Votre question

google qui redirige systématiquement - trojan?

Tags :
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
25 Septembre 2008 03:53:04

Bonjour.

Depuis peu, je me rend compte (comme plusieurs utilisateurs dirait-on) que chauq efois que j'effectue une recherche dans google, lorsque je clique sur un résultat de recherche, je suis redirigé sur un site publicitaire...

Voici mon log hijackthis - si qqun peut m'aider... please!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:52:41, on 2008-09-24
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\McAfee.com\Agent\mcagent.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\SiteAdvisor\6261\SiteAdv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Program Files\Java\jre1.6.0_05\bin\jucheck.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
O2 - BHO: (no name) - {99BA268B-4021-4739-9945-3C774217FE75} - C:\Program Files\NetProject\sbmdl.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [lanmanwrk.exe] C:\WINDOWS\System32\lanmanwrk.exe
O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Program Files\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [kjchrngn] C:\WINDOWS\system32\kzyjyhov.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Rechercher sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ietoolpro.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ietoolpro.com/redirect.php (file missing)
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Documents and Settings\Simon & Jenny\Mes documents\Mes images\Hello\PicasaCapture.dll (file missing)
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Documents and Settings\Simon & Jenny\Mes documents\Mes images\Hello\PicasaCapture.dll (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.com/resources/MsnPUpl...
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUpload...
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: Service SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6261\SAService.exe

--
End of file - 9743 bytes

Autres pages sur : google redirige systematiquement trojan

25 Septembre 2008 08:51:17

siwhalen,

Relancer HijackThis, appuyer sur [Do a system scan only],
cocher (à gauche) toutes les lignes suivantes (R1 à 09) et
appuyer sur [Fix Checked] pour les supprimer
(rouge = infection, le reste = nettoyage)

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
O2 - BHO: (no name) - {99BA268B-4021-4739-9945-3C774217FE75} - C:\Program Files\NetProject\sbmdl.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O4 - HKCU\..\Run: [kjchrngn] C:\WINDOWS\system32\kzyjyhov.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ietoolpro.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ietoolpro.com/redirect.php (file missing)
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Documents and Settings\Simon & Jenny\Mes documents\Mes images\Hello\PicasaCapture.dll (file missing)
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Documents and Settings\Simon & Jenny\Mes documents\Mes images\Hello\PicasaCapture.dll (file missing)
_________________________________________

Télécharger SDFix.
Autre lien : http://www.bleepingcomputer.com/files/sdfix.php

  • Double cliquez sur SDFix.exe et choisissez Install pour l'extraire dans un dossier sur le Bureau.
  • Redémarrez votre pc en mode sans échec (appuyer à répétition sur F8 ou F5 sur le logo du bios)
  • Sélectionnez votre compte
  • Ouvrez le dossier SDFix qui vient d'être créé sur le Bureau et double-cliquez sur RunThis.bat pour lancer le script.
  • Appuyez sur "Y" pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis vous demandera d'appuyer sur une touche pour redémarrer.
  • Appuyez sur une touche pour redémarrer le PC.
  • Votre système sera plus long pour redémarrer qu'à l'accoutumée car SDFix va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, SDFix terminera son travail et affichera "Finished".
  • Appuyez sur une touche pour finir l'exécution du script et charger les icônes de votre Bureau.

    Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    Afficher le contenu du fichier Report.txt.
    _________________________________________

    Afficher les fichiers et répertoires cachés.
  • Ouvrir Explorer > Outils > Options des dossiers ... cliquez sur l' onglet « Affichage » et ...
  • cocher --> Afficher les fichiers et dossiers cachés
  • décocher --> Masquer les extensions des fichiers dont le type est connu
  • décocher --> Masquer les fichiers protégés du système d' exploitation (recommandé).
    Valider [Appliquer] et [OK].
    _________________________________________

    Supprimer ce répertoire :
    C:\Program Files\NetProject

    Si nécessaires en mode sans échec.
    (redémarrer et au logo du Bios appuyer sur F8 à répétition)
    _________________________________________

    Ré-afficher un autre rapport Hijacthis.
    .
    26 Septembre 2008 02:40:33

    C'est vraiment le bordel... Les deux liens que tu me suggère, je ne peux y avoir accès.
    On dirait que le malware me bloque l'accèes à plusieurs sites ou software qui pourrait m'aider!
    Aurais-tu une autre piste de solution...
    Merci de ton aide.
    Contenus similaires
    26 Septembre 2008 05:04:49

    siwhalen,

    Essayer en allant en mode sans échec avec prise en charge du réseau.
    (redémarrer et appuyer sur F8 au logo du Bios)
    Ce qui vous permettra de vous connectez et de télécharger SDFix ou sinon en 2ième lieu ComboFix.

    Vérifier le fichier Hosts qui est localiser : C:\Windows\sustem32\drivers\etc\Hosts
    Ce fichier n'a pas d'extension, ouvrer le avec le bloc-note (Démarrer --> Tout lesprogrammes --> Accessoires), effacez en le contenu et copier/coller y la ligne suivante :
    127.0.0.1 localhost

    Essayer le téléchargement de SDFix, sinon de ComboFix, n'utiliser qu'un des 2, SDFix de préférence.
    Si vous réussissez à les télécharger, renommer lès genre dsfsdfs.EXE et lancer lès.
    __________________________________________

    Voici la procédure pour ComboFix.
    (À n'utiliser que si vous ne pouvez pas réussi avec SDFix)

    Désactiver votre antivirus.
    Télécharger sur le bureau Combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    /!\ Déconnectez l'internet et durant la durée de l'étape suivante, n'utilisez pas de votre PC et n'ouvrez aucun programmes. Si ComboFix a besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisser le aller..

    Double-cliquer sur Combofix.
    Appuyer sur 1 si nécessaire
    Attendre la fermeture de l’outil ( 5-10 mn ou plus si infection importante)

    /!\Notez qu'une fois que vous avez lancé ComboFix, vous ne devez pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme et même peut-être endommager votre système/!\

    Afficher le rapport.
    (vous pouvez aussi le trouver sur C:\Combofix.txt)

    ___________________________________________

    Si vous ne pouvez toujours pas télécharger et/ou lancer les programmes précédents.

    Voici les infections dans HijackThis que vous pouvez
  • cocher (à gauche) et [Fix Checker]
  • Ouvrer d'abord HijackThis et
  • appuyer sur [Do a system scan only],
    O4 - HKLM\..\Run: [lanmanwrk.exe] C:\WINDOWS\System32\lanmanwrk.exe
    O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
    O4 - HKCU\..\Run: [kjchrngn] C:\WINDOWS\system32\kzyjyhov.exe
    O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe
    ____________________________________

    Afficher les fichiers et répertoires cachés (procédure au message précédent)
    ____________________________________

    Ensuite ou sinon allez supprimer (les infections) leurs fichiers et le répertoire :
    C:\WINDOWS\System32\lanmanwrk.exe
    C:\WINDOWS\system32\ntos.exe
    C:\WINDOWS\system32\kzyjyhov.exe
    C:\Program Files\NetProject\sbmntr.exe
    C:\Program Files\NetProject << et ce répertoire <<

    Essayer de supprimer ces fichiers par vous même ou avec UnLocker

    Si la suppression ne fonctionne pas.
  • Copier/ coller le contenu exact de la citation suivante dans le Bloc-Note (Bloc-Note ==> Menu Démarrer --> Tout les programmes --> Accessoires).
  • Sauvegarder le sous FixFile.BAT
  • Double-cliquer sur FixFile.bat et valider.
  • Vérifier si la tâche est réussi.
    Citation :
    Attrib "C:\WINDOWS\System32\lanmanwrk.exe" -h -s -r
    del "C:\WINDOWS\System32\lanmanwrk.exe"
    Attrib "C:\WINDOWS\system32\ntos.exe" -h -s -r
    del "C:\WINDOWS\system32\ntos.exe"
    Attrib "C:\WINDOWS\system32\kzyjyhov.exe" -h -s -r
    del "C:\WINDOWS\system32\kzyjyhov.exe"
    Attrib "C:\Program Files\NetProject\sbmntr.exe" -h -s -r
    del "C:\Program Files\NetProject\sbmntr.exe"

    __________________________________________

    Si vous n'avez pas réussi à supprimer les lignes avec HijackThis et les fichiers/répertoire.

    Ré-ouvrer le bloc-note copier/coller le contenu exact de la citation suivante.
  • Sauvegarder sous LigneRun.REG
  • double-cliquer sur ligneRun.REG
  • Le fichier Lg04.txt va apparaitre, montrant la localisation dans le registre des fichiers qui étaient à supprimer avec HijackThis .
  • Aller dans le registre (Démarrer --> Exécuter... entrer regedit et
  • supprimer les valeurs (à droite dans le registre) correspondantes aux fichiers infectés ou copier le contenu du Ficher Lig04.txt dans votre prochain post.
    Citation :
    REGEDIT /e Lg04_1.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    REGEDIT /e Lg04_2.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
    REGEDIT /e Lg04_3.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
    REGEDIT /e Lg04_4.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
    REGEDIT /e Lg04_5.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
    REGEDIT /e Lg04_6.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
    REGEDIT /e Lg04_7.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    REGEDIT /e Lg04_8.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
    REGEDIT /e Lg04_9.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
    REGEDIT /e Lg04_10.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
    REGEDIT /e Lg04_11.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
    copy Lg04_1.txt +Lg04_2.txt +Lg04_3.txt +Lg04_4.txt +Lg04_5.txt +Lg04_6.txt +Lg04_7.txt +Lg04_8.txt +Lg04_9.txt +Lg04_10.txt +Lg04_11.txt Lg04.txt
    del Lg04_*.txt
    start notepad Lg04.txt


    P.S.: toutes ces entrées au registre correspondent aux lignes 04- dans HijackThis.
    Les fichiers/programme associés aux lignes 04 ou endroits du registre sont lancés (RUN) au démarrage du PC ou à l'ouverture d'une session (compte utilisateur). Leurs utilités entre autre vérifier les màj des programmes installé...

    Donnez des nouvelles.
    26 Septembre 2008 13:48:37

    Bon alors...

    J'ai finalement réussi èa télécharger sdfix. Par contre, lorsque je le lance en mode sans échec, je le message d'erreur concernant "chemin d'accès introuvable"
    Il m'a quand même sorti un rapport au redémarage en mode normal:


    Rebooting


    Checking Files :

    Trojan Files Found:



    Could Not Remove C:\WINDOWS\system32\drivers\TDSSserv.sys
    Could Not Remove C:\WINDOWS\system32\drivers\tdssserv.sys
    Could Not Remove C:\WINDOWS\system32\tdssadw.dll
    Could Not Remove C:\WINDOWS\system32\tdssinit.dll
    Could Not Remove C:\WINDOWS\system32\tdssl.dll
    Could Not Remove C:\WINDOWS\system32\tdsslog.dll
    Could Not Remove C:\WINDOWS\system32\tdssmain.dll
    Could Not Remove C:\WINDOWS\system32\tdssserf.dll
    Could Not Remove C:\WINDOWS\system32\tdssservers.dat
    Could Not Remove C:\WINDOWS\system32\drivers\tdssserv.sys
    Could Not Remove C:\WINDOWS\system32\tdssadw.dll
    Could Not Remove C:\WINDOWS\system32\tdssinit.dll
    Could Not Remove C:\WINDOWS\system32\tdssl.dll
    Could Not Remove C:\WINDOWS\system32\tdsslog.dll
    Could Not Remove C:\WINDOWS\system32\tdssmain.dll
    Could Not Remove C:\WINDOWS\system32\tdssserf.dll
    Could Not Remove C:\WINDOWS\system32\tdssservers.dat

    Folder C:\WINDOWS\system32\247880 - Removed


    Removing Temp Files

    ADS Check :



    Final Check :

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-09-26 07:12:23
    Windows 5.1.2600 Service Pack 3 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    disk error: C:\WINDOWS\system32\config\system, 0
    scanning hidden registry entries ...

    disk error: C:\WINDOWS\system32\config\software, 0
    disk error: C:\Documents and Settings\Simon & Jenny\ntuser.dat, 0
    scanning hidden files ...

    disk error: C:\WINDOWS\

    please note that you need administrator rights to perform deep scan

    Remaining Services :




    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
    "C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
    "C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"="C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe:*:Enabled:McAfee Network Agent"
    "C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:D isabled:LimeWire"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

    Remaining Files :

    C:\WINDOWS\system32\drivers\TDSSserv.sys Found
    C:\WINDOWS\system32\drivers\tdssserv.sys Found
    C:\WINDOWS\system32\tdssadw.dll Found
    C:\WINDOWS\system32\tdssinit.dll Found
    C:\WINDOWS\system32\tdssl.dll Found
    C:\WINDOWS\system32\tdsslog.dll Found
    C:\WINDOWS\system32\tdssmain.dll Found
    C:\WINDOWS\system32\tdssserf.dll Found
    C:\WINDOWS\system32\tdssservers.dat Found
    C:\WINDOWS\system32\drivers\tdssserv.sys Found
    C:\WINDOWS\system32\tdssadw.dll Found
    C:\WINDOWS\system32\tdssinit.dll Found
    C:\WINDOWS\system32\tdssl.dll Found
    C:\WINDOWS\system32\tdsslog.dll Found
    C:\WINDOWS\system32\tdssmain.dll Found
    C:\WINDOWS\system32\tdssserf.dll Found
    C:\WINDOWS\system32\tdssservers.dat Found

    File Backups: - C:\SDFix\backups\backups.zip

    Files with Hidden Attributes :

    Sat 13 Oct 2007 5,903,928 A..H. --- "C:\Program Files\Picasa2\setup.exe"
    Mon 28 Aug 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
    Thu 11 Sep 2008 20,487 A.SHR --- "C:\Program Files\McAfee\MQC\MRU.bak"
    Thu 11 Sep 2008 265 A.SHR --- "C:\Program Files\McAfee\MQC\qcconf.bak"
    Thu 22 Nov 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
    Mon 12 Feb 2007 3,096,576 A..H. --- "C:\Documents and Settings\Simon & Jenny\Application Data\U3\temp\Launchpad Removal.exe"

    Finished!

    ----------------------------------------------------------------------------------------

    Aussi, les 4 fichiers auxquels tu fais référence dans hijackthis n'y était plus lors du dernier scan. Alors je post un nouveau log hijackthis en espérant qu'on y voit plus clair :) 

    à suivre...

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 07:47:32, on 2008-09-26
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16705)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
    c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
    c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
    C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
    C:\Program Files\McAfee\MPF\MPFSrv.exe
    C:\Program Files\SiteAdvisor\6261\SAService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\PROGRA~1\McAfee.com\Agent\mcagent.exe
    C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\Iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.com/resources/MsnPUpl...
    O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUpload...
    O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
    O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
    O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
    O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
    O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
    O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
    O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
    O23 - Service: Service SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6261\SAService.exe

    --
    End of file - 3697 bytes
    26 Septembre 2008 13:55:23

    Je viens tout juste de poster mon dernier message...

    J'ai effectué une recherche sur google, et devine quoi... je ne suis plus redirigé! YEAH! :D 
    En plus, comme ma boite de courriel est gmail, je n'y avais plus accès, et voilà que je peux y accéder. Alors, jusqu'ici tout va bien! :wahoo: 

    Je quitte pour le travail, je referai un test au retour, et je reviendrai poster pour indiquer si tout est rentré dans l'ordre...

    Dans tous les cas, merci!
    26 Septembre 2008 15:30:42

    siwhalen,

    Allez vérifier si ces lignes qui sont utiles peuvent être restaurées avec HijackThis.

    Restauration de lignes avec HijackThis.
    Lancer HijackThis, appuyer sur [View the list of backups] ,
    cocher la/les ligne(s) à restaurer (pour les 2 lignes suivante) et
    appuyer sur [Restore] à droite.

    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey
    _________________________________________

    Désactivez votre antivirus.
    Citation :
    process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus.
  • Téléchargez sur votre bureau SmitfraudFix (S!Ri) : http://siri.urz.free.fr/Fix/SmitfraudFix.exe
  • Double-cliquez sur SmitfraudFix.exe,
  • Choisissez l'option 1- Recherche et valider.
    Afficher le rapport qui sera généré dans votre prochaine réponse.

    Et faites l'option 2 immédiatement.
  • Redémarrer l'ordinateur en mode sans échec (lorsque le logo du Bios apparait appuyer à répétition sur la touche F8 ou F5 )
  • Avec les flèches de direction choisissez le Mode sans échec .
  • Choisissez votre session habituelle et non la session Administrateur.
  • Double cliquez sur le dossier SmitfraudFix qui est sur le bureau,
  • double cliquez sur smitfraudfix.cmd.

  • Sélectionner l'option 2 - Nettoyage.
  • À voulez-vous nettoyer le registre ? répondez O (oui)
  • Corriger le fichier infecté ? répondez O (oui)
    Afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
  • Le fix déterminera si le fichier wininet.dll est infecté, dans ce cas, répondre O (oui)
  • À "Corriger le fichier infecté ?" pour remplacer le fichier corrompu.
  • Lorsque cette l'option 2 sera terminée, redémarrer en mode normal et
    Afficher le rapport SmitFraudFix. C:\rapport.txt

    Réactivez votre antivirus.
    _________________________________________

    Télécharger Malwarebytes - & - Tutoriel Malwarebytes .
  • Dans [Paramètre] vous pouvez mettre en Français.
  • Installer et mettez à jours Malwarebytes.
  • Redémarrer en mode sans échec (au logo du Bios appuyer à répétition sur F8 ou F5).
  • Lancer une Recherche "Complet", lorsque terminé appuyer sur "Supprimer la sélection".
    Afficher le rapport Malwarebytes sur votre prochain post.
    _________________________________________

    Télécharger CCleaner - & - Tutoriel CCleaner .
  • Installer et lancer CCleaner.
  • Appuyer sur [Analyse] et [Lancer le Nettoyage].
    Utiliser CCleaner après chaque session sur le net, installation/désinstallation de logiciels et/ou avant de fermer le PC.
    ________________________________________

    Si vous avez eu des problèmes à télécharger et/ou utiliser (SmitFraudFix et Malwarebytes).

    Afficher les fichiers et répertoires cachés.
    Aller en mode sans échec si nécessaire.
  • Copier/coller le contenu exact de la citation dans le Bloc-Note
  • Sauvegarder sou Fix.Reg
  • Double-cliquer sur Fix.Reg et valider
    Citation :
    Windows Registry Editor Version 5.00

    [-HKEY_LOCAL_MACHINE\Software\tdss]
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Control\SafeBoot\Minimal\tdssserv.sys]
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Control\SafeBoot\Network\tdssserv.sys]
    [-HKEY_LOCAL_MACHINE\System\ControlSet002\Control\SafeBoot\Minimal\tdssserv.sys]
    [-HKEY_LOCAL_MACHINE\System\ControlSet002\Control\SafeBoot\Network\tdssserv.sys]

    Téléchargez OTMoveIt2 (de Old_Timer) sur votre Bureau :
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt2...
  • Double-cliquez sur OTMoveIt2.exe pour le lancer.
  • Assurez vous que la case "Unregister Dll's and Ocx's" soit bien cochée !
  • Copiez / collez les lignes suivantes (en gras) dans la fenêtre de gauche de OTMoveIt nommé "Paste List of Files/Folders to be moved".

    C:\WINDOWS\system32\drivers\TDSSserv.sys
    C:\WINDOWS\system32\tdssadw.dll
    C:\WINDOWS\system32\tdssinit.dll
    C:\WINDOWS\system32\tdssl.dll
    C:\WINDOWS\system32\tdsslog.dll
    C:\WINDOWS\system32\tdssmain.dll
    C:\WINDOWS\system32\tdssserf.dll
    C:\WINDOWS\system32\tdssservers.dat
    C:\WINDOWS\system32\drivers\tdssserv.sys
    C:\WINDOWS\System32\lanmanwrk.exe
    C:\WINDOWS\system32\ntos.exe
    C:\WINDOWS\system32\kzyjyhov.exe
    C:\Program Files\NetProject\sbmntr.exe
    C:\Program Files\NetProject


  • Cliquez sur MoveIt! pour lancer la suppression.
  • Si OTMoveIt propose de redémarrer votre PC, acceptez.
  • Lorsque un résultat apparaît dans le cadre Results, cliquez sur Exit>.
    [#9b0063]Afficher le rapport de OTMoveIt
  • situé sur C:\_OTMoveIt\MovedFiles.
    ____________________________________

    Si vous n'avez pu télécharger OTMoveIT2.
  • Copier/coller le conteu exact de la citation dans le Bloc-Note
  • Sauvegarder sous Fix.Bat
  • Double-cliquer sur Fix.Bat et valider
    Citation :
    attrib "C:\WINDOWS\system32\drivers\TDSSserv.sys" -h -s -r
    del "C:\WINDOWS\system32\drivers\TDSSserv.sys"
    attrib "C:\WINDOWS\system32\tdssadw.dll" -h -s -r
    regsvr32.exe -u “C:\WINDOWS\system32\tdssadw.dll"
    del "C:\WINDOWS\system32\tdssadw.dll"
    attrib "C:\WINDOWS\system32\tdssinit.dll" -h -s -r
    regsvr32.exe -u “C:\WINDOWS\system32\tdssinit.dll"
    del "C:\WINDOWS\system32\tdssinit.dll"
    attrib "C:\WINDOWS\system32\tdssl.dll" -h -s -r
    regsvr32.exe -u “C:\WINDOWS\system32\tdssl.dll"
    del "C:\WINDOWS\system32\tdssl.dll"
    attrib "C:\WINDOWS\system32\tdsslog.dll" -h -s -r
    regsvr32.exe -u “C:\WINDOWS\system32\tdsslog.dll"
    del "C:\WINDOWS\system32\tdsslog.dll"
    attrib "C:\WINDOWS\system32\tdssmain.dll" -h -s -r
    regsvr32.exe -u “C:\WINDOWS\system32\tdssmain.dll"
    del "C:\WINDOWS\system32\tdssmain.dll"
    attrib "C:\WINDOWS\system32\tdssserf.dll" -h -s -r
    regsvr32.exe -u “C:\WINDOWS\system32\tdssserf.dll"
    del "C:\WINDOWS\system32\tdssserf.dll"
    attrib "C:\WINDOWS\system32\tdssservers.dat" -h -s -r
    del "C:\WINDOWS\system32\tdssservers.dat"
    attrib "C:\WINDOWS\system32\drivers\tdssserv.sys" -h -s -r
    del "C:\WINDOWS\system32\drivers\tdssserv.sys"
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS