'administrateur)
  • Choisis la langue F pour français.
  • Au menu principal, choisis l'option Nettoyer.

    /!\ Laisse travailler l'outil /!\

  • Poste le rapport qui apparaît à la fin (C:\Ad-Report-CLEAN.log).
    /!\ Pense à réactiver ton antivirus /!\

    ++++++++++++++++++++++++


    Télécharge GMER à partir de ce lien : http://www.gmer.net/files.php - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
    Voir le tutorial GMER, ça peut peut-être t'aider : http://www.malekal.com/tutorial_GMER.php

  • Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
  • Double-clique sur le fichier GMER téléchargé.
    IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
  • Clique sur l'onglet "rootkit"
  • A droite, coche seulement Files, Services & Registry.
  • Clique maintenant sur Scan.
  • Lorsque le scan est terminé, clique sur Copy.
  • Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
    Le rapport doit alors apparaître.
  • Enregistre le fichier sur ton Bureau et poste le contenu ici.


    5 Mai 2010 20:18:36

    Bonsoir Sham_Rock,

    j'ai lancé tous les scans comme tu me l'as demandé, mais le second a pris 5h !

    Je te post celui de AD-R

    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 01/05/10 à 19:50
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 14:49:30 le 05/05/2010 | Mode normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows XP™ Service Pack 3 - X86
    Nom du PC: CC2400NB011
    Utilisateur actuel: interroll
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .
    Service: *Application Updater*
    .
    C:\Documents and Settings\interroll\Application Data\pdfforge
    C:\Documents and Settings\interroll\Application Data\Search Settings
    C:\Program Files\Application Updater
    C:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com
    C:\Program Files\pdfforge Toolbar

    (!) -- Fichiers temporaires supprimés.
    .
    HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    HKCU\Software\pdfforge
    HKCU\Software\Search Settings
    HKLM\Software\Application Updater
    HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    HKLM\Software\pdfforge
    HKLM\Software\Search Settings
    HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Application Updater\ApplicationUpdater.exe
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\chrome.manifest
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\chrome\locale\EN-US\widgitoolbarplugin.properties
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\install.rdf
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SearchSettings.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SearchSettings.exe
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\chrome.manifest
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\chrome\locale\en-US\searchsettingsplugin.dtd
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\components\SearchSettingsFF.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\install.rdf
    .
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 3.6.3 (fr) *
    .
    C:\Documents and Settings\interroll\..\ictaq1mg.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\interroll\\Bureau
    C:\Documents and Settings\interroll\..\ictaq1mg.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
    .
    .
    * Internet Explorer Version 8.0.6001.18702 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\windows\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    Use Custom Search URL: 0
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\Ad-Remover\Quarantine: 79 Fichier(s)
    C:\Ad-Remover\Backup: 14 Fichier(s)
    .
    C:\Ad-Report-CLEAN[1].txt - 4457 Octet(s)
    .
    Fin à: 15:00:02, 05/05/2010
    .
    ============== E.O.F - CLEAN[1] ==============
    5 Mai 2010 20:20:36

    Et celui de GMER :

    GMER 1.0.15.15281 - http://www.gmer.net
    Rootkit scan 2010-05-05 20:13:19
    Windows 5.1.2600 Service Pack 3
    Running: vz0smrlr.exe; Driver: C:\DOCUME~1\INTERR~1\LOCALS~1\Temp\fxliipob.sys


    ---- Files - GMER 1.0.15 ----

    File C:\Documents and Settings\interroll\Mes documents\cours\CNAM\NFA011 - Développement d'applications avec BDD\Cours00 - Rappel Java\Eclipse\eclipse\p2\org.eclipse.equinox.p2.engine\profileRegistry\SDKProfile.profile\.data\org.eclipse.equinox.internal.p2.touchpoint.eclipse.actions\jvmargs 49 bytes

    ---- EOF - GMER 1.0.15 ----

    Etrange ce répertoire, je n'ai pas tout ça dedans et en plus c'est un répertoire de travail, tout ce que j'ai à l'intérieur sont des cours du CNAM !
    J'aurais un truc d'illicite à l'intérieur ?

    Merci encore pour ton aide
    Cordialement
    Did85
    5 Mai 2010 20:27:24

    Pour votre information, je ne sais pas si c'est important pour vous.

    Quand je suis venu poster mes rapports sur ce forum, je l'ai fait avec Firefox.

    J'ai tenté d'utiliser Google Chrome pour voir si il refonctionnait et là ECRAN BLEU et reboot immédiatement.

    Après le reboot, je tente à nouveau de lancer Google Chrome et émerveillement les pages Web s'affichent.

    Fallait-il rebooter le PC après le scan de GMER ? ne pas l'avoir fait aurait engendré l'écran bleu ?

    Merci
    Did85
    5 Mai 2010 22:30:46

    Très bien, je lance le scan.
    Je reviens demain matin
    Merci beaucoup
    6 Mai 2010 07:05:55

    Bonjour,
    le scan de NOD a de nouveau trouvé des choses, important ou pas, je mets le compte rendu :

    C:\Ad-Remover\Quarantine\C\Program Files\pdfforge Toolbar\SearchSettings.exe.vir Win32/Adware.Toolbar.Dealio application nettoyé par suppression - mis en quarantaine
    C:\Ad-Remover\Quarantine\C\Program Files\pdfforge Toolbar\SearchSettingsRes409.dll.vir Win32/Adware.Toolbar.Dealio application nettoyé par suppression - mis en quarantaine
    C:\Ad-Remover\Quarantine\C\Program Files\pdfforge Toolbar\WidgiHelper.exe.vir Win32/Adware.Toolbar.Dealio application nettoyé par suppression - mis en quarantaine
    C:\Ad-Remover\Quarantine\C\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll.vir Win32/Adware.Toolbar.Dealio application nettoyé par suppression - mis en quarantaine
    C:\Documents and Settings\interroll\Bureau\SmitfraudFix.exe menaces multiples supprimé - mis en quarantaine
    C:\Documents and Settings\interroll\Bureau\SmitfraudFix\Process.exe Win32/PrcView application nettoyé par suppression - mis en quarantaine
    C:\Documents and Settings\interroll\Bureau\SmitfraudFix\restart.exe Win32/Shutdown.NAA application nettoyé par suppression - mis en quarantaine
    C:\Documents and Settings\interroll\Bureau\SmitfraudFix\SmitfraudFix\Process.exe Win32/PrcView application nettoyé par suppression - mis en quarantaine
    C:\Documents and Settings\interroll\Bureau\SmitfraudFix\SmitfraudFix\restart.exe Win32/Shutdown.NAA application nettoyé par suppression - mis en quarantaine
    C:\Documents and Settings\interroll\Mes documents\cours\CNAM\NFA005 - Algorithme et programmation avec Java TP\cours02 - Notion d'affectation en Java\3 - JCREATOR V5\jcrea500_setup.exe une variante de Win32/Packed.Themida application supprimé - mis en quarantaine
    C:\Documents and Settings\interroll\Mes documents\dd externe\Doc DV interroll\CloneCD\CloneCD_v4[1].3.1.9.zip une variante probable de Win32/Agent cheval de troie supprimé - mis en quarantaine
    C:\Documents and Settings\interroll\Mes documents\dd externe\Doc DV interroll\CloneCD\Clone_CD_v4.3.1.9.zip.php une variante probable de Win32/Agent cheval de troie supprimé - mis en quarantaine
    C:\Documents and Settings\interroll\Mes documents\Telechargement\cryptload\CryptLoad_1.1.8.rar Win32/RemoteAdmin.NetCat application supprimé - mis en quarantaine
    C:\jeux\nouveau jeu\Chrono Tiger\patch\1234368295.zip une variante probable de Win32/HackTool.Patcher.A application supprimé - mis en quarantaine
    C:\jeux\nouveau jeu\Chrono Tiger\patch\chrono.trigger.(u)-patch_cracker.exe une variante probable de Win32/HackTool.Patcher.A application nettoyé par suppression - mis en quarantaine
    C:\Program Files\Java\jdk1.6.0_16\JCreatorV5LE\GE2001.exe une variante de Win32/Packed.Themida application nettoyé par suppression - mis en quarantaine
    C:\Qoobox\Quarantine\C\Program Files\pdfforge Toolbar\SearchSettings.dll.vir Win32/Adware.Toolbar.Dealio application nettoyé par suppression - mis en quarantaine
    6 Mai 2010 19:49:28

    re
    mets à jour java:
    http://java.com/fr/download/

    Supprime tous les programmes installés pour la désinfection.


    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

    ~Edite ton premier message et marque [résolu] dans le titre.
    Si ton nom de session correspond à ton véritable nom, tu as la possibilité de le changer en éditant tes posts.

    :hello: 

    6 Mai 2010 22:34:04

    Bonsoir,
    merci pour ton aide.
    Je ne suis pas sûr d'être sorti de l'embarras. Suite au passage de NOD cette nuit.
    Je me suis décidé à scanner de nouveau le PC avec Microsoft Essential Security parce que durant la nuit, il a détecté 4 fois la même menace "Alureon"

    Voila ce que donne le scan au bout de 4h :
    Virus:Win32/Alureon.H Niveau d'alerte : Grave Mis en quarantaine
    TrojanDownloader:Win32/Renos.dll : Grave Supprimé

    Est-ce une fausse alerte ou c'est sérieux ?
    Merci
    Did85
    6 Mai 2010 23:00:59

    re
    tu me donnes l'emplacement de la détection stp
    7 Mai 2010 08:40:56

    Bonjour,
    pour Alureon
    file:C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\i8042prt.sys.vir

    Pour le trojan :
    C:\System Volume Information\_restore{2322F32F-EE54-4992-A165-04FDBF9CBBB8}\RP1\A0000083.exe

    Pour le trojan, je suis allé dans le panneau de configuration> System et j'ai désactivé l'utilitaire de sauvegarde

    Merci
    A bientot
    Did85
    7 Mai 2010 18:23:11

    re
    je t'avais dit de supprimer les tools, ça impliquait:
    C:\Qoobox
    Citation :
    tu supprimes et tu vides ta corbeille
    Pour le trojan, je suis allé dans le panneau de configuration> System et j'ai désactivé l'utilitaire de sauvegarde

    c'est bien, puis il faut maintenant réactiver la restauration....
    7 Mai 2010 21:04:14

    Bonsoir Sham_Rock,
    ne trouvant rien dans l'ajout/suppression de programme concernant combofix.exe, je n'avais supprimé que les liens se trouvant sur le bureau.
    Je n'avais pas fait le rapprochement avec ce répertoire à la racine du disque dur.
    Bon j'ai tout supprimé, répertoire y compris.
    Je vais refaire un scan et voir si l'antivirus voit quoique ce soit.
    Encore merci pour ton aide.
    Un ami a eu le même problème que moi, il vient de me téléphoner, je vais reprendre la même démarche pour l'aider.
    Cordialement
    Did85
    7 Mai 2010 21:13:15

    re
    Citation :
    Un ami a eu le même problème que moi, il vient de me téléphoner, je vais reprendre la même démarche pour l'aider.
    Cordialement

    ce n'est pas une bonne idée
    chaque infection est différente...
    dis-lui de s'inscrire sur le forum pour qu'on le prenne en charge ;O)
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS